Já parou para pensar em quantas vezes seu CPF foi requisitado pelo caixa da farmácia na hora de pagar a conta? Ou quantas vezes o cadastro em um site exigiu uma série de informações pessoais, tais como endereço, estado civil e número de telefone?
Esses são apenas alguns exemplos que mostram o quanto a sociedade contemporânea é marcada pelo intercâmbio de informações, em que os cidadãos estão constantemente compartilhando seus próprios dados pessoais, sem pensar muito no que pode ser feito com eles. Assim, informações relacionadas à pessoa natural, identificada ou identificável, são passivamente transferidas a terceiros. Elas englobam, por exemplo, nome, idade, email, RG e CPF. O problema reside no fato de que esses dados, quando reunidos, compõem um retrato da realidade do usuário, de modo a possibilitar a identificação da pessoa. Visto isso, é de grande importância que o direito mantenha-se atualizado e busque regulamentações que proporcionem maior segurança para os proprietários desses dados.
Atento a isso, o Governo Federal aprovou uma lei que visa, de fato, mudar a maneira como as empresas tratam os dados dos usuários. Em 14 de agosto de 2018, foi sancionada a Lei n. 13.709/18, intitulada de Lei Geral de Proteção de Dados, mais conhecida como LGPD, a qual entrou em vigor em setembro de 2020. Tal lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais — mas não somente -, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Antes da vigência desta lei, não existia um código abrangente que oferecesse segurança jurídica e sigilo aos dados, os quais eram resguardados por regras esparsas voltadas a setores específicos. A título de exemplo, cita-se o Código de Defesa do Consumidor e a Lei de Cadastro Positivo.
Para alcançar a finalidade de proteger as informações pessoais do usuário, cabe às empresas fornecer a ele meios claros e eficazes de coleta de dados, de modo a ofertar todas as condições para que aprove ou desaprove o ato. Ou seja, o consentimento é o elemento primordial da LGPD. Nesse caso, o termo “consentimento” é entendido, pela lei, como uma manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. Essa permissão deve ser fornecida por escrito ou por outro meio que demonstre a manifestação de vontade do titular.
É importante ressaltar que a LGPD deve ser guiada por princípios, os quais ponderam que toda operação que se valha de dados pessoais precisa expressar, necessariamente: finalidade não genérica; adequação na forma de uso; necessidade; livre acesso e transparência; qualidade de dados; segurança e prevenção; responsabilização e prestação de contas; não discriminação. Além disso, ao usuário devem ser ofertados caminhos práticos para que desista da permissão, outrora concedida, do uso de seus dados.
Outro ponto a se atentar é que a LGPD não se aplica apenas para coleta de dados por meio digitais, de maneira a alcançar empresas físicas e virtuais de todos os setores e tamanho. Ademais, é válido ressaltar que a lei não é responsável apenas pelo tratamento de dados pessoais como também pelo tratamento de dados sensíveis — dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural -, mas também daqueles considerados anonimizados — relativos ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
Por último, um ponto crucial que estimula uma empresa a buscar sua regularização, nos moldes da LGPD, refere-se às sanções administrativas. Nesse viés, caso os responsáveis pela administração dos dados não se adequem às novas regras, a lei elenca, como uma das formas de sanção, multas em até 2% do faturamento, com o limite de R$ 50 milhões.
Em suma, pode-se dizer que a lei exige que a empresa garanta aos titulares que seus dados pessoais serão tratados com maior transparência, controle e segurança. Com isso, no intuito de evitar prejuízos, as empresas devem garantir que a base de dados, as políticas de privacidade e os termos de uso estejam de acordo com a legislação.
Por Guilherme Henrique Fazolo Silva
Revisão de Júlia Oliveira Carvalho