Desde domingo (1º), as sanções para quem descumprir as regras da LGPD (Lei Geral de Proteção de Dados) estão valendo. Em vigor desde setembro do ano passado, as empresas tiveram quase um ano para se adequar às novas regras. As possíveis punições incluem bloqueios, advertências e multas de até R$ 50 milhões por infração.
O órgão regulador da lei é a ANPD (Autoridade Nacional de Proteção de Dados), que também é responsável por analisar casos de violações e aplicação das multas. Junto com a LGPD, vários conceitos ganharam força, como consentimento, finalidade e anonimização. Pensando nisso, Tilt ouviu especialistas para explicar nove importantes definições e direitos que todo o mundo precisa saber na ponta da língua.
Para a advogada Gisele Truzzi, especialista em direito digital, LGPD coloca na mão do cidadão as rédeas sobre o controle de sua privacidade.
- Dados protegidos
Dados pessoais
A LGPD busca garantir a qualquer pessoa no Brasil o direito sobre seus dados pessoais (aqueles que podem identificar alguém), como o nome completo, números de documentos (RG, CPF, CNH, entre outros), endereço, data e local de nascimento, gênero, número de telefone, dados de localização.
Dados pessoais sensíveis
A lei também define o que considera dados pessoais sensíveis. Eles precisam de uma camada a mais de proteção por envolver informações como origem racial ou étnica, orientação sexual, biometria, dados genéticos e informações de saúde, religião, opiniões políticas, entre outros. Estes podem ser usados para fins de discriminação, por isso, contam com tratamento especial pela lei.
- Consentimento
Os seus dados pertencem a você. Uma das regras previstas na lei é que o consentimento deve ser dado em vários casos (salvo exceções) antes que órgãos públicos e empresas possam utilizá-los. Você autoriza ou não o uso deles. Nesse processo, as organizações devem informar de modo claro o quê será feito com os seus dados, se eles serão compartilhados com terceiros e para quê eles estão sendo exigidos.
O consentimento, no entanto, não tem que ocorrer a todo momento. Há situações mais delicadas em que não é preciso ter autorização expressa dos titulares, como proteção da vida. Se você sofrer um acidente, quem fizer os primeiros socorros pode usar seus dados para abrir um prontuário num hospital, por exemplo, para garantir sua integridade física.
“Se [a empresa] não conseguir justificar o tratamento de dados com nenhuma base legal, esse tratamento é invalidado”, destaca Truzzi. O tratamento aqui entende-se pela jornada de vida de um dado, desde a coleta, passando pelo uso, armazenamento, proteção e exclusão.
Outro exemplo, explica a advogada, é para a execução de um contrato. “A partir do momento que você firma um contrato de trabalho ou de serviço, você está dando autorização do uso dos seus dados para aquela finalidade”, diz. O que nos leva ao próximo tópico.
- Finalidade
A lei deixa claro que qualquer tratamento de dados deve ser feito de acordo com uma finalidade específica e única. Qualquer órgão ou empresa que colha dados pessoais de uma pessoa no Brasil tem que deixar claro para quê aqueles dados serão utilizados. O uso não poderá extrapolar aquele fim especificado.
“Se houver mau uso, a empresa ou órgão pode ser penalizada sim”, afirma Flávia Sant’anna Benites, advogada e sócia do escritório Ernesto Borges Advogados.
Um exemplo polêmico é o do pedido do CPF nas farmácias. “Eles podem, em tese, utilizar esse CPF para acessar sua ficha cadastral e dar desconto de acordo com a compra que você está fazendo”, explica Truzzi. “Mas não podem usar para fazer um perfil sobre você e não podem fornecer para outras empresas, como planos de saúde ou farmacêuticas [sem a devida autorização].”
- Transparência
O princípio de transparência entre as pessoas no Brasil e empresa ou órgão público é assegurado pela lei. Com base nos tópicos acima, já ficou claro como as organizações devem proceder e as regras para a gente se torne cada vez mais ciente sobre direitos de privacidade.
“O titular tem o direito de saber e de receber uma explicação de quem tem seus dados”, reforça o advogado Ricardo Freitas Silveira, doutorando em direito e sócio do escritório Lee, Brock, Camargo Advogados.
Para Truzzi, a LGPD permite exigir uma postura mais transparente de muitas empresas que até então faziam o que bem entendiam com as informações pessoais das pessoas.
- Oposição
Outro direito básico que a LGPD garante é o não ceder dados pessoais (salvo exceções previstas na íntegra da lei). “Você pode se opor ao fornecimento de algum dado pessoal seu caso julgue desnecessário”, diz Truzzi
Uma loja virtual que peça uma foto na hora do cadastro para uma compra, por exemplo, pode ser questionada. O consumidor não é obrigado a ceder o dado.
- Segurança
O princípio da segurança dentro da LGPD também é um ponto muito importante, tanto no aspecto jurídico quanto técnico. As empresas deverão comprovar que estão usando técnicas para prevenir vazamento de dados — a criptografia pode ser um exemplo.
Qualquer um que lidar com tratamento de informações pessoais de indivíduos deve seguir regras e condições básicas de segurança digital para garantir que elas não serão acessadas para outros fins. Em caso de vazamentos, volta a determinação de sanções e possível multa.
- Anonimização
Um ponto muito importante da LGPD estabelece regras para uso de dados sensíveis, explicados mais acima. Caso esse tipo de dado precise ser usado, o responsável pela coleta deve garantir o processo de anonimização. “Deve tirar tudo aquilo que possa identificar a pessoa, tem que perder definitivamente a possibilidade de identificar alguém e é preciso que seja um processo irreversível”, diz Benites.
- Portabilidade
Assim como você pode levar o número de telefone de uma operadora para outra, os seus dados também podem ser transferidos de uma empresa para outra seguindo as regras da LGPD. Ao invés de preencher um novo cadastro em uma empresa concorrente fornecedora de algum serviço, o dono dos dados pode simplesmente pedir para que sejam transferidos — e a empresa deve sim colaborar.
- Exclusão
Por fim, um direito extremamente importante assegurado pela lei é a possibilidade de exclusão de suas informações de um banco de dados. Mesmo que a pessoa tenha concordado em cedê-las, ela pode voltar atrás. “O consentimento pode ser revogado, não é ad aeternum [eterno, sem fim]”, afirma Benites.
Na prática, você pode entrar em contato com um encarregado pelos dados da empresa e pedir para apagar os seus. “A empresa é obrigada a criar um canal para isso e a pessoa pode formalizar o pedido por escrito”, aconselha Freitas Silveira.
Fonte: UOL – Letícia Naísa De Tilt, em São Paulo (06/08/2021)