Entrou em vigor na sexta-feira (10) Lei Geral de Proteção de Dados. Aprovada em 2018 depois de uma batalha de anos, a LGPD coloca o Brasil ao lado de mais de 100 países onde há normas específicas para definir limites e condições para coleta, guarda e tratamento de informações pessoais.
A LGPD (Lei No 13.709) disciplina um conjunto de aspectos: define categorias de dados, circunscreve para quem valem seus ditames, fixa as hipóteses de coleta e tratamento de dados, traz os direitos dos titulares de dados, detalha condições especiais para dados sensíveis e segmentos (como crianças), estabelece obrigações às empresas, institui um regime diferenciado para o Poder Público, coloca sanções em caso de violações e prevê a criação de uma autoridade nacional.
Definições e aplicação
Segundo a norma, dados pessoais são informações que podem identificar alguém. Dentro do conceito, foi criada a categoria “dado sensível”, com informações sobre origem racial ou étnica, convicções religiosas, opiniões políticas, saúde ou vida sexual. Registros como esses passam a ter nível maior de proteção, para evitar formas de discriminação.
Quem fica sujeito à lei? Todas as atividades realizadas ou pessoas que estão no Brasil. A norma vale para coletas operadas em outro país, desde que estejam relacionadas a bens ou serviços ofertados a brasileiros, ou que tenham sido realizada no país.
Mas há exceções. É o caso da obtenção de informações pelo Estado para segurança pública, defesa nacional e investigação e repressão de infrações penais. Essa temática deverá ser objeto de uma legislação específica. A lei também não se aplica a coletas para fins exclusivamente particulares e não econômicos, jornalísticos, artísticos e acadêmicos.
Tratamento
O tratamento de dados é caracterizado na LGPD como “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.
Esse só pode ocorrer em determinadas hipóteses. A principal é por meio da obtenção do consentimento do titular, mas não é a única. A ação é autorizada na lei para cumprimento de obrigação legal, estudos por órgão de pesquisa, proteção da vida do titular ou de terceiro, tutela da saúde por profissionais ou autoridades da área. A administração pública pode coletar e tratar dados para a consecução de políticas públicas previstas em leis e regulamentos ou respaldadas em convênios. Também fica desobrigado do consentimento a prática de “proteção do crédito”, como o cadastro positivo.
A obtenção do consentimento envolve um conjunto de requisitos, como ocorrer por escrito ou por outro meio que mostre claramente a vontade do titular e ser ofertado em uma cláusula destacada. O consentimento deve ser relacionado a uma finalidade determinada. Ou seja, não se pode solicitar o consentimento para a posse simplesmente de uma informação, mas deve ser indicado para que ela será utilizada.
Contudo, o Artigo 10 da lei garante a possibilidade de um uso distinto daquele informado na coleta, situação denominada de “legítimo interesse”. É um caso muito usado pelas empresas, no qual a norma exige a adoção de medidas de transparência e que nessa finalidade adicional sejam utilizados os dados estritamente necessários.
Os dados sensíveis têm regras específicas de tratamento. A Autoridade Nacional pode regulamentar ou vetar o emprego destes para vantagem econômica. No caso da saúde, tal finalidade é proibida, mas com diversas exceções, como prestação de serviços, assistência farmacêutica e assistência à saúde.
Direitos
A LGPD lista os direitos dos titulares. É possível, por exemplo, revogar a qualquer momento o consentimento fornecido. Quando há uso dos dados para uma nova finalidade (na situação de “legítimo interesse”), o controlador deve informar o titular sobre esse novo tratamento, podendo o titular revogar o consentimento. Também é previsto a este acesso facilitado a informações sobre o tratamento, como finalidade, duração, identificação do controlador (incluindo informações de contato) e responsabilidade de cada agente na cadeia de tratamento.
A pessoa pode requisitar da empresa a confirmação da existência do tratamento, o acesso aos dados (saber o que uma companhia tem sobre ela), correção de registros errados ou incompletos, eliminação de dados desnecessários, portabilidade de dados a outro fornecedor, informação sobre com qual entidade pública aquela firma compartilhou as informações (com um ente governamental, polícia, ou Ministério Público, por exemplo).
“As plataformas de serviços na internet terão que solicitar o consentimento dos usuários e informar o que é feito com eles: por exemplo, o rastreio para publicidade direcionada, como funciona, quais dados são coletados, como e com quem são compartilhados para esta finalidade”, explica a presidente do Instituto de Pesquisa em Direito e Tecnologia do Recife (IP.Rec) e integrante da Coalizão Direitos na Rede, Raquel Saraiva.
A coleta e o tratamento de dados de crianças têm garantias e normas próprias. Nesse caso, é preciso obter o consentimento de um dos pais. A única exceção é quando a coleta em o intuito de contatar os pais. Os controladores precisam dar transparência ao que fazem com as informações. A obtenção de dados além do necessário não poderá ser condicionada ao uso de jogos ou aplicações de Internet. As informações sobre o tratamento devem ser apresentadas de forma compreensível pelas crianças.
O titular dos dados pode também solicitar a revisão de uma decisão com base em tratamento automatizado. Estas podem ser a concessão de crédito, a autorização para contratação de um serviço (como um pacote de telefonia), a escolha em um processo seletivo ou a disponibilização de conteúdos em redes sociais. O controlador deve, neste caso, indicar os critérios e procedimentos adotados.