Não é de hoje e agora bem mais, que a preocupação das pessoas com a utilização dos seus dados pessoais e a sua privacidade gera inquietações. O aumento da utilização de dados para os mais diversos fins e seus grandes impactos, ainda não são do conhecimento de muitos.
Diante disso, o Brasil, seguindo a tendência mundial e, principalmente, inspirando-se no regulamento europeu (GDPR) aprovou a Lei nº 13.709/2018 (LGPD – Lei Geral de Proteção de Dados Pessoais), que entrou em vigor no dia 18/09/2020.
A LGPD trouxe novo arcabouço legal com o objetivo de regulamentar a utilização dos dados pessoais, tendo como um dos seus principais focos a transparência na utilização dos dados e a proteção do titular, dos seus dados.
Diversos pontos merecem atenção, mas, neste primeiro momento, destacamos dois:
(I) a abrangência da sua aplicação; e
(II) a definição e responsabilidade dos agentes de tratamento.
Com relação ao primeiro, a LGPD apresenta uma definição extremamente ampla sobre o que é considerado tratamento de dados pessoais, fazendo com que a grande maioria das atividades desenvolvidas por PJ (públicas e privadas), além de algumas PF, tenham que observar a LGPD. Aliás, independentemente de operações com dados pessoais ocorrerem de forma digital ou apenas analógica.
Sobre os agentes de tratamento, ainda que a legislação traga um conceito relativamente simples, na prática este é um dos assuntos que têm suscitado dúvidas na hora de sua delimitação nas operações. Isso porque, como agente de tratamento é definido para cada uma das operações feitas com dados pessoais, a mesma organização poderá ser controladora e operadora, a depender de sua atuação nas mais diferentes operações de dados pessoais que está envolvida. E, como a LGPD atribui obrigações específicas ao controlador, a sua conceituação prática, além de possuir elevada importância, resulta em contendas nas partes envolvidas no tratamento de dados pessoais, que tentam mitigar a sua responsabilidade.
Diante disso, ressaltamos que algumas das primeiras medidas a serem adotadas, em um início de processo de adequação à LGPD são:
(I) determinar se há ou não o exercício de uma ou mais atividades de tratamento de dados desenvolvida pela empresa; e, feito isso,
(II) determinar se a função que a empresa exerce, em cada uma destas atividades de tratamentos, se qualifica como controlador ou operador.
Após estas primeiras medidas, outras como o mapeamento dos dados e delimitação das hipóteses de tratamento, também são extremamente relevantes, mas trataremos disto nas próximas postagens.
A ASPR, em conjunto com a sua parceira de TI – Digiti e o especialista Dr. Igor Muraro, iniciaram a implantação da LGPD e trabalham forte para finalizar até agosto de 2021. Após esta data, há previsão legal para a incidência de possíveis pesadas multas, pela falta de sua implantação e não proteção de dados sensíveis/pesso
Ary Silveira Bueno / ASPR – Diretor
Dr. Igor S. Muraro – Advocacia
