Conheça a LGPD, a nova Lei de Proteção de Dados do Brasil
Assim como a União Europeia, o Brasil vem criando uma série de regelações sobre proteção de dados. A LGDP (Lei Geral de Proteção de Dados) regula várias questões sobre dados, inclusive virtuais.
Há várias semelhanças entre a LGDP e as regulamentações da União Europeia, mas também há particularidades. Esse artigo é exatamente sobre essas particularidades e sobre como lidar com essa nova legislação.
Como praticamente toda legislação de proteção de dados, as novas leis brasileiras que lidam com esse tema são bastante extensas e detalhadas, e trazem especificações sobre quem é abrangido pela lei e quais são as infrações tipificadas – além de definir quais dados são protegidos e como cumprir com certas exigências.
O que é a LGPD?
Antes de tudo, vamos entender o que é a LGPD (ou LGPDP). Basicamente, a Lei Geral De Proteção de Dados Pessoais é uma nova legislação brasileira que regulamenta atividades que tratam de dados pessoais.
Ela faz alterações nos artigos 7º e 16º do Marco Civil da Internet. Como o Brasil passou a fazer parte do grupo de países que possuem legislação específica sobre o tema, essa é uma maneira de se adequar a algumas normas.
A LGPD é semelhante, em vários aspectos, a outras legislações, como o California Consumer Privacy Act (CCPA) e a General Data Protection Regulation (GDPR), vigente na União Europeia.
A lei tem como fundamentação o respeito e a preservação da privacidade (especialmente dos dados dos usuários/consumidores) e a liberdade de expressão – além, é claro, do caráter inviolável da intimidade. Ela também define uma série de proteções ao consumidor, podendo ser considerada como uma “extensão” do Código de Defesa do Consumidor.
A lei define, entre outras coisas, que os dados pessoais só podem ser coletados com o consentimento dos usuários e/ou consumidores. Informações como nome, estado civil, endereço, documentos pessoais e outros tipos de dados “sensíveis” (pessoais) não podem ser pegos e comercializados sem que o usuário saiba e permita essas práticas.
Órgãos específicos
Outra novidade da LGPD foi a criação de um órgão específico para lidar com as questões referentes a essa nova legislação. Trata-se da Autoridade Nacional de Proteção de Dados (ANPD), instituída formalmente em novembro de 2020 para monitorar e fazer cumprir os termos da nova lei.
O que é que a nova legislação não abrange?
A LGDP, apesar de abrangente, abarca alguns grupos e elementos específicos e outros não. Dentre os elementos que não são abarcados pela nova legislação estão os dados que são processados por uma pessoa para propósitos exclusivamente pessoais, os dados usados para propósitos exclusivamente jornalísticos, acadêmicos e/ou literários; os dados usados exclusivamente para a segurança e a defesa nacionais, a segurança pública ou os processos de investigações criminais.
Esses tipos de informação não são tipificados na nova legislação e vão continuar funcionando no modo atual, sem maiores alterações e sem, teoricamente, nenhuma supervisão da ANPD.
Quais são os novos direitos dos usuários?
O Artigo 18 da LGPD descreve alguns direitos básicos que os usuários/cidadãos/consumidores possuem sobre suas informações pessoais, que são:
- O direito de acesso às próprias informações;
- O direito à retificação;
- O direito ao anonimato, resumo ou eliminação de informações pessoais excessivas ou desnecessárias, ou de informações que não são processadas de acordo com os termos da LGPD;
- O direito à portabilidade;
- O direito de apagar informações pessoais que são processadas mesmo com consentimento do usuário;
- O direito de divulgação de informações sobre os sub-processadores e outros terceiros com os quais as informações do usuário são compartilhadas;
- O direito à informação sobre as escolhas dadas ao usuário e as consequências de rejeitar o consentimento e o direito de revogar o consentimento.
As novas exigências sobre segurança
A Lei Geral de Proteção de Dados define que os controladores e os processadores (pessoas, empresas e órgãos que lidam com informações dos usuários) precisam adotar medidas de segurança e técnicas administrativas capazes de garantir a segurança das informações dos usuários.
Na prática, a nova legislação responsabiliza as empresas e grupos pela segurança dos dados com os quais elas lidam. Em caso de roubos e fraudes sobre as informações pessoais dos usuários, não só os hackers propriamente ditos podem ser punidos como as próprias empresas e/ou órgãos que armazenam as informações, caso essas instituições não tenham tomado as medidas de segurança definidas pela nova legislação.
A Autoridade Nacional de Proteção de Dados é responsável por definir padrões mínimos de segurança com os quais as partes devem se adequar. Na prática, a LGPD formaliza e regulamenta relações já existentes, criando regulamentações mínimas no setor que, antes, não existiam.
As principais diferenças entre a LGPD e a GDPR
Apesar de haver várias similaridades entre a regulamentação europeia da GDPR e a nova legislação brasileira definida na LGPD, há algumas diferenças básicas entre as duas legislações.
Por exemplo, diferentemente da GDPR, a LGPD não se direciona especificamente ao chamado marketing digital (ou, de forma mais abrangente, ao marketing eletrônico). Enquanto que a GDPR dá aos indivíduos o direito de contestar e negar o processamento de seus dados pessoais, a redação da legislação brasileira dá a entender que há uma autorização implícita do usuário que fornece os dados em relação à empresa/órgão que os recebe.
Até haver maiores especificações, as organizações, no Brasil, estarão sujeitas principalmente às regras do Código de Defesa do Consumidor, a principal regulação brasileira de relações comerciais. Mesmo com a legislação específica, as empresas continuarão sujeitas também às demais leis de proteção ao consumidor.
Tanto a GDPR quanto a LGPD dão definições diferentes para aquilo que entendem como dados pessoais. A legislação brasileira define “dados pessoais” em termos mais amplos e abrange toda informação relacionada e identificada com a pessoa em questão, ela ao mesmo tempo não abarca dados anônimos – mesmo assim, até esses dados podem ser protegidos e considerados como pessoais quando usados para fins comerciais.
Há também restrições adicionais para comercialização de dados como informações raciais, étnicas ou de origem; crenças religiosas e opiniões políticas; participação em sindicatos ou organizações religiosas, políticas e filosóficas e informações relacionadas à saúde e à vida sexual, informações genéticas ou biométricas, etc.
Além disso, a LGPD também incentiva, no artigo 13, aos órgãos de pesquisa pública a manter informações sobre dados de saúde e questões pessoais em anonimato sempre que haja essa possibilidade.
Diferenças adicionais
Enquanto que a LGPD exige que as companhias apontem uma pessoa para atuar como oficial de proteção de dados (OPD) para se comunicar com a ANPD, a legislação europeia só exige isso em situações específicas. Nesse ponto, a legislação brasileira é mais rigorosa.
A GDPR permite transferência de dados para outros países baseada no interesse legítimo do usuário, mas a LGPD não dá essa permissão. Do artigo 33 ao 36, a lei estabelece várias restrições sobre essa questão.
Se a lei brasileira é mais rígida em alguns pontos, ela é mais “frouxa” em outros. Por exemplo: enquanto que a GDPR define que a notificação sobre ataques aos dados pessoais deve ser de no máximo 72 horas, a legislação brasileira não dá prazos mínimos. Ao invés disso, a lei vagamente diz que as organizações devem notificar as autoridades competentes dentro de um “prazo razoável”, sem definir exatamente que prazo é esse.
No estado atual, esses vácuos na legislação poderiam, em termos lógicos, causar confusão. E, a menos que esses pontos sejam reforçados e esclarecidos, esse pode ser o “calcanhar de Aquiles” dessa lei.