Em 10 de julho de 2018, foi aprovado no Senado o Projeto de Lei da Câmara 53/2018[1], também conhecido como a “Lei Geral de Proteção de Dados brasileira”, ou “LGPD”, que segue agora para sanção presidencial. O texto dispõe sobre a proteção de dados pessoais, no contexto online e offline, com o objetivo de criar um conjunto unificado de regras com alcance transversal que garanta aos titulares uma proteção adequada à sua privacidade e um maior controle sobre seus dados, a chamada autodeterminação informacional. Essas regras se aplicam a praticamente qualquer atividade econômica em que se utilize dados pessoais, atualmente, isso significa quase todos os modelos de negócio existentes, portanto, é fundamental que o empreendedor conheça e se familiarize com o seu conteúdo. Neste artigo, apresentaremos os aspectos fundamentais do texto que precisam ser conhecidos:
- Escopo de aplicação: a LGPD incide sobre operações de tratamento de dados pessoais realizadas em território nacional, ou que trate dados de indivíduos localizados no território brasileiro, ou em que a coleta de dados ocorra em território nacional. Isso inclui as operações de empresas estrangeiras com filiais no Brasil, ou que ofereçam serviços ao mercado brasileiro.
- Conceito de dados pessoais: dado pessoal é toda informação relacionada a uma pessoa natural identificada ou identificável, isto é, qualquer dado que – individualmente ou em conjunto com outras informações – permita a identificação de uma pessoa física.
- Controlador e operador dos dados pessoais: a LGDP define o controlador como a pessoa natural ou jurídica a quem compete as decisões sobre o tratamento dos dados pessoais. A pessoa natural ou jurídica que realiza o tratamento dos dados recebe o nome de operador.
- Fundamentos legais para o processamento de dados pessoais: a coleta e o processamento de dados só são permitidos mediante a existência de uma base legal e uma finalidade. O texto enumera uma série de bases legais que podem vir a ser utilizadas como fundamento, das quais é interessante mencionar: (i) o fornecimento de consentimento pelo titular; (ii) o cumprimento de obrigações legais ou regulatórias pelos agentes de tratamento; (iii) para atender aos interesses legítimos dos agentes de tratamento, respeitados os direitos e liberdades fundamentais do titular que exijam a privacidade de seus dados[2].
- Padrão de segurança: o processamento de dados pessoais deve adotar medidas técnicas e administrativas aptas a proteger a segurança dos dados. A autoridade nacional poderá dispor sobre os padrões mínimos de segurança a serem adotados, considerando a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia. É importante ressaltar que os padrões de segurança exigidos devem ser adotados desde a fase de concepção do produto ou serviço até a sua execução seguindo o conceito de Privacy by Design[3].
- Dados anonimizados: são dados relativos a um titular que não pode ser identificado, considerando a utilização de meios técnicos razoáveis na ocasião de seu tratamento. Esse tipo de dado não se inclui no escopo de aplicação da LGPD, exceto quando o processo de anonimização for reversível.
- Dados pessoais sensíveis: são dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, político, ou filosófico, referente à saúde ou vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. Esses dados podem sujeitar seu titular a práticas discriminatórias, ou permitir a sua identificação de forma inequívoca. Por conta disso, seu tratamento exige um padrão maior de segurança e o consentimento específico do titular.
- Direitos dos titulares dos dados: a LGPD garante aos titulares direitos ao acesso facilitado aos dados e às informações sobre o tratamento, de retificação ou exclusão dos dados, objeção a um processamento, revogação do consentimento ao tratamento, à portabilidade dos dados a outro fornecedor de serviço ou produto, revisão de decisões relativas aos seus dados que tenham sido tomadas com base em tratamento automatizado, entre outros.
- Responsabilidade: todo dano causado em razão do exercício de atividade de tratamento de dados pessoais em violação à legislação de proteção de dados deve ser reparado. Os controladores diretamente envolvidos com o tratamento que resultou em danos ao titular respondem solidariamente por eles. Já o operador responde solidariamente pelos danos causados pelo tratamento em desconformidade com a lei ou com as instruções lícitas do controlador.
- Notificação de incidentes: incidentes de segurança que possam acarretar risco ou dano relevante aos titulares deverão ser informados, em tempo razoável, ao titular e à autoridade nacional, que poderá determinar que os agentes de tratamento divulguem amplamente o ocorrido em meios de comunicação.
- Registro das atividades de tratamento de dados: é obrigatório o registro de toda atividade de tratamento de dados pessoais, especialmente quando baseada no legítimo interesse dos agentes de tratamento.
- Relatório de impacto à proteção de dados: a autoridade nacional pode determinar aos agentes de tratamento que apresentem um relatório referente às suas operações de tratamento de dados pessoais, descrevendo o procedimento, seus riscos e as medidas, salvaguardas e mecanismos de mitigação desses riscos. É um dos mecanismos mais recomendados para comprovar que o agente de tratamento está em conformidade com a LGPD.
- Penalidades: em casos de infração à legislação de proteção de dados, podem ser aplicadas sanções administrativas aos agentes de tratamento, que podem variar entre advertências, multas, ou mesmo a proibição total ou parcial das atividades de tratamento de dados pessoais.
- Período de transição: a LGPD entrará em vigor 18 meses após sua publicação. Esse período servirá para a adaptação dos agentes de tratamento à nova regulação.
A chegada da LGPD eleva a importância da proteção de dados pessoais no contexto regulatório brasileiro. Como praticamente qualquer modelo de negócio desenvolvido por startups atualmente lida com dados pessoais em algum nível, a preocupação com o tema se torna necessária para toda empresa, tanto pelo ponto de vista do respeito aos direitos dos consumidores, quanto da adequação à nova regulação, cuja infração poderá resultar em penalidades que dificultarão, ou mesmo inviabilizarão a operação da empresa.
Aqui apresentamos brevemente os principais pontos de interesse da LGPD para startups. Para uma análise mais aprofundada sobre o seu contexto e conteúdo, recomendamos a leitura do artigo escrito pelo Renato Leite Monteiro, publicado na página principal do Baptista Luz.
