1. A CRIAÇÃO DA LGPD
A Lei Geral de Proteção de Dados, Lei 13.709 de 2018, conhecida como LGPD, foi criada para regulamentar o tratamento de dados pessoais por pessoa natural ou jurídica de direito público ou privado em território brasileiro, inclusive nos meios digitais, com objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
A LGPD criou normas específicas de tratamento de dados pessoais, regulamentando todo o procedimento desde a coleta da informação, armazenamento em banco de dados, a possibilidade ou não de compartilhamento e a total eliminação após conclusão de determinado prazo ou finalidade.
A preocupação em torno do tratamento de dados surgiu a partir do contexto histórico e social em que a tecnologia e a internet, sobretudo a partir de 2010, possibilitaram o desenvolvimento das relações virtuais - do acesso à informação, comércio virtual, prestação de serviço em plataformas digitais e interações em geral através das redes sociais, sites e aplicativos - que passaram a fazer parte fundamental das relações sociais.
A partir desse fenômeno, o questionamento sobre a liberdade e a privacidade nos meios digitais ganhou espaço no mundo jurídico. A regulamentação do tratamento de dados pessoais não é uma tarefa fácil, pois deve considerar outras questões igualmente importantes como a liberdade de acesso à informação, a segurança digital, o anonimato e a liberdade de expressão. Questões que ainda são amplamente discutidas no contexto jurídico, político e social.
Mas o que são dados pessoais? Quando estes dados são coletados? Quem são os responsáveis pelo tratamento? O que significa exatamente a proteção de dados pessoais e quais são os direitos e deveres que as pessoas precisam conhecer para estar de acordo com a lei?
2. A TECNOLOGIA E A PROTEÇÃO DE DADOS
O desenvolvimento da tecnologia e da internet trouxe à nossa sociedade meios de comunicação, entretenimento, relações de trabalho e estudo, relações de consumo e geração de renda, relações afetivas e inovações em praticamente todos os nichos sociais. As pessoas utilizam mídias sociais e plataformas digitais o tempo todo, fornecendo dados cadastrais, telefone, número de documentos pessoais, preferências, interesses particulares e até horários de acesso. Todas essas informações são coletadas e processadas por empresas e prestadores de serviços de diversos setores.
Por meio dessas informações, empresas que utilizam programas avançados de tratamento de dados conseguem adaptar métodos de marketing para determinado público-alvo; conseguem monitorar e desenvolver softwares de acordo com a necessidade e as preferências de seus usuários e elaborar inúmeros relatórios apenas pela análise das informações de acesso nas suas plataformas.
No entanto, apesar da tecnologia facilitar a interação social, é necessário refletir sobre alguns pontos controvertidos que surgiram a partir disso, como a prática de crimes, ameaças e condutas maliciosas que colocam em risco a segurança jurídica, pessoal e comercial de pessoas e empresas.
O acesso ilegal a determinado banco de dados de uma empresa, por exemplo, pode gerar prejuízos imensuráveis a uma grande quantidade de pessoas, colando em risco a economia, a saúde e a vida dessas pessoas. Portanto, a responsabilidade sobre o tratamento de dados tomou proporções mundiais e deve ser cumprida por todos.
3. A IMPORTÂNCIA DO TRATAMENTO DE DADOS PESSOAIS
A título de curiosidade, para que o leitor tenha ideia da importância da proteção de dados, vale lembrar o caso que ficou mundialmente conhecido em 2014 sobre a utilização de dados pessoais coletados pela empresa Cambridge Analytica através do Facebook. A empresa utilizou dados coletados no Facebook para traçar perfis de eleitores americanos, conforme matéria publicada no The New York Times.
“O Times relatou que em 2014 contratados e funcionários da Cambridge Analytica, ansiosos para vender perfis psicológicos de eleitores americanos para campanhas políticas, adquiriram os dados privados do Facebook de dezenas de milhões de usuários - o maior vazamento conhecido na história do Facebook.
Houve mais. Nosso artigo primeiro mostrou como Cambridge recebeu advertências de seu próprio advogado, Laurence Levy, ao empregar cidadãos europeus e canadenses em campanhas, potencialmente violando a lei eleitoral americana. O Times também descobriu que parcelas de dados brutos ainda existiam fora do controle do Facebook.”
Em 2017, outro escândalo de vazamento de dados foi anunciado mundialmente, dessa vez envolvendo as empresas de streaming Netflix e Spotify.
“O laboratório de segurança da PSafe dfndr lab fez um levantamento de cinco bancos de dados que foram comprometidos em diversos países, segundo o dfndr, ao todo cerca de 3,4 milhões de usuários e senhas de pessoas de todo o mundo foram vazadas na Internet, ao que parece esses dados de acesso são de serviços de streaming de vídeo e música como o Netflix e Spotify respectivamente, além desses serviços, os documentos vazados também contém dados de acesso de contas de jogos. Nos documentos vazados que a dfndr lab teve acesso é possível encontrar informações como email do usuário e senha seguido pelo site que corresponde os dados de acesso.
O que agrava ainda mais a situação desses usuários em casos de vazamento de dados, é que a maioria das pessoas tem o péssimo hábito de utilizar a mesma senha para diversos serviços, com isso além de testar o acesso no site em que o usuário e senha pertence, cibercriminosos tentam utilizar o mesmo email e senha para acessar serviços de email, redes sociais e vários outros sites e aplicativos, com isso o cibercriminosos acaba podendo até mesmo ter um controle absoluto das contas da vítima.”
Há pouco tempo, antes de se pensar em proteção de dados digitais, era comum a negociação de informações pessoais de clientes entre empresas, sem qualquer controle rigoroso de proteção à privacidade e à liberdade daquelas pessoas, que sequer tinham ideia do que estava acontecendo.
Através da negociação de banco de dados, pessoas recebiam diariamente propagandas por e-mail, ligações telefônicas ou até mesmo por correios de empresas que geralmente nem conheciam, onde nunca haviam disponibilizado seus dados cadastrais e pessoais.
Num primeiro momento, esse fato pode parecer incômodo, mas ao se aprofundar na questão e considerar a quantidade de informação que cada usuário produz na rede ao pesquisar um serviço, ao redigir uma dúvida em sites de busca, ao comparar preços de produtos na internet, na troca de mensagens virtuais em redes sociais, ao deixar catalogado seu histórico de pedidos em aplicativos de entrega de alimentação, enfim, quando nos damos conta da bagagem de dados pessoais que deixamos na internet diariamente, passamos a questionar se a nossa privacidade está sendo protegida de fato, se a nossa liberdade no universo virtual realmente existe.
4. MAS AFINAL, QUANDO OCORRE O TRATAMENTO DE DADOS PESSOAIS?
Conforme exposto na lei, tratamento é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle de informação, modificação, comunicação, transferência, difusão ou extração.
Basicamente, qualquer informação que o usuário forneça e coloque a disposição do operador incorre no tratamento de dados. A questão fundamental gira em torno das condições adequadas para legitimar o tratamento de dados, considerando o consentimento do titular, os requisitos necessários para a coleta, as condições de armazenamento das informações e eliminação dos dados no prazo determinado.
Conforme exposto no artigo 6º da LGPD, o controlador e o operador deverão respeitar princípios que norteiam o tratamento de dados como a boa-fé, a finalidade a que se destinam, adequação do tratamento com a finalidade estabelecida e a necessidade do tratamento ao mínimo necessário para a realização de suas atividades. É necessário conceder aos titulares livre acesso às informações e consulta sobre a forma e a duração do tratamento, operar com total segurança e transparência e prestar contas das medidas adotadas no tratamento e sua eficácia.
5. QUANDO OS DADOS PESSOAIS DO TITULAR PODERÃO SER TRATADOS?
A partir da Lei Geral de Proteção de Dados, que entrará em vigor a partir de 2021, o tratamento de dados só poderá ser realizado se respeitados alguns requisitos prévios. Nesse ponto, vale a leitura do artigo 7º da lei, que prevê as seguintes hipóteses:
Art. 7º. O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I - mediante o fornecimento de consentimento do titular;
II - para cumprimento de obrigação legal ou regulatória pelo controlador;
III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;
IV - para realização de estudos por órgãos de pesquisa garantida, sempre que possível, a anonimização dos dados pessoais;
V - quando necessário para a execução de contrato ou procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
VII - para a proteção da vida ou da incolumidade física do titular ou de terceiros;
VIII - para tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
No caso de tratamento de dados pessoais sensíveis e dados pessoais de crianças e adolescentes a legislação é ainda mais severa, exigindo o consentimento do titular ou seu responsável legal, de forma específica e destacada. No caso de crianças, deverá ser realizado com o consentimento específico e destacado dado por pelo menos um dos pais ou pelo responsável legal.
6. A ELIMINAÇÃO DOS DADOS PESSOAIS E O TÉRMINO DO TRATAMENTO
Conforme percebemos até aqui, o tratamento segue um procedimento determinado onde etapas são cumpridas desde a coleta até a fase final do tratamento, quando os dados pessoais deverão ser eliminados do banco de dados.
A eliminação ocorrerá quando a finalidade do tratamento for alcançada ou quando os dados deixarem de ser necessários para a finalidade almejada. Poderá ser eliminado também a pedido do titular, no exercício de seu direito de revogação do consentimento.
7. SANÇÕES ADMINISTRATIVAS
A Lei Geral de Proteção de Dados foi criada para regulamentar o tratamento de dados e proteger a privacidade e a liberdade das pessoas que fornecem informações pessoais físicas e digitais. Por essa razão a lei traz uma série de sanções administrativas àqueles que cometerem infrações e descumprirem as normas estabelecidas na legislação.
As sanções envolvem desde advertências, com indicação de prazo para adoção de medidas corretivas à multas diárias que podem chegar até R$ 50.000.000,00 (cinquenta milhões de reais) por infração.
É importante ficar atento ao que determina a lei. O prazo para adaptação ainda está fluindo, não deixe de pesquisar e estudar a legislação e procure um advogado especialista em direito digital para conhecer os seus direitos e deveres.
8. CONHECENDO ALGUNS TERMOS TÉCNICOS
Por fim, é necessário conhecer a definição de alguns termos técnicos utilizados na lei que podem clarear o entendimento do leitor acerca do tratamento de dados e dos sujeitos envolvidos no processo.
As definições são estabelecidas na própria lei, no art. 5º.
Dados pessoais: informações relacionadas à pessoa natural identificada ou identificável.
São informações coletadas por pessoa natural ou jurídica que possibilitem a identificação do titular ou possam torná-lo identificável de alguma forma. Ex. dados cadastrais, profissão, nacionalidade, hábitos de consumo, páginas curtidas e seguidas em redes sociais, etc.
Dados pessoais sensíveis: são dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural.
São informações de caráter estritamente privado, que possibilitem a identificação de traços da personalidade do titular. A lei estabelece proteção especial e mais incisiva desse tipo de dado.
Dados anonimizados: dados que não possam ser identificados, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
São dados coletados através de pesquisas, votações, opiniões, etc. - que fundamentam um conhecimento, não importando a identidade do titular, que se torna anônimo ao ser coletado.
Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
É o usuário propriamente dito, aquele que disponibiliza suas informações pessoais para cadastro, registro, pesquisa, pagamento ou prestação de qualquer natureza, através de meios físicos ou virtuais.
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
Normalmente são empresas detentoras das plataformas digitais (facebook, twitter, ifood, mercado livre, etc.), pequenos sites empresariais ou de prestadores de serviços que realizam cadastros para vendas ou elaboração de contratos.
Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
A legislação europeia de proteção de dados (GDPR) criou a figura do DPO (data protection officer), responsável pelo tratamento dos dados coletados e adequação deste tratamento às normas jurídicas de proteção de dados e privacidade, além da comunicação entre controlador, titular e agência governamental de fiscalização. No Brasil, é exatamente o papel do encarregado.
Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle de informação, modificação, comunicação, transferência, difusão ou extração.
O tratamento dos dados se refere a todo processo de armazenamento das informações, desde a coleta até a eliminação dos dados pelo setor responsável, por meios de registro físico ou digitais, como redes sociais, blogs, sites, aplicativos, plataformas de venda, jogos, enfim, qualquer meio de coleta e processamento de dados pessoais.
Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
O consentimento do titular é essencial para que os dados pessoais sejam coletados e tratados. de maneira livre e inequívoca.
Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
Relatório que todo controlador deve apresentar em situações específicas de risco à proteção dos dados que serão tratados.
|
留言