ESTUDO DA LEI GERAL DE PROTEÇÃO DE DADOS BRASILEIRA TRATAMENTO DAS INFORMAÇÕES E O DESAFIO DA ADAPTAÇÃO Luiz Carlos Aguiar Carrion 18/12/2020 RESUMO: O objetivo do artigo é fazer um estudo sobre a Lei Geral de Proteção de Dados brasileira. Primeiramente, será visto o que exatamente essa legislação está protegendo, assim como quem são todas as partes que atuam nesse processo. Em seguida, serão abordados os desafios que devem ser superados por parte das empresas para se adaptar a esse novo cenário. Palavras-chave: Dados, Internet, Lei Geral de Proteção de Dados, Privacidade, Segurança
ABSTRACT: The goal of this article is to study the brazilian General Data Protection Law. Firstly, it is important to understand what this law is protecting and who are the agents that participate. After that, the study will focus on the challenges that the enterprises must overcome in order to adapt to this new scenery. Keywords: Data, Internet, General Data Protection Law, Privacy, Security 1. INTRODUÇÃO: A privacidade do indivíduo é um direito fundamental (ARAUJO e CAVALHEIRO, 2014), e por isso existe um desafio quando o assunto do tratamento e manipulação de dados é abordado. A internet, por sua vez, se tornou uma ferramenta que facilitou esse processo de uma forma nunca antes vista (FREITAS et al, 2004) e, com isso, os métodos de proteção de dados também devem evoluir. Na história das leis brasileiras, temos exemplos como o marco civil da internet, que regulamentou o uso da mesma no Brasil, e outras leis de proteção à imagem, como a Carolina Dieckman. Porém, mesmo com tantas leis que visam a proteção do usuário na internet, ainda existem muitos problemas em relação à segurança de informações pessoais. Mesmo o marco civil defendendo a privacidade e liberdade de expressão, essa lei
tem um objetivo de regulamentar o uso da internet no Brasil, não se aprofundando completamente na questão da manipulação de dados. Dessa forma, foi elaborada a Lei Geral de Proteção de Dados (LGPD) que tem como objetivo proteger as informações pessoais dos usuários. Os moldes da lei se assemelham bastante aos da General Data Protection Regulation (Regulamento Geral sobre a Proteção de Dados, um regulamento aplicável a todos os indivíduos na União Europeia), tendo algumas diferenças na forma que são aplicadas. A lei foi proposta em 2018 e entrou em vigor na metade de 2020, e, por esse motivo, muitas empresas ainda não entendem completamente como devem se adequar a essa nova realidade. Além disso, por parte dos usuários, eles não possuem total compreensão do que essa lei significa para eles. Em primeira instância, é importante entender o conceito fundamental dessa lei, o dado e também, é necessário entender um pouco mais sobre a GDPR, visto que essa lei europeia é como uma base para a LGPD. Com isso esclarecido, será possível determinar exatamente quem são os participantes na lei brasileira e qual a função de cada um deles. Com todos os conceitos base bem definidos, será possível entender como a lei funciona exatamente, indo desde o que ela exige das empresas até quais serão as penalidades caso ocorra o não cumprimento dessas demandas. Em seguida, o próximo passo será explicar como uma empresa irá se adequar, citando alguns métodos e boas práticas que deverão ser seguidas. Por fim, será feita uma avaliação dos pontos principais da LGPD, diferenciando-a da GDPR. 2. O CONCEITO DE DADO Para entender completamente a LGPD, primeiramente será necessário definir os conceitos fundamentais que essa lei se baseia. Dessa forma, é imprescindível começar a falar sobre o que é um dado, a base de toda essa lei. Um dado pode ser qualquer sequência de símbolos quantificados ou quantificáveis, podendo ser um texto, imagem ou até mesmo uma letra (Setzer, 1999). No entanto, essa definição não é o suficiente para compreender o que LGPD está tratando. Dessa forma, é necessário analisar o que é uma informação. Essa outra ideia representa algo que deve ser significativo para aquele que está lendo. Em outras palavras, a informação irá fazer com que o dado tenha sentido.
Com isso pode se dizer, então, que um banco de dados é um conjunto de informações. Por exemplo, temos que o CPF e o Nome de alguém são informações que podem compor uma base de dados com registros de usuários de um site. Por fim, uma classificação muito utilizada é a de dados sensíveis. Esse tipo de dado diz respeito à origem racial (ou étnica), religião, opiniões políticas, questões genéticas, biométricas e até mesmo sobre questões de saúde da pessoa (serpro.gov). Dessa maneira, esses tipos de dados devem ser manipulados com mais cuidado que o normal. Vale ressaltar que o principal para a LGPD, no que diz respeito ao tratamento desse tipo de dado, é o consentimento da pessoa que o fornece (com algumas exceções). Assim, surgem alguns problemas: até onde vai a privacidade? Quais os dados que uma empresa tem de algum usuário? Essa empresa realmente precisa de todas essas informações de cada pessoa? O que acontece no caso de um vazamento de dados? E é por isso que existe a LGPD. Antes de responder todas as perguntas, é preciso entender quem são todos os agentes (aqueles que participam) da LGPD. 3. GENERAL DATA PROTECTION REGULATION O assunto da proteção de dados não é novidade na União Europeia, e a GDPR veio para reforçar as leis já existentes da organização (DRZ, 2019). Tendo sido aprovada em 2018, a GDPR visa regularizar todo o processo da manipulação de dados (desde a sua coleta até o seu uso efetivo). Basicamente, o regulamento diz que todo e qualquer dado que diz respeito a um usuário só pode ser armazenado com o consentimento dele. Além desse consentimento, o usuário tem total controle sobre suas informações, podendo solicitar até mesmo a exclusão deles. Em adição a isso, em caso de vazamento de dados, o usuário deve ser informado em até 72 horas sobre isso, junto com um plano de ação da empresa para resolver o problema (HSC brasil, 2019). Um outro ponto importante da GDPR é o uso de uma linguagem clara para que qualquer pessoa possa entender o que será feito com os dados fornecidos Em suma, o regulamento está sempre reforçando a ideia de transparência e como o usuário tem poder sobre as suas informações. Com esses conceitos bem definidos, é possível entender a origem da LGPD. Após o fim do estudo sobre a LGPD será feita uma comparação entre as principais diferenças entre ela e a GDPR. 4. OS AGENTES DA LGPD
O conceito de agentes diz respeito a todas as partes que estão envolvidas de alguma forma com a LGPD. Antes de entender a lei em si, é importante entender
quem são aqueles que atuam nesse processo. Para isso, temos 4 principais classificações (CHC Advocacia, 2020). Primeiramente, temos o conceito fundamental da LGPD como um de seus agentes: o dado. Como definido anteriormente, a definição do dado é aquela que possui informações significantes sobre alguma coisa. No caso, para a LGPD o dado irá se referir ao Titular do Dado. Esse agente é uma pessoa ou conjunto de pessoas, ao qual o dado diz respeito. Como estamos falando da manipulação de dados, é importante distinguir mais dois agentes. O Controlador de Dados e o Operador de Dados. Em suma, a função do primeiro seria decidir o que será feito com as informações obtidas, enquanto o operador é aquele que irá lidar com essa tarefa. Em alguns casos, o controlador e o operador podem ser a mesma pessoa. 5. A LEI GERAL DE PROTEÇÃO DE DADOS A lei nº 13.709, também conhecida como Lei Geral de Proteção de Dados, foi aprovada em agosto de 2018 e sua vigência foi definida para agosto de 2018 (serpro.gov.br, 2020). A lei possui o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da pessoa natural (planalto.gov.br, 2018). Para isso, a LGPD define pontos fundamentais como respeito à privacidade e a liberdade de expressão. As outras bases, apesar de importantes, não são tão relevantes para o estudo atual. O principal será entender o que a LGPD faz para garantir os dois citados. Vale ressaltar que tudo que será dito também vale para empresas internacionais que operam no Brasil. De acordo com a lei, todo e qualquer tratamento de dados devem possuir alguma finalidade. Dessa forma, seria o mesmo que perguntar: será que todos esses dados que eu quero coletar serão mesmo necessários? Além disso, um ponto chave é o consentimento dos usuários. Logo, antes de fazer qualquer levantamento de dados, é importante pensar em alguns pontos (serpro.gov.br, 2020): a finalidade, adequação, necessidade, acesso livre, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização. Isso significa que o controlador de dados e o operador de dados devem definir para que os dados serão usados e como esses dados serão utilizados. Em adição a esses passos, eles devem garantir que o que foi definido anteriormente seja
seguido e que o Titular do Dado tenha todas as suas informações protegidas. É importante ressaltar que o titular deve ser informado de tudo que foi citado e, aqueles que manipularam os dados devem sempre demonstrar a eficácia das medidas adotadas. Outro ponto que deve ser observado é de que forma a lei é aplicada, sendo válida para qualquer pessoa (física ou jurídica) de qualquer nacionalidade desde que a operação do tratamento seja realizada no território nacional (excluem-se os casos de tratamento de dados pessoais quando os fins são exclusivamente jornalísticos, artísticos, acadêmicos, de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação) (planalto.gov.br, 2018). Conclui-se então que os maiores afetados pela lei serão as empresas e elas devem pensar em estratégias para se adequar ao que foi pedido. Assim, o próximo tópico irá focar exclusivamente em como se adaptar a LGPD. 6. ESTRATÉGIAS PARA SE ADEQUAR A LGPD Para se adequar a LGPD é necessário dividir todo o processo da obtenção de dados em diferentes fases, entender a importância de cada uma delas e, por fim, traçar uma estratégia para cada parte. Uma forma de dividir seria utilizar quatro fases: coleta de dados, classificação de dados, utilização dos dados e exclusão dos dados (CHC Advocacia, 2020). O primeiro passo deve ser sempre garantir que todos os funcionários da empresa estejam conscientes acerca da nova legislação e da importância da proteção dos dados. Na parte da coleta, é necessário indicar para o Titular do Dados quais os dados que serão obtidos e o motivo deles estarem sendo requisitados, visto que a transparência é um dos maiores requisitos da LGPD. Após essa fase ser concluída, é necessário realizar a classificação de tudo que foi obtido. Nessa fase, os dados existentes também devem ser avaliados, o que pode ser um desafio devido a quantidade de informações que existem armazenadas. Uma boa prática seria contratar uma assessoria para fazer um mapeamento dos dados. Uma tarefa importante nesse processo todo de classificação dos dados é definir o Data Protection Officer. Esse profissional é aquele encarregado de cuidar das questões referentes à proteção dos dados, auxiliando a empresa a adaptar os seus processos, garantindo uma maior segurança dos dados (FIA, 2020).
Colocando em termos definidos anteriormente, ele seria o controlador de dados. Em casos de problemas graves (como um possível vazamento de dados) essa pessoa será, também, o responsável por comunicar a ANPD (Autoridade Nacional de Proteção de Dados), órgão criado para fiscalizar e fazer cumprir a LGPD (Delphos, 2020). Além disso, como destacado anteriormente, existem os dados sensíveis. Esse tipo de dado deve ser tratado com mais cautela que o normal, visto que esse tipo de informação pode levar a dIscriminação do titular devido ao seu conteúdo. Já para a fase de utilização dos dados, o principal é seguir tudo que foi definido anteriormente e acordado com os usuários, mantendo sempre a transparência. Vale ressaltar que os dados devem ser devidamente documentados para que os titulares possam sempre modificar ou até mesmo excluir os seus dados. Além disso, um ponto chave de todo esse processo é sempre estar em dia com as normas de segurança e até mesmo sempre estar atualizando os protocolos. Por fim, uma fase muito importante de toda a manipulação dos dados é a exclusão dos mesmos quando o objetivo for concluído. Entretanto, um direito que as empresas têm é o de guardar certos tipos de informações que possam ser utilizadas para poder se defender em processos judiciais ou algum tipo de obrigação imposta por lei (DAMIANI, 2020). 7. Conclusão Após o fim do estudo, é possível destacar que o principal sobre a LGPD é a importância da transparência em todas as partes do processo de manipulação de dados. Assim como na GDPR, temos que a lei brasileira se baseia em dar total controle sobre os dados para os titulares. Entretanto, apesar de suas similaridades, é possível traçar algumas diferenças entre ambos, como por exemplo: a relação entre operador e controlador de dados para a GDPR possui um vínculo jurídico enquanto na LGPD isso não ocorre. Outra diferença se encontra no Marketing direto. Enquanto a lei brasileira não aborda o assunto de forma direta, o regulamento Europeu define bem etapas e requisitos necessários para esse tipo de situação (Fenelaw, 2020). Por fim, outro ponto que vale ressaltar é como ambas tratam a manipulação de dados sensíveis. Como reforçado anteriormente em diversas partes do artigo, os dados sensíveis devem ser tratados com mais cautela que o normal, dessa forma a LGPD confere uma proteção maior para esse tipo de dados. Já para a GDPR, além de definir
dados sensíveis como somente dados de saúde, biométricos e genéticos, a manipulação desse tipo de informação é proibida (salvo algumas exceções). Fica perceptível, portanto, que apesar de muitas similaridades, existem muitos pontos de divergência entre ambas as leis. Além disso, vale ressaltar que a LGPD por si só ainda é muito recente, logo, as empresas devem estar sempre de olho em novas maneiras de melhorar a segurança dos dados para evitar problemas de vazamentos de dados que podem acarretar até mesmo em multas. REFERÊNCIAS: ARAUJO, Luiz Ernani Bonesso. CAVALHEIRO, Larissa Nunes. A proteção de dados pessoais na sociedade informacional brasileira: o direito fundamental à privacidade entre a autorregulação das empresas e a regulação protetiva do internauta. Revista do Direito Público. Londrina, v.9, n.1, p.209-226, jan./abr.2014. DOI: 10.5433/1980-511X.2014v9n1p209. FREITAS, Henrique. JANISSEK-MUNIZ, Raquel. MOSCAROLA, Jean. Uso da internet no processo de pesquisa e análise de dados. 2004 SETZER, Valdemar W. “Dado, Informação, Conhecimento e Competência”. Disponível em: https://www.ime.usp.br/~vwsetzer/datagrama.html, 1999 CHC Advocacia,“Tudo o que você precisa saber sobre a LGPD!”. Disponível em: “https://www.youtube.com/watch?v=hu6XIc7QVnE&t=1s&ab_channel=CHCAdvocacia”, setembro 2020 Serpro, “O que é a Lei Geral de Proteção de Dados Pessoais? Dê um "giro" pela lei e conheça desde já as principais transformações que ela traz para o país”. Disponível em: “https://www.serpro.gov.br/lgpd/menu/a-lgpd/o-que-muda-com-a-lgpd#:~:text=A%20LGPD% 20%C3%A9%20a%20lei,partir%20de%20agosto%20de%202020.” Serpro, “O que são dados sensíveis, de acordo com a LGPD”. Disponível em: “https://www.serpro.gov.br/lgpd/menu/protecao-de-dados/dados-sensiveis-lgpd#:~:text=Clar o%2C%20todo%20dado%20pessoal%20s%C3%B3,racial%20ou%20%C3%A9tnica%2C%2 0convic%C3%A7%C3%B5es%20religiosas”
Serpro, “Conheça os princípios e as bases legais que dão suporte à Lei Geral de Proteção de Dados Pessoais”. Disponível em: “https://www.serpro.gov.br/lgpd/menu/tratamento-dos-dados/principios-da-lgpd” Planalto, “LEI Nº 13.709, DE 14 DE AGOSTO DE 2018.”, Disponível em: “http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm”, agosto 2020 FIA, “DPO (Data Protection Officer): o que é, funções e como se tornar”, Disponível em: “https://fia.com.br/blog/dpo/”, janeiro 2020 Delphos, “Lei Geral de Proteção de Dados (LGPD), como se adequar?”. Disponível em: “delphos.com.br/lei-geral-de-protecao-de-dados-lgpd-como-se-adequar/” DRZ, “Diferenças entre a GDPR e a LGPD”, Disponível em: “drz.global/blog/diferencas-entre-a-gdpr-e-a-lgpd” HSC Brasil, “O que é a GDPR e o que muda para as empresas e os brasileiros?”.Disponível em: “https://www.hscbrasil.com.br/gdpr/”, abril 2019 DAMIANI A., “Empresas não têm obrigação de excluir todos os dados dos clientes”. Disponível em: “conjur.com.br/2020-set-27/empresas-nao-obrigacao-excluir-todos-dadosclientes-segundo-especialistas”, setembro 2020