Após uma grande novela sobre quando seria sua entrada em vigor, na data de 17 de setembro de 2020, a Lei Geral de Proteção de Dados, mais conhecida como LGPD, entrou em vigor. Ok, mas o quê isso significa?
De forma simplificada, podemos dizer que a LGPD visa defender os direitos sobre os dados pessoais e dar maior poder ao titular sobre o que poderá ou não ser feito com seus dados quando forem tratados.
De início é muito importante restar claro o que é dado pessoal, quem são os sujeitos envolvidos nessa relação de tratamento de dados pessoais e, além disso, o que pode ser considerado como tratamento de dados.
Para auxiliar nesse ponto a própria LGPD traz em seu artigo 5º uma espécie de glossário dos termos utilizados no texto da lei, fato qual facilita enormemente a tarefa de interpretar e aplicar as normas no dia a dia.
Com relação ao conceito de dados pessoais, o inciso I do artigo 5º dispõe que:
I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
Deste modo, entende-se dado pessoal como qualquer informação relacionada a uma pessoa natural, como por exemplo, nome, RG, CPF, data de nascimento, endereço, e-mail etc.
Ressalta-se que não pode ser considerado dado pessoal se não for relacionado a uma pessoa identificada ou identificável, ou seja, dados anônimos não são protegidos pela LGPD.
Quanto aos dados pessoais deve-se tomar muito cuidado, pois a lei apresenta uma categoria diversa à citada acima, sendo ela a dos dados pessoais sensíveis. Seu conceito está presente no inciso II do mesmo artigo:
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
O legislador apresentou definição diversa nesse caso por se tratar de dados capazes de gerar discriminação, merecendo, deste modo, maior cuidado. Podemos usar como exemplo de discriminação baseado nos dados sensíveis a não contratação de pessoa por constar em seu currículo sua origem racial.
Vencendo a definição de dados, devemos entender a quem esses dados se referem. No inciso V, a LGPD apresenta a figura do titular:
V - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
Aqui temos uma definição muito importante, pois extrai-se que a lei somente se refere aos dados de pessoais naturais, excluindo, consequentemente, de sua proteção, os dados das pessoas jurídicas.
Já analisamos quem são os titulares dos dados protegidos, agora veremos quem são os responsáveis pelo tratamento dos pessoais.
Iniciaremos com a figura do controlador, o qual está previsto no inciso VI, do art. 5º:
VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
Tem-se como controlador a pessoa principal do tratamento de dados, pois é ela quem realmente os possui e dita as regras sobre como serão utilizados. Diferentemente do titular, o controlador pode ser tanto pessoa natural quanto jurídica.
Pode-se dar como exemplo de controlador uma empresa que requer cadastro do cliente para que possa prestar o serviço ou a empresa com relação aos dados de seus funcionários. Em ambos os casos o controlador possui total controle sobre os dados recebidos, pois foi ele quem escolheu quais dados seriam tratados e para quais finalidades.
Além do controlador, temos outra figura muito importante com relação ao tratamento de dados, sendo esta o operador, a qual encontra-se disposta no inciso VII do referido art.:
VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
Enquanto o controlador possui o comando sobre o que será feito com os dados, o operador seguirá essas ordens e tratará os dados fornecidos pelo controlador, não cabendo a ele qualquer poder de decisão acerca do tratamento.
De início todas essas definições podem parecer um pouco confusas, mas um exemplo sempre se mostra útil nessas horas:
Uma empresa (controladora) armazena dados de seus funcionários (titulares) para que possa cumprir com suas obrigações presentes em um contrato de emprego, sendo que uma dessas obrigações se refere ao pagamento de vale refeição. Para efetuar esse pagamento, a controladora contrata uma empresa especializada em vale refeição (operadora) para tal fim. Acontece que para que isso seja possível é necessário que a controladora ofereça alguns dados de seus funcionários para operadora, pois, sem eles, seria inviável a criação de cartão e o depósito da quantia específica para cada funcionário.
Com esse exemplo pode-se perceber que a controladora detém todo o poder sobre os dados pessoais, pois é ela que determina quais serão tratados e para qual finalidade. Já a operadora somente seguirá o que ele for determinado. No presente caso a empresa de vale refeição somente usará os dados fornecidos pela controladora para o fim específico de efetuar o pagamento do vale refeição, sendo proibido qualquer outra forma de utilização dos dados fornecidos.
Por fim, mas não menos importante, o inciso X traz o conceito de tratamento de dados:
X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
Basicamente qualquer operação realizada com dados pessoais será considerada como tratamento para os fins da LGPD, ou seja, quase sempre que houver uma operação de tratamento com dados pessoais, deverão ser respeitadas as regras previstas na Lei Geral de Proteção de Dados.
Depois de apresentar alguns dos importantes conceitos trazidos pela LGPD, podemos notar que a proteção de dados se tornou algo mais palpável e presente no nosso dia a dia. Desse modo, é importante que empreendedores prestem mais atenção na questão relativa a proteção de dados, pois, como já ocorreu quando da entrada em vigor do Código de Defesa do Consumidor, é um caminho sem volta e que será fiscalizado pelos próprios titulares de dados.