Não é novidade para ninguém que a tecnologia sempre transformou a vida das mais diferentes sociedades ao redor mundo, seja pela simples criação de ferramentas básicas que ajudaram nossos primeiros antepassados a começarem a moldar o mundo da forma que conhecemos hoje, ou pela criação da rede mundial de computadores (internet), que nessa nova e atual era em que vivemos, aproxima cada vez mais as pessoas e serve de plataforma para a continuidade e o desenvolvimento contínuo de nossa sociedade.

E é justamente com base nesse desenvolvimento extraordinariamente rápido e revolucionário que os mais diversos setores das nossas comunidades vêm se adaptando continuamente, o que não deixa de fora, obviamente, as questões legais e jurídicas que devem reger e regulamentar o emprego e os efeitos da tecnologia nas relações sociais, visando sempre a proteção aos direitos fundamentais dos cidadãos, mas tendo em mente que tal regulamentação não sirva de empecilho ou freio para o contínuo e necessário desenvolvimento tecnológico de nossa sociedade.

Breve histórico mundial sobre a legislação de proteção de dados 

Com o crescimento e desenvolvimento do cenário computacional e tecnológico na década de 1960, a primeira Lei que se teve notícia foi instituída pelo Estado de Hesse, na Alemanha, na década de 1970, chamada de Hessisches Datenschutzgesetz. 

Esta lei foi a primeira que objetivou regulamentar, mesmo que de uma forma geral e sem instituir maiores conceitos, o tratamento e coleta de dados de indivíduos que ficassem armazenados em meios eletrônicos. 

Após, diversos outros países do continente europeu começaram a editar suas próprias legislações de proteção de dados, como Alemanha, Dinamarca e França, apesar de também serem leis genéricas sobre o tema.

Importante mencionar que países como Portugal e Espanha incluíram em suas constituições federais o direito a privacidade como um direito fundamental, demonstrando a forte tendência da importância que essas nações davam sobre o tema.

Após diversas leis e atos instituídos e adaptados, chegamos na promulgação do Regulamento n° 2016/679, de 27 abril de 2016, popularmente conhecido como General Data Protection Regulation (“GDPR”), o que seria a nova e revolucionária Lei Geral de Proteção de dados da União Europeia – revolucionária porque ela é vista como a mais completa legislação de proteção de dados do mundo, tendo servido como base, inclusive, para o texto legal brasileiro. 

Os principais avanços que esta legislação trouxe se dão na ampliação de direitos dos usuários, criação de princípios, determinação de bases legais para a proteção de dados, criação de diretivas para auxiliar na própria interpretação da lei, e na maior responsabilização das organizações e empresas que realizam o processamento de dados.

O Brasil entra de vez na era da proteção de dados: a LGDP 

Atualmente, a legislação que acaba de sair do forno e que causou um certo alvoroço em praticamente quase todos os setores da economia foi a Lei 13.709 de 14 de agosto de 2018, mais conhecida como Lei Geral de Proteção de Dados. Apesar deste tema ser relativamente novo para nós (Brasil), outros países ao redor do mundo, concentrados mais no continente europeu, já apresentavam uma certa preocupação com as consequências que o tratamentocoleta e vazamento de dados pessoais poderiam causar para os usuários da internet e consumidores em geral.

 Conceitos Básicos 

A Lei Geral de Proteção de Dados brasileira (LGPD), apenas entrará efetivamente em vigor em agosto do ano de 2020, mas assim como a lei europeia, se aplica a qualquer agente (pessoa física, jurídica ou órgão público) que pratique tratamento de dados pessoais, nacional ou estrangeira, e já trouxe diversos conceitos e medidas que estão fazendo as empresas de diversos setores da economia correrem atrás para se adequarem às novas imposições legais.

Dito isso, importante que para uma melhor compreensão da lei, é necessário fixarmos alguns conceitos basilares.

O primeiro deles é puro e simplesmente o conceito de dados pessoais, que segundo o texto legal, se trata de qualquer informação que esteja relacionada a uma pessoa natural identificada ou identificável. Em outras palavras, dado pessoal seria qualquer informação que servisse para identificar uma pessoa, que é a titular dos respectivos dados pessoais.

Contudo, a LGPD vai um pouco mais além, definindo também o que são dados pessoais sensíveisApenas pela leitura do próprio nome, já podemos imaginar sobre o que se trata. Dados pessoais sensíveis, são dados pessoais que podem ser utilizados como meio de identificação e discriminação de qualquer pessoa, e por isso o legislador ao definir esse conceito atribuiu a esses dados um tratamento diferenciado, com uma maior responsabilização para aqueles agentes que desrespeitarem sua forma de tratamento. Assim, dado pessoal sensível pode ser toda informação relacionada à origem racial, étnica convicções religiosas, opiniões políticas, filiação a sindicatos, organizações de caráter religioso, filosófico, político, saúde e vida sexual. 

Além disso, a LGPD também confere diversos direitos aos titulares dos dados, cabendo ressaltar a possibilidade de confirmação de informações sobre o tratamento de seus dados, o acesso fácil aos dados que foram coletados, a possibilidade de anonimização no tratamento de seus dados, o bloqueio ou eliminação, a revogação do consentimento para tratamento dos dados e a possibilidade de Portabilidade dos dados pessoais a outro fornecedor de serviço ou produto.

Se por um lado a lei estabelece direitos aos titulares dos dados, por outro ela determina obrigações aos agentes tratadores dos dados (como a instituição de medidas eficazes de segurança, obtenção de consentimento para tratar dados, obrigação de prestação de contas e etc.) e estipula um rol taxativo de 10 bases legais que permitem o tratamento de dados, o que demonstra a rigidez que a lei impõe àqueles que praticam o tratamento ou coleta de dados pessoais.

No que diz respeito às 10 bases legais (possibilidades que permitem o tratamento de dados), temos as seguintes: 

1) Consentimento; 

2) Cumprimento de obrigação legal/regulatória; 

3) Execução de políticas legais pela Adm. Pública; 

4) Realização de estudos por órgão de pesquisa, desde respeitado o anonimato; 

5) Execução e contrato do qual é parte o titular; 

6) Exercício regular de direito em processo judicial, administrativo ou arbitral; 

7) Proteção da vida ou da incolumidade física do titular; 

8) Para a tutela da saúde, com procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; 

9) Proteção do Crédito (“SERASA”); 

10) Interesses legítimos do controlador ou de terceiros (exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais).

Autoridade Nacional de Proteção de Dados -ANPD 

Em 28/12/2018, o ex presidente Michel Temer editou a Medida Provisória 869/2018, que criou a chamada Autoridade Nacional de Proteção de Dados, que será a agência reguladora ligada diretamente à presidência da república, e que possui como função a fiscalização, aplicação de sanções, estipulação de padrões técnicos e metodologias, instituição de medidas educacionais e disciplinares, para que sejam passadas as corretas diretrizes para que todos os agentes possam enfim se adequar.

Para aqueles agentes que não cumprirem com as obrigações previstas na LGPD, caberá a ANPD aplicar a devida responsabilização, que pode variar de penas de advertências, até multas simples de até 2% (dois por cento) do faturamento limitadas a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.

Impactos  da LGPD

Caberá também a ANPD requerer aos agentes a emissão do chamado Relatório de Impactos à Proteção de Dados, que é um documento que tem por objetivo mapear todos os processos de tratamento de dados pessoais realizados pela organização que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação desses riscos. 

A LGPD dispõe que a ANPD poderá solicitar a elaboração, apresentação e publicação do relatório de impacto à proteção de dados em diferentes momentos, sendo que a partir da construção do relatório é possível visualizar o mapa de dados da empresa e identificar os riscos existentes no fluxo de dados. 

Assim o documento se torna uma fase importante para o processo de demonstração de conformidade com a Lei e das necessidades de uma melhor adequação tecnológica.

Diante da apresentação dos conceitos basilares e dos principais direitos e obrigações conferidos pela LGPD, podemos concluir, mesmo que de uma forma geral, que esta lei de fato causará um grande impacto no dia a dia das empresas. Dentre os principais impactos, analisemos os seguintes:

  1. Atualização de políticas e protocolos internos: Todas as empresas deverão adaptar suas políticas de compliance, e instruir seus funcionários para que todas as normas e diretrizes trazidas pelas LGPD sejam devidamente respeitadas.
  2. Adaptações contratuais: Todas as empresas deverão adequar seus contratos, como estipular a cláusula de consentimento para tratamento de dados pessoais.
  3. Adequações técnicas e administrativas: Todos os agentes deverão adequar-se aos novos padrões estipulados pela LGPD.
  4. Competitividade: Aquelas empresas que saírem na frente e tiverem uma política e um sistema de proteção de dados pessoais mais confiável, irão ganhar a atenção e confiança de seus consumidores, o que lhes trará vantagem frente a concorrência;
  5. Desenvolvimento econômico, tecnológico e inovação: Com as novas imposições da LGPD, é certo que o desenvolvimento tecnológico que ela impõe trará também um desenvolvimento econômico pautado na inovação, já que deverão ser criados novos mecanismos e ferramentas para a devida adequação.

Conclusão 

Conforme analisamos, apesar de ser um tema novo para nós, a proteção de dados pessoais é algo que desde a década de 1960 já vem sendo alvo de preocupação de algumas legislações europeias, mas apenas agora, com a entrada em vigor da General Data Protection Law é que tivemos uma legislação completa e efetiva, e que veio com força para obrigar as empresas a se adaptarem às suas novas imposições.

Diante disso, podemos concluir a LGPD veio para fazer um grande barulho em todos os nichos do mercado, uma vez que ela pode se aplicar a toda e qualquer empresa que trata dados pessoais.

É certo que há uma forte preocupação com a necessidade de adaptação às novas regras, mas também é preciso se ter em mente que ANPD ainda não criou as diretrizes técnicas e regras administrativas para que todos os agentes possam observá-las para que as tenham como base, o que leva a importância de que as empresas tenham a consulta de profissionais especialistas no assunto, já que sem as diretrizes da ANPD, é importante se basear na experiência mundial, como General Data Protection Law, para que se tenha a devida cautela na redação de políticas internas, cláusulas contratuais, mapeamento dos dados e, enfim, todas as obrigações impostas pela nova lei.