A legislação europeia, mais especificamente a General Data Protection Regulation (Regulamento Geral de Proteção de Dados), que entrou em vigor em maio de 2018, com o objetivo de garantir ao cidadão europeu a proteção de dados confiados a empresas em processos de registro, inspirou o texto da legislação brasileira, a Lei nº 13.709, de 14 de Agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD), que foi sancionada em 10 de julho de 2018, e entrou em vigor em setembro de 2020, com sanções administrativas previstas para começar a valer a partir de 1º de agosto de 2021.
Conforme exposto em seu artigo 1º, a LGPD tem como objetivo central de preservar o direito constitucional à liberdade e à privacidade que todos os cidadãos brasileiros têm, assim como protegê-los de danos causados por rupturas desses direitos. Diante disso, todas as organizações, pública ou privada, independente do seu tamanho e área de atuação, necessitarão mapear como os dados pessoais e sensíveis que transitam pela sua empresa e pelos seus fornecedores, aprimorando medidas de segurança dos dados e promovendo políticas transparentes sobre o uso, a coleta e o armazenamento.
Quando falamos sobre a LGPD, a proteção de dados virtuais (internet e em meios eletrônicos) costuma ser o foco, porém é importante destacar que a Lei abrange não só o mundo virtual, mas, também, todo e qualquer tratamento de dados, inclusive os analógicos, como cadastro no papel de funcionários, clientes e fornecedores, verificações presenciais de documentos, cópias de documentos, dentre outros.
Com isso, conforme prevê o artigo 3º da Lei, a aplicação se dá em todo e qualquer tratamento de dados realizado (total ou parcialmente), tanto por pessoa física quanto por pessoa jurídica, em solo brasileiro, ou que tenha por objetivo vender produtos e serviços nacionais, sendo considerado coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta. Assim, podemos dizer que a Lei é voltada para tratamentos com fins comerciais, ou seja, não se enquadram no citado artigo as trocas e outros tratamentos de dados entre pessoas físicas sem objetivos de compra ou venda de produtos e serviços,
Continuando as questões relativas à aplicação da Lei, urge destacar os dispostos no artigo 4º, onde é pontuado os tratamentos de dados pessoais onde a Lei não se aplica: pessoas físicas têm o direito de realizar tratamentos de dados livremente quando estes tiverem fins exclusivamente particulares (não comerciais); tratamentos de dados para fins jornalísticos, artísticos ou acadêmicos. Dessa forma, preserva-se a liberdade de imprensa, da arte e da ciência; tratamento de dados são relacionados à segurança pública, à defesa nacional e/ou à segurança do Estado; atividades investigativas ou com o objetivo de impedir a ocorrência de crimes; garantir a segurança e defesa nacional deve ser realizado exclusivamente por órgão público, empresa pública ou empresa privada que esteja sob tutela do poder público ao realizar aquela atividade. Nesses casos, o tratamento de dados será feito única e exclusivamente para fins de atender o interesse público.
Para zelar pela sua aplicação, a LGPD, em seu artigo 55, criou a Autoridade Nacional de Proteção de Dados (ANPD), órgão vinculado à Presidência da República, dotada de autonomia técnica e decisória, com jurisdição no território nacional e com sede e foro no Distrito Federal, que tem o objetivo de proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa natural, orientada pelo disposto na Lei nº 13.709, de 14 de agosto de 2018, a LGPD. Ou seja, a ANDP é o órgão responsável por promover a adoção de padrões técnicos mínimos para facilitar o controle de dados por parte dos próprios titulares, cumprindo o seu papel de não apenas aplicar a LGPD, mas também de conscientizar os cidadãos sobre os temas da Lei.
E, para intermediar a comunicação entre os titulares dos dados, a organização e a Autoridade Nacional de Proteção de Dados (ANDP), a LGPD, em seu artigo 41, diz que os gestores da empresa devem indicar um Encarregado, profissional que será responsável por aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; receber comunicações da autoridade nacional e adotar providências; orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e demais atividades exigidas pelo controlador sobre o tratamento de dados, visando obedecer à Lei.
Assim, embora seja desafiador regulamentar o controle de dados pessoais e seu uso, a criação da LGPD foi um passo importante, para dar mais segurança à maneira como os dados pessoais são tratados.
Iêdo Flávio de Andrade Filho
Membro da Comissão Executiva
Sergipe Gás S/A – SERGAS