LGPD – PRINCIPAIS MEDIDAS A SEREM OBSERVADAS
Por Cristiano Pessoa
Em agosto de 2018 foi sancionada a Lei Geral de Proteção de Dados – LGPD, com enorme discussão sobre sua vacatio legis. Em abril de 2020, com a edição da Medida Provisória 959, encerrou-se este debate, determinando que esta passaria a vigorar a partir de 03 de maio de 2021. O dia chegou, e com ele diversas demandas sobre o tema, especialmente questionamentos acerca do que deve ser feito para que as empresas se adequem à legislação.
É essencial lembrar que o objetivo maior da Lei 13.709/2018 é proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, conforme expressa o seu artigo 1º. Assim, todas as medidas ali dispostas têm este fim.
A norma conta com 65 artigos, e chamamos atenção para os pontos a seguir:
1. As regras da LGPD valem em todo o Brasil e prevalecem sobre as leis estaduais e municipais.
2. As normas valem para os meios digitais e também para os dados “analógicos” (Fichas de cadastro em papel e outros).
3. O tratamento de dados pessoais somente poderá ser realizado mediante o fornecimento de consentimento pelo titular; e esse consentimento deve ser fornecido por escrito ou outro meio que demonstre a vontade do titular.
4. Quando o consentimento for fornecido por escrito, ele deverá ser realizado em uma cláusula destacada, separada das demais cláusulas contratuais, a fim de demonstrar que foi obtido em conformidade com a Lei, e sem vício de consentimento (São eles: erro ou ignorância, dolo, coação, estado de perigo e lesão).
5. O titular dos dados tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca da finalidade específica do tratamento dos seus dados; a forma e duração do tratamento dos mesmos, observados os segredos comercial e industrial; a identificação do controlador (que pode ser pessoa física ou jurídica); as informações de contato do controlador; as informações acerca do uso compartilhado de dados pelo controlador e a finalidade; as responsabilidades dos agentes que realizarão o tratamento; e os direitos do titular, com menção explícita aos direitos contidos no artigo 18 da Lei.
6. É muito importante que seja determinada a finalidade para a qual o consentimento do fornecimento de dados está sendo realizado, pois as autorizações genéricas para o uso de dados pessoais serão consideradas nulas.
7. Será considerado nulo o consentimento obtido através de informações fornecidas ao titular com conteúdo enganoso ou abusivo ou que não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca.
8. Quando o tratamento de dados pessoais for condição para o fornecimento de produto ou de serviço ou para o exercício de direito, o titular deverá ser informado com destaque sobre esse fato e sobre os meios pelos quais poderá exercer os direitos elencados no artigo 18 da Lei.
Como foi mencionado em alguns itens, destacaremos abaixo os pontos principais do artigo 18:
A. A qualquer momento e de forma gratuita e simples, o titular pode solicitar relatórios e informações sobre seus dados, incluindo a confirmação de qual é o tratamento feito com eles, quem tem acesso aos dados, quais são os dados que estão sendo tratados e com quais agentes foram compartilhados.
B. O titular pode solicitar a correção ou atualização de dados, assim como a anonimização, exclusão ou interrupção do tratamento de dados pessoais não necessários para a finalidade à qual consentiu.
C. O titular pode exigir a portabilidade de seus dados pessoais para outro prestador do mesmo serviço, por exemplo, de um plano de saúde para outro. Nesses casos, devem ser preservados os segredos do negócio do controlador. Isso exclui dados que já haviam sido anonimizados.
D. O titular pode questionar o controlador a qualquer momento sobre o que acontecerá se ele não consentir com o tratamento de seus dados: a quais serviços não terá acesso, por exemplo.
E. Caso o controlador não seja capaz de providenciar as informações solicitadas imediatamente, como obriga a lei, deverá esclarecer os motivos da incapacidade, e se o titular solicitar informações para uma empresa que não é a controladora dos dados, esta deve indicar imediatamente quem é o real agente de tratamento dos dados.
F. É obrigação do controlador que compartilhou os dados com outros agentes de tratamento entrar em contato com estes para que também realizem os procedimentos solicitados pelo titular.
G. É importante atentar-se para a facilitação de uma forma de revogação imediata do consentimento pelo titular, pois, a lei assegura que o mesmo pode ser revogado a qualquer momento mediante manifestação expressa através de um procedimento gratuito e facilitado. No entanto, são ratificados os tratamentos dos dados realizados sob o amparo do consentimento anteriormente fornecido enquanto não houver requerimento de eliminação destes.
H. Os dados pessoais serão eliminados após o término de seu tratamento, autorizada a conservação para cumprimento de obrigação legal ou regulatória pelo controlador; estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; transferência a terceiro, desde que respeitados os requisitos de tratamento de dados e/ou, uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
É de suma importância que as empresas, como agentes de tratamento de dados, adotem medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Por fim, cumpre esclarecer que nem todos os dispositivos da lei estão em vigor, o que, a priori, somente ocorrerá no dia 1º de agosto de 2021. Assim, os arts. 52, 53 e 54, que tratam das sanções administrativas que poderão ser aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD), ainda não estão em vigência.
Se você ainda tiver alguma dúvida sobre esse assunto, estamos à disposição para ajudá-lo.
