A Lei Geral de Proteção de Dados – Lei nº 13.709 foi aprovada em agosto de 2018, com o intuito de regulamentar o tratamento de dados pessoais de clientes e de usuários.
A Lei indicada estabelece os parâmetros de como os dados devem ser coletados, armazenados e descartados.
Tecnologia e privacidade
O crescente uso das Tecnologias de Informação e Comunicação – TIC’s, da internet, de smartphones, de aplicativos, facilita a vida em muitos aspectos, aproxima as pessoas, possibilita conversas e reuniões à distância, compras sem sair de casa, acesso a notícias e a livros.
Atualmente, pode-se resolver praticamente tudo virtualmente. É inegável que as TIC’s trouxeram avanços e modificaram as relações sociais, embora muitas pessoas ainda não tenham acesso aos benefícios da tecnologia, por conta de exclusão social e informacional.
Salienta-se que o uso das tecnologias também pode trazer muitos prejuízos, violar a intimidade e a privacidade, distanciar os indivíduos e deixá-los em condições cada vez mais expostas e vulneráveis.
O comércio eletrônico é uma realidade. Com a correria do dia a dia, utiliza-se cada vez mais aplicativos para locomoção, para comprar comida, para acessar a conta bancária, para a comunicação com as pessoas, para efetuar compras, entre outros.
Como se pode perceber muita informação pessoal fica registrada nos aplicativos e circula na rede. O que acontece com os dados? Quem tem acesso aos dados?
Atualmente ouve-se falar sobre o Big Data – banco de dados -, que detém o armazenamento de imensa quantidade de dados, gerando informações pessoais relevantes para as empresas e para as organizações.
Em virtude dos diversos vazamentos de dados, tornam-se necessárias medidas de segurança no meio virtual, a partir da instituição de lei específica que garanta a proteção de dados pessoais.
Conforme indicado por Rodotà, deve ser buscada e proposta uma nova percepção da privacidade, que esteja relacionada com o direito à proteção de dados, que deve ser visto como um direito fundamental.
O que é a Lei Geral de Proteção de Dados?
Em 15 de abril de 2016 foi aprovado o Regulamento Geral de Proteção de Dados (General Data Protection Regulation – GDPR), que revogou a Diretiva nº 95/46/CE do Parlamento Europeu e do Conselho da União Europeia, que dispunha sobre a proteção de dados pessoais.
A nova regulação europeia criada se aplica dentro de todo bloco europeu e deve ser observada por todos os Estados-membros. O Brasil naquele momento ainda não possuía uma legislação que tratasse especificamente da proteção de dados pessoais.
Em 2018, no mesmo ano em que entrou em vigor a GDPR europeia, foi aprovada a Lei nº 13.709 - Lei Geral de Proteção de Dados Pessoais – LGPD no Brasil.
A LGPD é inspirada no regulamento europeu e regulamenta vários aspectos sobre a privacidade de dados. A LGPD foi aprovada, mais precisamente, em agosto de 2018 e é um desdobramento do Marco Civil da Internet (2014).
O Marco Civil da Internet se fundamenta sobre três pilares: neutralidade da rede, liberdade de expressão e privacidade dos usuários.
A Lei Geral de Proteção de Dados dispõe sobre a proteção de dados pessoais, no meio digital, tanto da pessoa física quanto da pessoa jurídica. Está previsto que a LGPD entrará em vigor em agosto de 2020.
Entretanto, conforme indicado pela página institucional da Câmara dos Deputados, o Projeto de Lei nº 5.762 de 2019 prorroga por dois anos, de agosto de 2020 para agosto de 2022, a vigência da maior parte de dispositivos da LGPD.
A proposta de adiamento tem sido justificada, no sentido de que a maioria das empresas ainda não iniciou as reformulações indicadas pela LGPD.
Entre as medidas indicadas na LGPD tem-se a criação da Autoridade Nacional de Proteção de Dados (ANPD). A respectiva autoridade estará vinculada à Presidência da República e será auxiliada pelo Conselho Nacional de Proteção de Dados Pessoais e da Privacidade.
Inicialmente o dispositivo de criação ANPD foi vetado por Temer, que em dezembro de 2018 recriou a autoridade, por Medida Provisória, aprovada em maio de 2019 e sancionada em julho de 2019 pelo atual Presidente.
Ademais, com a LGPD foram criados agentes de tratamento das informações: o operador e o controlador. A diferença entre tais agentes está no poder de decisão, uma vez que o operador pode realizar o tratamento do dado, a partir de ordens do controlador.
As definições desses tipos de agentes encontram-se dispostas no art. 5º, incisos VI e VII da Lei nº 13.709 de 2018 – LGPD. Outrossim, no art. 5º estão presentes definições de outros termos, como os titulares – no inciso V.
Art. 5º Para os fins dessa lei, considera-se:
V – titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Proteção de Dados: pessoais, sensíveis, públicos e anonimizados
No que se refere à proteção de dados, pode-se dizer que os dados são caracterizados como pessoais, sensíveis, públicos e anonimizados.
De acordo com a LGPD, a informação que permite identificar, direta ou indiretamente, um indivíduo que se encontre vivo é considerada um dado pessoal. Exemplos: CPF, RG, data de nascimento, endereço, histórico de consumo e preferência de lazer.
Os dados sensíveis podem ser entendidos como aqueles dados que necessitam de maior cuidado e atenção. São considerados sensíveis, pois revelam informações extras sobre determinada pessoa, podendo gerar identificação e discriminação.
Podem ser considerados dados sensíveis: os que contenham informações sobre crianças e adolescentes, origem racial e étnica, convicções religiosas, opiniões políticas, filiação sindical, convicções, questões genéticas e vida sexual de uma pessoa.
Com relação aos dados públicos, apesar de a lei trazer parâmetros para definir quais dados devem ser considerados públicos, cabe informar que ainda há um debate sobre quais dados devem ser considerados públicos e poderão ficar expostos para todos.
Quanto aos dados anonimizados, referem-se aos dados que eram relativos a determinada pessoa, mas que por intermédio de um processo se tornaram desvinculados dessa pessoa.
O dado anonimizado é aquele dado em que não se consegue descobrir de qual pessoa foi originado. Ressalta-se que quando o dado for anonimizado a LGPD não se aplicará a ele.
De acordo com especialistas, os dados anonimizados são fundamentais para o crescimento da inteligência artificial, da internet das coisas, entre outros.
Vazamento de dados, adequação das empresas e de órgãos públicos
Já aconteceram diversos casos de vazamento de dados por empresas, expondo e-mails, datas de nascimento, os quatro últimos dígitos de cartão de crédito de cliente, CEP, números de telefone, mensagens privadas de redes sociais, informações de viagem e de acomodação, entre outros.
Os vazamentos desses dados e de outras informações demonstram como os sistemas são vulneráveis. As empresas precisarão se adequar à LGPD, pois poderão sofrer consequências caso ocorra o vazamento, ainda que acidental, de dados pessoais dos seus clientes.
Segundo o Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) aconteceram mais de 9 mil incidentes de vazamentos de informações de órgãos públicos ou de entidades públicas até outubro de 2019.
Dessa forma, tais órgãos públicos e entidades públicas também devem estar preparados para impedir o vazamento de informações.
Com relação à segurança e ao sigilo de dados, de acordo com o art. 46, da Lei nº 13.709 de 2018:
Art. 46 Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Assim, cabe informar que as organizações que não respeitarem as normas da LGPD, poderão sofrer sanções e multas de até R$ 50 milhões de reais.