Diante da utilização cada vez maior da tecnologia e principalmente da internet, nossa sociedade se vê exposta a um cenário de facilidades e incertezas. Assim, surge a necessidade do amparo jurídico para regulamentar e gerir as ações que utilizam os dados pessoais dos usuários.
A Lei Geral de Proteção de Dados (Lei n. 13.709, de 14 de agosto de 2018) tem como principal objetivo proteger os direitos fundamentais de liberdade, privacidade, livre desenvolvimento da personalidade da pessoa natural, além da criação de um cenário de segurança jurídica, com a padronização de regulamentos e práticas para promover a proteção aos dados pessoais de todo cidadão que esteja no Brasil, de acordo com os parâmetros internacionais já existentes.
A Lei foi aprovada em 2018 e entrou em vigor em 18 de setembro. Ela representa um marco histórico na regulamentação do tratamento de dados pessoais no Brasil, tanto em meios físicos quanto em plataformas digitais. Além de mudar a maneira como instituições privadas coletam, armazenam e disponibilizam informações de usuários, a LGPD é destinada às instituições públicas, dessa forma, deve ser seguida por União, estados, Distrito Federal e municípios.
Esclarece ainda que todos os dados tratados, tanto no meio físico quanto no digital, estão sujeitos à regulação. A lei autoriza também o compartilhamento de dados pessoais com organismos internacionais e com outros países, desde que observados os requisitos nela estabelecidos.
Logo após sua publicação, o Conselho Nacional de Justiça (CNJ) editou a Recomendação 73/2020, que orientou os órgãos do Poder Judiciário a adotarem medidas para a adequação dos tribunais às disposições da legislação de proteção de dados.
Desde então, o Superior Tribunal de Justiça (STJ) tem realizado estudos, promovido discussões e implementado ações voltadas para o cumprimento da LGPD e a garantia de proteção dos direitos fundamentais de liberdade e de privacidade dos cidadãos. O consentimento do titular dos dados é considerado elemento essencial para o tratamento, regra excepcionada nos casos previstos no art. 11, II, da Lei.
A lei traz várias garantias ao cidadão, como: poder solicitar que os seus dados pessoais sejam excluídos; revogar o consentimento; transferir dados para outro fornecedor de serviços, entre outras ações. O tratamento destes dados deve ser feito levando em conta alguns requisitos, como finalidade e necessidade, a serem previamente acertados e informados ao titular.
Para fiscalizar e aplicar penalidades pelos descumprimentos da LGPD, o Brasil conta com a Autoridade Nacional de Proteção de Dados Pessoais, a ANPD. A instituição tem a tarefa de regular e de orientar, preventivamente, sobre como aplicar a lei.
Com relação à administração de riscos e falhas, o responsável por gerir dados pessoais também deve redigir normas de governança; adotar medidas preventivas de segurança; replicar boas práticas e certificações existentes no mercado; elaborar planos de contingência; fazer auditorias; resolver incidentes com agilidade, com o aviso imediato sobre violações à ANPD e aos indivíduos afetados.
O tratamento de dados é caracterizado na LGPD como “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.
A obtenção do consentimento envolve um conjunto de requisitos, como ocorrer por escrito ou por outro meio que mostre claramente a vontade do titular e ser ofertado em uma cláusula destacada. O consentimento deve ser relacionado a uma finalidade determinada. Ou seja, não se pode solicitar o consentimento para a posse simplesmente de uma informação, mas deve ser indicado para que ela será utilizada.
Contudo, o Artigo 10 da lei garante a possibilidade de um uso distinto daquele informado na coleta, situação denominada de “legítimo interesse”. É um caso muito usado pelas empresas, no qual a norma exige a adoção de medidas de transparência e que nessa finalidade adicional sejam utilizados os dados estritamente necessários.
Os dados sensíveis têm regras específicas de tratamento. A Autoridade Nacional pode regulamentar ou vetar o emprego destes para vantagem econômica. No caso da saúde, tal finalidade é proibida, mas com diversas exceções, como prestação de serviços, assistência farmacêutica e assistência à saúde.
A LGPD lista um conjunto de sanções para o caso de violação das regras previstas, entre as quais destacam-se advertência, com possibilidade de medidas corretivas; multa de até 2% do faturamento com limite de até R$ 50 milhões; bloqueio ou eliminação dos dados pessoais relacionados à irregularidade, suspensão parcial do funcionamento do banco de dados e proibição parcial ou total da atividade de tratamento.
Um longo período ainda será percorrido para aperfeiçoamento e aplicabilidade da Lei, assim, o Direito continua exercendo uma de suas funções que é a de acompanhar o desenvolvimento de nossa sociedade e gerir suas necessidades.
Fernanda de Bona
Aluna da pós em Direito das Famílias e Sucessões