Lei geral de proteção de dados pessoais e novos paradigmas
Abordagem sobre a Lei Geral de Proteção de Dados Pessoais - LGPD, que estabelece novos paradigmas com o objetivo de resguardar os direitos fundamentais de liberdade, privacidade e o livre desenvolvimento da pessoa natural.
A lei geral de proteção de dados pessoais – LGPDP (Lei nº 13.709/18) estabelece novos paradigmas com o objetivo de resguardar os direitos fundamentais de liberdade, privacidade e o livre desenvolvimento da pessoa natural, tendo por fundamento a inviolabilidade da intimidade, da honra, da imagem, dentre outros direitos humanos relacionados à personalidade.
O novo regramento entra em vigor em 2020, mas desde já as normas estão sendo interpretadas à vista da importância em implementar as adequações necessárias no que tangem às operações de tratamento de dados.
Os dados pessoais são considerados de maneira ampla como sendo qualquer informação relacionada à pessoa natural que possa identificá-la.
O texto da lei também demonstra a preocupação em acautelar os dados sensíveis, ou seja, informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, organização de caráter religioso, filosófico ou político, além de informações que se referem à saúde, à vida sexual, bem como dados genéticos ou biométricos.
Em linhas gerais, o tratamento de dados pessoais somente poderá ser realizado mediante o fornecimento de consentimento pelo titular. Também poderá ocorrer para o cumprimento de obrigação legal, para realização de estudos, execução de contrato, exercício regular de direitos em processo judicial, proteção da vida, tutela da saúde ou quando necessário para atender aos interesses legítimos do controlador[1].
Ao titular dos dados são garantidas prerrogativas legais visando o acesso, correção, anonimização, portabilidade ou até mesmo revogação de consentimento. No mais, a defesa dos interesses e dos direitos dos titulares poderá ser exercida em juízo, individual ou coletivamente.
O Poder Público também deverá proceder ao tratamento de dados, de forma que o uso compartilhado de informações atenda a finalidades específicas de políticas públicas e atribuições legais, sendo vedado, em regra, transferir a entidades privadas os elementos que constem em sua base de dados.
De todo modo, as hipóteses de responsabilidade elencadas em casos de violação às normas merecem atenção. O controlador ou o operador[2] que, em razão do exercício de atividade de tratamento de dados, causarem a outrem dano patrimonial, moral, individual ou coletivo, serão obrigados a repará-lo.
Devem ser adotadas medidas de segurança técnicas e administrativas aptas a proteger os dados de acesso não autorizado e de situações acidentais ou ilícitas, bem como poderão ser formuladas regras de boas práticas e de governança que estabeleçam condições, normas e padrões técnicos.
Finalizando, cumpre ressaltar que as sanções administrativas, em caso de infrações, serão desde advertência e multa diária até aplicação de multa fixada em 2% (dois por cento) do faturamento da pessoa jurídica, limitada ao montante de R$ 50.000.000,00 (cinquenta milhões de reais) por infração, cabendo também a determinação de tornar pública a infração, bloqueio e eliminação de dados.
Notas
[1] De acordo com o texto de lei, controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
[2] Ainda de acordo com a lei, operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.