LGPD completa dois anos de aplicação no Brasil

A Lei Geral de Proteção de Dados (LGPD), de número 13.709/2018, foi desenvolvida para padronizar o uso dos dados pelas empresas e instituições que façam coleta de informações pessoais de seus clientes. A lei, em vigor há dois anos, não é uma criação exclusivamente brasileira. A Europa criou um mecanismo semelhante em 2018 para regular e proteger as informações online devido ao grande fluxo e à falta de regras específicas para a utilização dessas informações. O objetivo da LGPD é preservar a privacidade dos usuários e garantir um uso adequado dos dados.

A definição de dados pessoais é clara: "toda e qualquer informação que possa identificar uma pessoa física". Além disso, há também o dado pessoal sensível, que é "qualquer informação que possa ter cunho discriminatório, como raça/etnia, crença religiosa ou política, biometria, filiação em partido político, dados de saúde ou vida sexual". Essa separação dos dados é importante para identificar o nível crítico que o compartilhamento pode causar. Para fazer esse controle foi criada a Autoridade Nacional de Proteção de Dados (ANPD), que é o órgão responsável por aplicar a LGPD no Brasil.

Com a lei, os processos de manipulação dos dados passaram a ter três agentes definidos: o titular, que é o dono dos dados, o controlador, que é quem coleta e tem interesse nos dados e, por fim, o operador, que fará os processos necessários com os dados do titular. A definição destes cargos foi importante para que a cobrança posterior possa ser realizada no setor correto do processo de tratamento.

O Jornal da Lei conversou com a pesquisadora da Universidade Federal do Rio Grande do Sul (Ufrgs), mestre em Direito e especialista em Proteção de Dados Pessoais, Juliana Roman, para saber como está o processo de aplicação da LGPD no Brasil.

Juliana Roman - A Lei Geral de Proteção de Dados (LGPD) é uma necessidade que tinha sido constatada há algum tempo. No Brasil, nós tínhamos alguns marcos legais que tratavam a coleta de dados pessoais, como o Marco Civil internet e o Código de Defesa do Consumidor, mas não havia uma regulação, um sistema único que viesse a regular a temática, então víamos essa defasagem no território brasileiro, porque a União Europeia conta com uma regulamentação desde 1995 com a diretiva 95/46/CE, que já tratava de diversos focos relativos ao tratamento de dados pessoais. A LGPD foi quase como uma consequência da atualização da diretiva 95/46, que virou o Regulamento Geral sobre a Proteção de Dados (GPDR), quando passou a ter uma exigência de que se um país não possui uma lei equivalente ou um regulamento equivalente, não poderia tratar os dados da União Europeia. Teve uma influência direta do GDPR, mas também era uma necessidade que nós tínhamos no território brasileiro. Porque a lei não prevê a diminuição ou mesmo que os dados não venham a ser tratados. A lei vem dizer que "os dados são muito importantes, eles são aplicados a diversas situações, inclusive para melhoria de serviços públicos e privados, mas devem ser tratados sobre balizas". Essas balizas se referem desde os fundamentos criados pela lei até mesmo às possibilidades de tratamento.

Juliana - No artigo 5º da Lei há uma espécie de glossário com os vocábulos pertinentes a essa legislação. Isso porque nós a temos como uma legislação principiológica, ou seja, aquela legislação onde se procura que não haja um esvaziamento em curto espaço de tempo. Sabemos que, na tecnologia da informação de comunicação, a gente acaba tendo muito desenvolvimento em curto espaço, o que pode acabar deixando a lei arcaica ou não aplicável. Então, o conceito básico da internet, assim como da LGPD, é esse contexto mais aberto e, por isso, traz alguns termos específicos dessa lei. A gente vê a figura do controlador, que seria a pessoa natural ou jurídica a quem compete as decisões do tratamento de dados. Já ao operador vai competir as instruções do controlador. Então nós temos o operador como pessoa natural ou jurídica que realiza o tratamento de dados em nome do controlador. Temos aí uma figura de subordinação. Isto é, um operador só vai ser penalizado frente à LGPD caso cumpra alguma ordem do controlador ou que venha a ter alguma responsabilidade compartilhada. Mas o controlador é aquele que tem o âmbito decisório, que vai dizer sob quais balizas esses dados serão tratados.

Juliana - Com certeza não. Tem estudos que dizem que o Facebook, na época que tinha grande acesso, conseguia saber que um casamento tinha terminado antes mesmo do divórcio. Os algoritmos sabem antes do próprio usuário. Então, as pessoas realmente não têm noção do que acaba sendo coletado sobre elas, e de quanto nós estamos transparentes e vulneráveis para empresas que muitas vezes não se responsabilizam com a questão dos dados pessoais.