Política de privacidade

A Lei Geral de Proteção de Dados Pessoais – LGPD (Lei n. 13.709, de 2018) dispõe sobre o tratamento de dados pessoais das pessoas naturais, definindo as hipóteses em que tais dados podem legitimamente ser utilizados por terceiros e estabelecendo mecanismos para proteger os titulares dos dados contra usos inadequados.

A LGPD é aplicável aos dados de pessoas naturais e deve ser cumprida por pessoa natural e entidades públicas ou privadas, independentemente do país de sua sede ou de onde os dados estejam localizados, que realizem qualquer operação de tratamento de dados pessoais, tais como a coleta, armazenamento e compartilhamento de dados com terceiros, desde que esse tratamento:

1. seja realizado no território nacional;
2. tenha por objeto a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou, ainda,
3. quando os dados pessoais tiverem sido coletados em território nacional.

A lei entrou em vigor de maneira escalonada:

• Em 28 de dezembro de 2018, quanto aos arts. 55-A, 55-B, 55-C, 55-D, 55-E, 55-F, 55-G, 55-H, 55-I, 55-J, 55-K, 55-L, 58-A e 58-B, que tratam da constituição da Autoridade Nacional de Proteção de Dados – ANPD e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade – CNPDPP.
• Em 18 de setembro de 2020, quanto aos demais artigos da lei, com exceção dos dispositivos que tratam da aplicação de sanções administrativas;
• Em 1º de agosto de 2021, quanto aos arts. 52. 53 e 54, que tratam das sanções administrativas.

Por se tratar de uma lei geral, seguem em vigor e aplicáveis as regras do Código de Defesa do Consumidor (Lei nº 8.078/90) para o tratamento dos dados negativos e da Lei do Cadastro Positivo (Lei nº 12.414/2011) para o tratamento dos dados positivos.

No Artigo 7º, Inciso X, da LGPD, o legislador cita expressamente que o tratamento dos dados pessoais pode ser realizado para a “proteção do crédito”. No mesmo inciso, reconhece os dispositivos existentes na legislação pertinente, incluindo assim as leis que tratam especificamente de crédito.

Segundo a LGPD, tratamento de dados pessoais é toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

A LGPD adota um conceito aberto de dado pessoal, definido como a informação relacionada a uma pessoa natural identificada ou identificável.

Assim, além das informações básicas relativas ao nome, número de inscrição no Registro Geral (RG) ou no Cadastro Nacional de Pessoas Físicas (CPF) e endereço residencial, são também considerados dados pessoais outros dados que permitam a identificação de um indivíduo, tais como a orientação sexual, a filiação político-partidária, o histórico médico e aqueles referentes aos aspectos biométricos do indivíduo.

Segundo a LGPD, poderão ser igualmente considerados como dados pessoais aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.

Os dados pessoais sensíveis são aqueles aos quais a LGPD conferiu uma proteção ainda maior, por estarem diretamente relacionados aos aspectos mais íntimos da personalidade de um determinado indivíduo.

Assim, são dados pessoais sensíveis aqueles relativos à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a um indivíduo.

A LGPD classifica os dados biométricos como dados pessoais sensíveis, prevendo ainda mais rigor nos critérios aplicáveis ao seu tratamento. Nesses casos o tratamento poderá ser realizado sem o consentimento do titular quando se tratar de hipóteses que abrangem o cumprimento de obrigação legal ou regulatória e a prevenção à fraude e à segurança do titular, dentre outras.

A LGPD garante proteção a todos os dados cujos titulares são pessoas naturais, ou seja, somente pessoas físicas, estejam eles em formato físico ou digital. Assim, a LGPD não alcança os dados titularizados por pessoas jurídicas – os quais não são considerados dados pessoais para os efeitos da lei.

Com a entrada da LGPD, o tratamento de dados pessoais pode ser realizado quando se verificar a ocorrência de qualquer uma das hipóteses previstas em seu artigo 7º ou, no caso de dados pessoais sensíveis, de uma das hipóteses previstas no artigo 11. Existem dez bases legais distintas para o tratamento de dados pessoais e oito bases legais que legitimam o tratamento de dados pessoais sensíveis.

Vale notar que a LGPD é aplicável também aos dados cujo acesso é público e àqueles tornados manifestamente públicos pelos titulares, resguardando-se a observância dos princípios gerais e dos direitos dos titulares previstos na lei.

O tratamento de dados pessoais (não sensíveis) poderá ser realizado em qualquer uma das seguintes hipóteses, previstas no art. 7º da LGPD:

1. Mediante o fornecimento de consentimento pelo titular;
2. Para o cumprimento de obrigação legal ou regulatória pelo controlador;
3. Para a execução de políticas públicas pela administração pública;
4. Para a realização de estudos por órgão de pesquisa;
5. Para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
6. Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
7. Para a proteção da vida ou da incolumidade física do titular ou de terceiro;
8. Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
9. Para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
10. Para a proteção do crédito.

A LGPD cita quatro papéis: titular dos dados, controlador, operador e encarregado.

O titular dos dados é a razão da existência da LGPD. Segundo a lei, é a “pessoa natural a quem se referem os dados pessoais que são objeto de tratamento”.

O controlador é a “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”. Na prática, o controlador é a empresa ou pessoa que coordena e define como o dado pessoal coletado será tratado. É sobre ele que recai a maior carga jurídica sobre o tratamento dos dados.

Segundo a LGPD, o operador é a “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”. Ele não poderá tratar dados, senão em razão das determinações do controlador, que deverão estar bem definidas.

O encarregado é a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”. O encarregado é a figura conhecida como DPO (Data Protection Officer). Em linhas gerais, é a pessoa responsável por atuar como uma espécie de fiscal da lei dentro da empresa.

A LGPD prevê uma ampla gama de direitos dos titulares de dados, dentre os quais podem ser destacados os seguintes:

1. acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva;
2. confirmação da existência de tratamento;
3. acesso aos dados;
4. correção de dados incompletos, inexatos ou desatualizados;
5. anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
6. portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
7. eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da LGPD;
8. informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
9. informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
10. revogação do consentimento, mediante manifestação expressa do titular, por procedimento gratuito e facilitado;
11. peticionamento em relação aos seus dados contra o controlador, perante a autoridade nacional e perante os organismos de defesa do consumidor;
12. oposição a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto na LGPD;
13. solicitação de revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade; e
14. fornecimento, mediante solicitação, de informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.

A LGPD estabelece uma série de medidas que devem ser adotadas pelos agentes de tratamento, que incluem a identificação das bases legais que justificam as atividades de tratamento de dados; a adoção de processos e políticas internas que assegurem o cumprimento das normas de proteção de dados pessoais; e o estabelecimento de um canal de contato com os titulares de dados pessoais.

A lei determina que os controladores de dados devem indicar um Encarregado para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD. Em determinadas circunstâncias, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados, a ANPD poderá estabelecer hipóteses de dispensa da necessidade de sua indicação.

O termo de consentimento pode ser adquirido tanto físico, quanto digital, porém precisa ser, como consta no Art. 8, “por escrito ou por outro meio que demonstre a manifestação de vontade do titular”. Assim como a GDPR, a Lei Geral de Proteção de Dados traz a preocupação em limitar a retenção dos dados apenas àquilo estritamente necessário para seu tratamento.

Na lei não há um prazo fixo para a retenção dos dados tratados, mas estabelece, em seu Art. 16, que os “dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades”. Observa-se, dessa forma, que o prazo de retenção de dados na LGPD está condicionado à finalidade declarada pelo responsável pelo tratamento, e que, uma vez utilizados, devem ser excluídos de seus servidores.

A ANPD é o órgão da administração pública federal responsável por zelar pela proteção de dados pessoais e por implementar e fiscalizar o cumprimento da LGPD no Brasil.

A missão institucional da ANPD é assegurar a mais ampla e correta observância da LGPD no Brasil e, nessa medida, garantir a devida proteção aos direitos fundamentais de liberdade, privacidade e livre desenvolvimento da personalidade dos indivíduos.

O art. 55-J da LGPD estabelece as principais competências da ANPD, dentre as quais se destacam as seguintes:

1. elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
2. fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
3. promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança;
4. estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis;
5. promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;
6. editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos nesta Lei;
7. ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e planejamento;
8. editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se à Lei;
9. deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação da LGPD, as suas competências e os casos omissos;
10. articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação; e
11. implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei.

Sim. A ANPD deve se articular com outras entidades e órgãos públicos a fim de garantir o cumprimento de sua missão institucional, atuando como órgão central de interpretação da LGPD e do estabelecimento de normas e diretrizes para a sua implementação.

Nos termos da LGPD, cabe à ANPD ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e planejamento. Ademais, os regulamentos e as normas editados pela ANPD devem ser precedidos de consulta e audiência públicas, bem como de análises de impacto regulatório.