A Lei nº 13.709/2018 entrou em vigência em 18/09/2020, com o objetivo de regular o tratamento de dados pessoais no Brasil, garantindo a proteção da privacidade, honra e imagem de seus titulares.
Para isso, devem ser observados os seguintes princípios: 1) Finalidade; 2) Adequação; 3) Necessidade; 4) Acesso Livre; 5) Qualidade dos Dados; 6) Transparência; 7) Segurança; 8) Prevenção; 9) Não Discriminação; 10) Responsabilização.
Em resumo, o tratamento dos dados pessoais deve ser feito mediante o consentimento do titular e sempre para finalidades específicas e legítimas. As operações realizadas com os dados devem ser adequadas às finalidades prometidas. O titular sempre tem o direito de ter acesso aos seus dados, seja para consulta ou para realizar modificações ou até mesmo requerer a exclusão de informações. O operador deve garantir a segurança e o uso adequado dos dados, sendo responsável por eventuais danos causados ao titular em razão do uso indevido de seus dados pessoais.
Principais conceitos
- Dado pessoal: toda informação relacionada a pessoa física que a identifique ou possa identificá-la;
- Dado pessoal sensível: dado de pessoa física sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico;
- Tratamento de dados: toda operação realizada com dados pessoais, tais como: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
- Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem compete tomar decisões referentes ao tratamento de dados pessoais;
- Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Direitos do titular
- Obter informações sobre seus dados, exigir correções, solicitar a anonimização, bloqueio ou eliminação, requisitar o envio de seus dados a outra pessoa;
- Ter conhecimento sobre todas as operações de tratamento realizadas com seus dados pelo controlador ou operador.
Deveres dos controladores e operadores
- Manter registro de todas as operações de tratamento de dados pessoais que realizar;
- Sempre providenciar o consentimento do titular para a realização de qualquer operação com seus dados pessoais;
- Garantir a segurança da informação prevista na LGPD mesmo após o término do tratamento;
- O controlador deverá indicar encarregado pelo tratamento de dados pessoais. Essa será a pessoa que irá aceitar reclamações e comunicações dos titulares dos dados pessoais, prestar esclarecimentos e adotar providências, receber comunicações da autoridade nacional e orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
- O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares;
- O agente que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
Consentimento do titular dos dados pessoais
- Deve ser por escrito ou meio que demonstre a manifestação de vontade do titular dos dados;
- Não são possíveis autorizações genéricas. O consentimento deve ter finalidades específicas, legítimas e claras;
- O ônus de provar que houve consentimento é do controlador dos dados;
- O consentimento pode ser revogado a qualquer tempo.
Sanções administrativas
- Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas:
I – advertência;
II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica;
III – multa diária;
IV – publicização da infração;
V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI – eliminação dos dados pessoais a que se refere a infração;
VII – suspensão parcial do funcionamento do banco de dados;
VIII – suspensão do exercício da atividade de tratamento dos dados;
IX – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
- As sanções acima listadas não impedem a aplicação de outras sanções previstas pelo CDC, bem como a reparação civil ou aplicação de sanção penal.
Decisões judiciais e precedentes
- Juíza aplica LGPD e condena construtora que não protegeu dados de cliente[1]
- O autor da ação de nº 1080233-94.2019.8.26.0100, que tramitou na Comarca de São Paulo, comprou um imóvel com a empresa Ré e, após isso, passou a receber inúmeras ligações de outras empresas, como lojas de móveis e decoração, instituições financeiras e escritórios de engenharia e arquitetura. No processo, ficou demonstrado que a empresa Requerida compartilhou os dados pessoais do Autor com terceiros, razão pela qual foi condenada ao pagamento de R$ 10.000,00 (dez mil reais) a título de danos morais, além de multa de R$ 300,00 (trezentos reais) por cada contato indevido.
Conclusões
A LGPD entrou em vigência muito recentemente. Por essa razão, os reais efeitos da norma somente serão descobertos com a própria evolução do tempo e a disseminação de processos judiciais envolvendo o tema e decisões judiciais que servirão como parâmetro para a interpretação da norma.
Durante esse período de adaptação, o recomendado é que a empresa adote os maiores cuidados possíveis ao realizar qualquer tipo de operação com os dados pessoais de seus consumidores, desde a coleta dos dados, armazenamento, transferência de informações a terceiros e todas as outras possibilidades que são abarcadas pelo tratamento de dados pessoais.
Para isso, é indispensável garantir a segurança dos dados e que toda operação seja feita mediante o consentimento do próprio titular.
[1] Sentença disponível em: <https://www.conjur.com.br/2020-set-30/compartilhar-dados-consumidor-terceiros-gera-indenizacao>