Lei Geral de Proteção de Dados (LGPD)

Imagine-se fazendo uma entrevista de emprego e você descobre que a empresa havia coletado suas informações pessoais como histórico de saúde, opção sexual, etnia, e que, devido a isso, você foi eliminado da vaga.


Diante desse contexto, a dimensão dos direitos humanos preocupa-se com o princípio universal que a sociedade procura, e busca garantir à todos os indivíduos, diante da sua evolução histórica, a dignidade da pessoa humana.


A quarta geração de direitos foi marcada pelo avanço da tecnologia e, ao analisar esse avanço, foi necessário prevenir os malefícios que esta poderá trazer para o futuro da humanidade. Para isso, os valores morais compartilhados pela sociedade e positivados pela legislação podem e devem conservar e proteger as informações que dizem respeito ao cidadão enquanto sujeito de direitos, visto que o titular das informações tem direitos com relação aos seus dados pessoais, pois esses dados são expressões que fazem parte da sua própria persona.


A criação da Lei nº 13.709/2018, a Lei Geral de Proteção de Dados Pessoais (LGPD), dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, e reflete acerca do intento de proteção da dignidade da pessoa humana, basilar dos direitos humanos.


Para tomada de decisões, muitas empresas se utilizam de dados que circulam no ambiente virtual e a exposição de dados em larga escala, chamado de bigdata, e isso será cada vez mais frequente.


A LGPD surge com o propósito de garantir a privacidade de dados pessoais e regular maior controle sobre eles, tentando prevenir grandes vazamentos de informações e escândalos que envolvem o uso indevido de informações pessoais. Para tanto, a LGPD trouxe no Art. 2º, os fundamentos que disciplinam a proteção aos dados pessoais:

Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:
I - o respeito à privacidade;
II - a autodeterminação informativa;
III - a liberdade de expressão, de informação, de comunicação e de opinião;
IV - à inviolabilidade da intimidade, da honra e da imagem;
V - o desenvolvimento econômico e tecnológico e a inovação;
VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais

Na legislação constitucional e infraconstitucional, os dados pessoais já eram tutelados juridicamente tanto pela Constituição como pelo Direito do consumidor.


Contudo, recentemente, o Senado Federal aprovou a PEC nº 17/2019 para incluir de maneira expressa a proteção de dados disponibilizados em meios digitais no rol das garantias individuais. O Marco Civil da Internet reconhece tal direito e a LGPD veio para regulamentar a proteção e a privacidade dos dados pessoais de modo a tornar possível seu exercício. Além da dignidade humana, a lei determinou que os agentes observassem dez princípios no momento em que os dados receberam tratamento segundo o Art. 6º:


Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

A LGPD é aplicada aos dados relacionados à pessoa, seja ela brasileira ou não, que esteja no Brasil no momento da coleta, e esse tratamento é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração conforme o artigo quinto, inciso dez.


Contudo, há exceções em que a LGPD não é aplicada, logo se os dados coletados forem para fins exclusivamente jornalísticos e artísticos; de segurança pública; de defesa nacional; de segurança do Estado; de investigação e repressão de infrações penais; e particulares. Depreende-se do texto que a lei só é aplicada quando a pessoa física ou jurídica gerencie as bases de dados com fins ditos econômicos.

A lei, em seu Art. 5º, traz a distinção quanto aos dados pessoais que são informações relacionadas a pessoa natural identificada ou identificável e dados pessoais sensíveis, que são chamados dessa forma devido ao tratamento diferenciado que deve ser observado a essas informações diante da discriminação que pode ser gerada em caso de vazamento ou manipulação indevida, dados esses que dizem respeito a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.


Logo, as organizações que tratam dados pessoais sensíveis devem ter uma camada adicional de segurança a fim de evitar acessos indevidos ou vazamento desses dados, o que acarretaria um prejuízo maior aos titulares desses dados.


A palavra consentimento está descrita trinta e sete vezes na lei, isso revela a importância do consentimento do titular que deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular, para que haja o tratamento dos dados.


Logo, a própria lei traz o conceito no artigo quinto inciso sétimo e vale ressaltar que esse consentimento pode ser revogado a qualquer momento diante da alteração da finalidade dada ao tratamento dos dados pessoais, por isso é necessário renovar o consentimento do titular diante da mudança de finalidade.

 XII - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

Mas a lei trouxe algumas exceções onde os dados sensíveis podem ser manipulados sem o consentimento do titular no inciso dois do artigo sétimo em diante:


Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I - mediante o fornecimento de consentimento pelo titular;
II - para o cumprimento de obrigação legal ou regulatória pelo controlador;
III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;
VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária
IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecer em direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente

Contudo a referida lei informa que se os dados forem manifestamente públicos pelo titular os agentes não precisarão de consentimento para o tratamento desses dados, todavia os agentes devem considerar a finalidade, a boa-fé e o interesse público, resguardados os direitos do titular e os princípios que justificaram sua disponibilização segundo o artigo sétimo:


§ 3º O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.
§ 4º É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei.

Destaca-se que a LGPD criou a Autoridade Nacional de Proteção de Dados (ANPD), disposta anteriormente na MP nº 869/18, como parte da Política Nacional de Proteção de Dados Pessoais e Privacidade. Trata-se de um órgão da administração pública federal indireta, em regime de autarquia especial, com os objetivos de: zelar pela proteção de dados pessoais; fiscalizar e aplicar sanções administrativas; promover e divulgar informações sobre normas acerca da proteção de dados pessoais e medidas de segurança; e promoção de ações de cooperação com autoridades de proteção de dados pessoais de outros países; dentre outras competências. Qualquer pessoa natural que seja titular de dados pessoais poderá peticionar contra a empresa ou a instituição governamental que controle seus dados à ANPD acerca de violação às normas de proteção de dados.

É importante observar que diante de algum conflito no manipulação de dados a LGPD estabeleceu que a empresa eleja uma pessoa para ser encarregada que será responsável pelo atendimento das demandas do titular dos dados, ele também é chamado de Data Protection Officer (DPO) e a comunicação entre a empresa e a autoridade nacional de proteção de dados. A lei traz ainda outros conceitos de atores envolvidos no tratamento dos dados pessoais. A competência das decisões referentes ao tratamento de dados pessoais é do controlador, seja ela pessoa natural ou jurídica de direito público ou privado. Já quem realiza o tratamento desses dados segundo a lgpd é o operador que é pessoa natural ou jurídica de direito público ou privado em nome do controlador. Tanto o controlador como o operador podem ser responsabilizados em caso de não observância da lei, é o que diz o


Art. 44. O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:
I - o modo pelo qual é realizado;
II - o resultado e os riscos que razoavelmente dele se esperam