A Lei Geral de Proteção de Dados – LGPD está valendo? Como ficou a Medida Provisória que previa a entrada para maio de 2021?
O Senado suprimiu da Medida Provisória 959 a prorrogação da LGPS. Assim que o presidente sancionar estará valendo a LGPD em sua totalidade (ficarão para depois apenas a aplicação de multas, a partir de 1° de agosto de 2021, que podem chegar a 50 milhões de reais).
Também não está devidamente estruturada a chamada Autoridade Nacional de Proteção de Dados, ligada à Presidência da República, que é quem deverá, entre outras coisas, elaborar diretrizes para a Política Nacional de Proteção de Dados e da Privacidade, fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e, principalmente, editar os regulamentos e procedimentos sobre proteção de dados pessoais e privacidade.
Nesse cenário de carências das diretrizes, enquanto a Autoridade Nacional de Proteção de Dados não estiver funcionando e ditando o norte da questão toda, as questões tratadas na Lei poderão ser levadas ao Judiciário desde já, por provocação, por exemplo do Ministério Público, do Instituto Brasileiro de Defesa do Consumidor Idec, dentre outros.
E já que a coisa está aí para produzir efeitos no mundo fenomênico, importante que o leitor saiba que dado pessoal é qualquer dado, isoladamente ou agregado a outro, que possa permitir a identificação de uma pessoa natural, tais como data de nascimento, profissão, dados de GPS, identificadores eletrônicos, nacionalidade, gostos, interesses e hábitos de consumo, entre outros. Dado sensível, por sua vez, é o que versa, por exemplo, sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, referente à saúde ou à vida sexual, dado genético ou biométrico.
Tratamento de dados nada mais do que toda operação realizada com esses dados: coletar, produzir, recepcionar, classificar, utilizar, acessar, reproduzir, transmitir, distribuir, processar, arquivar, armazenar, eliminar, modificar, comunicar, transferir, difundir ou extrair.
A Lei autoriza tratar dados pessoais se houver o consentimento pelo titular, ser caso de cumprimento de obrigação legal ou regulatória, ocorrer hipótese em que a administração pública necessite executar políticas públicas, para realizar estudos por órgão de pesquisa, exercitar direitos em processo judicial ou administrativo, proteger a vida ou da incolumidade física do próprio titular ou de um terceiro, tutelar a saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias, dentre outros.
A Lei vale para todas as empresas, de todos os setores e de todos os portes que tratam dados pessoais, por meio de seus departamentos, ou seja, RH; Regulatório, Logística; Marketing; Análise de Dados; Desenvolvimento de Software e TI. Jurídico; Compliance, apenas para citar alguns exemplos.
Deve haver, no tratamento de dados, necessidade, transparência, propósito legítimo e compatibilidade. Todo cuidado é pouco. Os titulares de dados pessoais têm o direito de confirmar a existência de tratamento, de acessar os seus dados, corrigi-los, eliminá-los, revogar o consentimento antes dado.
A LGPD quer proibir o uso indiscriminado dos dados pessoais informados por meio de cadastros, garantindo, ao titular, ciência adequada sobre como será feito o tratamento de suas informações e para qual finalidade específica serão usadas.
Obter consentimento prévio e expresso, explicando a razão e o objetivo, informando como será armazenado o dado e o nível de segurança do armazenamento passa a ser condição imprescindível para as empresas no tratamento de dados, protegendo a privacidade como valor de conduta, ética empresarial, prevenindo e antecipando eventos que possam comprometer a privacidade do usuário.