Com os avanços tecnológicos, a geração e a utilização de dados pessoais por empresas tornou-se mais frequente, abrindo espaço para vazamentos de informações, por exemplo. Foi pensando nesse problema que a Lei Geral de Proteção de Dados (LGPD), Lei n° 13.709/2018, foi sancionada. A norma brasileira surgiu pela necessidade de controlar vazamentos de dados, como foi observado em outros países. Assim, a norma traz várias determinações e coloca nas mãos dos usuários o poder de decisão sobre o uso das próprias informações, tanto no meio digital quanto no físico.
Um dos principais eventos que levou à criação de uma lei para proteger dados pessoais foi o escândalo envolvendo a consultoria de dados britânica Cambridge Analytica. Entre os anos de 2014 e 2016, a empresa comprou dados de cerca de 50 milhões de usuários do Facebook para influenciar as eleições de 2016 dos Estados Unidos. Depois disso, a Europa criou a “General Data Protection Regulation” (“Regulação Geral de Proteção de Dados”, em inglês), que serviu de base para a LGPD brasileira.
Assim, a LGPD se aplica a qualquer entidade ou empresa, pública ou privada, que tenha processamento de dados, de brasileiros ou não, em território nacional, para evitar que casos como o escândalo da Cambridge Analytica aconteçam. Para isso, a Lei determina que a coleta, o armazenamento, o uso e a transferência de dados de qualquer pessoa devem ser feitos com a autorização do próprio titular. Além disso, todas as operações feitas com essas informações devem ser explicitamente informadas aos titulares, inclusive quando houver qualquer mudança.
Definições
A Lei também traz alguns conceitos, que servem de orientação para todo o conteúdo da norma. Primeiro, “dado pessoal” é definido pela LGPD como “informação relacionada a pessoa natural identificada ou identificável”, e dizem respeito a informações como nome, endereço, telefone, e-mail, etc. Já os dados pessoais sensíveis são aqueles relacionados à origem racial ou étnica, afiliação política, religiosa, sindical, ou dados relacionados à saúde ou à vida sexual, além de dados genéticos ou biométricos vinculados a uma pessoa.
O tratamento das informações, por sua vez, é qualquer tipo de operação realizada com os dados pessoais (sensíveis ou não), como: coleta, produção, recepção, utilização, acesso, reprodução, transmissão, armazenamento, eliminação, modificação, entre outros. Segundo a LGPD, todo tipo de tratamento de dados só pode ser feito com consentimento prévio do titular, pelo controlador ou pelo operador (pessoas autorizadas pelo titular). Além desses dois agentes, também há a figura do encarregado, que atua como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), responsável pela fiscalização.
Punições ao descumprimento
Assim, ao criar uma conta em uma rede social ou enviar documentos para uma vaga de emprego, por exemplo, os titulares dos dados devem estar atentos à maneira como essas informações serão manejadas. Já as empresas devem ser altamente transparentes com os usuários. Aquelas que não cumprirem a Lei devem enfrentar sanções, detalhadas no Art. 52 da LGPD. As punições incluem advertência, multa de até 2% do faturamento anual da empresa, multa diária, publicização da infração cometida e bloqueio ou eliminação dos dados pessoais aos quais se refere a infração.