A Lei Geral de Proteção dos Dados foi aprovada em 2018, após uma batalha que durou anos, mas só entrou em vigor em setembro de 2020, colocando o Brasil ao lado de outros 120 países com normas específicas que definem limites e condições para coleta, guarda e tratamento de informações pessoais.
A partir da LGPD, o Brasil passou a ter definições concretas sobre categorias de dados, grupos sujeitos à legislação, coleta e tratamento de dados, direitos e garantias dos titulares e condições especiais para dados sensíveis e segmentos. Também trouxe obrigações às empresas e sanções para os casos de violações, além de instituir um regime diferenciado para o Poder Público e prever a criação de uma autoridade nacional. “Foi um passo significativamente importante, frente ao crescente número de vazamentos de dados que colocaram em risco a segurança financeira e pessoal de usuários em todo o mundo”, analisa o CEO da BigDataCorp, Thoran Rodrigues.
Ele explica que, por entender que os dados pessoais, como o próprio nome já diz, são informações que podem identificar uma pessoa, a lei trouxe uma novidade: criou a categoria de dados sensíveis. “São informações sobre etnia, religião, posição política, opção sexual ou condição de saúde, que exigem um nível maior de proteção, para evitar qualquer forma de discriminação”, diz o especialista.
Para que tudo funcione de maneira eficaz, a lei estipula que todas as atividades realizadas por pessoas localizadas no Brasil são sujeitas às cláusulas da lei, inclusive para coletas realizadas em outro país, mas relacionadas a bens ou serviços ofertados a brasileiros, ou que tenham sido realizadas aqui. “Logicamente como toda lei no Brasil, a redação da LGPD traz algumas exceções”, destaca Thoran. “O estado, por exemplo, está livre para obter informações para tratar questões de segurança pública, defesa nacional, investigação e repressão de infrações penais. Outra exceção é para os casos de coletas para fins exclusivamente particulares e não econômicos, jornalísticos, artísticos e acadêmicos. Para esses casos, existe uma legislação específica”, explica o CEO da BigDataCorp.
Mudanças também na forma de tratar os dados
A forma de tratar os dados também é regimentada pela LGPD, que entende que “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.
Porém, um dos pontos mais importantes da lei é a definição de que, para que os dados sejam obtidos e tratados, é preciso que haja o consentimento do titular. “Vale destacar que esse consentimento precisa estar relacionado a uma determinada finalidade”, pontua Thoran. “Uma empresa não pode solicitar seus dados apenas para tê-los, é preciso que haja uma razão, um objetivo e, em alguns casos, um prazo determinado. Mais do que nunca, é preciso que haja transparência e responsabilidade sobre o uso dos dados”, ressalta o especialista.
A obtenção também pode se dar de outras formas, sem que seja necessário o consentimento do titular. Alguns exemplos são para o cumprimento de uma obrigação legal, para estudos por órgão de pesquisa, para proteção da vida do titular ou de terceiros e também para tutela da saúde por profissionais ou autoridades da área. A lei também permite a coleta e o tratamento de dados pessoais pela administração pública para o desenvolvimento de políticas públicas e pelos órgãos de proteção ao crédito para o desenvolvimento de cadastros positivos, pontuando os “bons pagadores”.“Ao contrário do que acontecia antes de termos regras claras sobre a coleta e o tratamento dos dados, o titular sempre deverá ser informado da finalidade da empresa ao coletar seus dados”, conta o empresário.
Entre as obrigações trazidas pela lei às empresas, estão a necessidade de manter registro sobre as atividades de tratamento, que deve ser apresentado ao titular em até 15 dias quando solicitado.
Garantias de privacidade
Às empresas, cabe a necessidade de adotar medidas claras e eficazes para garantir a segurança das informações coletadas. Elas também ficam obrigadas a notificar o titular sempre que houver algum incidente de segurança.
Na opinião de Thoran, esse cuidado por parte das empresas é muito importante, pois elas poderão sofrer sanções penais caso algum vazamento cause danos ao titular. “Aqui, vale lembrar que, com o avanço de tecnologias de análise e coleta de dados e de inteligência artificial, as práticas de algumas empresas começaram a ficar cada vez mais invasivas e discriminatórias, o que fortaleceu o debate quanto à necessidade de regulamentação em práticas envolvendo o uso de dados pessoais”, esclarece.
Assim como a LGPD estipula deveres às empresas, definindo os direitos dos titulares dos dados, a mesma não dá a eles o direito de escolher com qual finalidade os dados serão usados, mas permite que o titular revogue o consentimento dado a qualquer momento.
O titular também pode pedir que a empresa informe quais dados ela mantém sobre ele em seu banco, de que forma eles são tratados, solicitar a correção de registros errados ou incompletos, eliminar dados desnecessários e até mesmo fazer a portabilidade dos dados para outro fornecedor, como já é possível com o cadastro positivo dos bancos. “Tais medidas trazem mais segurança e transparência ao processo”, afirma Thoran.
Proteção ao menor
Já para o caso de coleta e tratamento de dados de crianças, a lei traz garantias e normas específicas, como a necessidade do consentimento de um dos pais. No entanto, a coleta pode se dar com o intuito de contatar os pais do menor desde que haja transparência sobre seu uso e que sejam coletados apenas os dados necessários.
Apesar das profundas mudanças trazidas pela LGPD, a nova dinâmica de regulamentação pode ser vista como uma oportunidade única e bastante positiva para o mercado como um todo. “A tendência é que as empresas busquem utilizar métodos mais limpos e naturais para continuar alcançando pessoas, o que não significa que elas terão que parar de trabalhar com dados, mas que passarão a tomar alguns cuidados básicos e fundamentais”, conclui Thoran.