Opinião & Análise

Dados pessoais

Lei Geral de Proteção de Dados: qual a abrangência e quem está sujeito à lei?

A norma afeta qualquer organização que faça coleta, uso, processamento e armazenamento de dados pessoais

dados pessoais
Crédito: Pixabay

No dia 10/07/2018, o Senado Federal aprovou o Projeto de Lei Geral de Proteção de Dados Pessoais (PLC 53/2018 ou “LGPD”), que agora vai para sanção presidencial. A LGPD tem como objetivo regulamentar a forma sobre como as organizações poderão a utilizar dados pessoais no Brasil e atribuir direitos aos indivíduos que tem seus dados coletados. A LGPD apresenta uma grande transformação no sistema de proteção de dados brasileiro, inspirado no Regulamento Geral de Proteção de Dados (GDPR) da União Europeia.

O presente artigo tem como objetivo trazer algumas perguntas e respostas que abordam, ainda que em linhas gerais, qual a abrangência e quem estará sujeito a LGPD.

Quais atividades são reguladas pela lei?

De modo geral, a LGPD estabelece regras detalhadas que regulam qualquer operação de tratamento de dados, realizada por pessoas físicas ou jurídicas, no setor público ou privado.

Conforme definido na própria LGPD, operações de tratamento incluem atividades como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração de dados pessoais. Em termos práticos, basicamente qualquer atividade realizada com dados pessoais pode ser sujeita a aplicação da lei e, portanto, ao receber, processar, armazenar ou descartar dados pessoais, uma organização pode estar sujeita as regras da LGPD.

Quais informações são consideradas como dados pessoais?

Dados pessoais podem compreender qualquer informação relacionada à uma pessoa natural, identificada ou identificável. Neste sentido, um primeiro aspecto importante a se observar é que dados de pessoas jurídicas não são cobertos pela LGPD, mas somente informações relacionadas às pessoas físicas. Um segundo aspecto importante é relacionado ao fato de que dados pessoais podem consistir em qualquer informação de pessoas identificadas ou identificáveis. Dados pessoais de indivíduos identificados são aquelas informações que imediatamente podem identificar uma pessoa, como o nome, número de CPF e RG e informações de documentos pessoais. Por outro lado, dados pessoais de indivíduos identificáveis são aquelas informações que não podem imediatamente identificar um indivíduo, mas que, ao serem alocadas juntamente com outras, podem passar a identificar e serem relacionadas a um indivíduo.

Qual tipo de negócio ou atividade será afetada?

A LGDP não afeta somente os grandes players do setor de tecnologia e serviços online, como aqueles oferecidos pelo Google e Facebook, mas também qualquer organização que realize uma operação de coleta, uso, processamento e armazenamento de dados pessoais.

Exemplos de aplicação da lei não faltam. Tratamento de dados no âmbito de atividades de bancos, corretoras, seguradoras, clinicas médicas, hospitais, e-commerce, varejo, hotéis, companhias aéreas, agências de viagens, restaurantes, academias, entre muitas outras, podem estar sujeitas a aplicação da lei, ainda que tais atividades ocorram exclusivamente fora do ambiente digital.

A LGPD regula o tratamento de dados pessoais em relações de clientes e fornecedores de produtos e serviços, prestadores e tomadores de serviços, empregados e empregadores, e demais relações nas quais dados pessoais sejam recebidos, enviados e/ou processados.

Atividades de processamento de dados dentro e fora do país estão sujeitas a lei?

Operações de tratamento de dados realizadas dentro do território brasileiro estão sujeitas a aplicação da LGDP. Além de operações de tratamento realizadas dentro do país, quando o tratamento tiver por objetivo a oferta ou fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território brasileiro, a lei também pode se aplicar, ainda que a organização responsável por essa atividade esteja sediada ou localizada fora do país. Assim, o local onde os dados são tratados não é requisito único ou preponderante para aplicação da lei, sendo também importante identificar a localização do indivíduo cujos dados serão coletados.

Há alguma atividade fora do âmbito de aplicação da lei?

O uso pessoal para fins particulares e não econômicos, para fins jornalísticos, artísticos ou acadêmicos, não estão dentro do escopo da lei e, portanto, aos requisitos de tratamento de dados. Da mesma forma, o tratamento de dados para fins de segurança pública, defesa nacional, segurança do estado e/ou atividades de investigação e repressão de infrações penais também não estão sujeitos a LGPD, e estão sujeitos a regulação de legislação específica no tema. Dados provenientes e destinados a outros países, que apenas transitem pelo território nacional, sem que aqui seja realizada qualquer operação de tratamento podem eventualmente não estar sujeitos a aplicação da lei.

Estou sujeito a LGPD, quais regras devo observar?

A LGDP estabelece uma série de obrigações as quais as organizações que realizem o tratamento de dados pessoais, incluindo, mas não se limitando, (a) a definição e documentação da base legal que autoriza o tratamento de dados (que podem incluir, mas não se limitam, a definir se o tratamento é realizado com base no consentimento, para fins de cumprimento de obrigação legal, para a execução de contrato, ou com base no interesses legítimo); (b) o atendimento aos direitos concedidos aos titulares de dados, como o direito de obter informações sobre o tratamento de dados, realizar o acesso, retificação e eliminação de dados, direito à portabilidade a outro fornecer de produtos e serviços e obter a revisão de decisões automatizadas, dentre outros; (c) a nomeação de um Data Protection Officer (DPO), responsável pelo tratamento de dados pessoais dentro da organização; (d) a notificação a autoridade competente, em caso de incidente (i.e. divulgação e/ou uso não autorizado de dados pessoais); (e) a adoção de medidas de (organizacionais e técnicas para) proteção de dados, a partir da criação de qualquer nova tecnologia ou produto (privacy by desgin); e (f) adequação as hipótese que autorizam a transferência de dados para fora do país, quando aplicável.

Qual o risco de não cumprir com a lei?

As penalidades por descumprimento da LGPD incluem advertência, obrigação de divulgação do incidente, eliminação de dados pessoais, bloqueio, suspensão e/ou proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados pessoais, multa de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.


Faça o cadastro gratuito e leia até 10 matérias por mês. Faça uma assinatura e tenha acesso ilimitado agora

Cadastro Gratuito

Cadastre-se e leia 10 matérias/mês de graça e receba conteúdo especializado

Cadastro Gratuito