Cartilha a respeito da aplicação da LGPD e os Direitos dos Titulares

Por OAB/SP Subseção Santos com a colaboração de Leonardo Gutierrez Alves

O avanço da tecnologia tem sido primordial para a aceleração do desenvolvimento econômico, contudo, além dos benefícios são identificados alguns prejuízos e certamente a violação da privacidade dos indivíduos é um deles.

Visando conscientizar os titulares dos dados, a OAB de Santos reuniu alguns especialistas em proteção de dados e aplicação da LGPD para elaborar a cartilha de orientação com o link para download abaixo.

Importante destacar que a Lei Geral de Proteção de Dados (LGPD) no Brasil foi promulgada no ano de 2018 mas somente entrou em vigor em setembro de 2020, representando um marco significativo na legislação brasileira em relação à privacidade e proteção de dados pessoais. Sua origem está totalmente relacionada com crescente preocupação global com a privacidade dos indivíduos no contexto da era digital.

A LGPD foi amplamente inspirada no Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, que entrou em vigor em maio de 2018. O GDPR estabeleceu padrões rigorosos para a proteção de dados pessoais e influenciou a criação de leis semelhantes em todo o mundo. O Brasil, reconhecendo a importância de garantir a privacidade dos cidadãos em um mundo cada vez mais conectado, optou por desenvolver sua própria legislação para abordar essas preocupações.

O objetivo principal da LGPD é garantir que os dados pessoais sejam tratados de maneira ética, transparente e segura. Essa lei estabelece princípios fundamentais para o processamento de dados, como o consentimento do titular dos dados, a finalidade legítima, a minimização dos dados e a garantia da segurança da informação.

Além disso, a LGPD confere aos titulares dos dados diversos direitos, incluindo o acesso aos seus dados, a correção de informações incorretas, a exclusão de dados desnecessários, a portabilidade dos dados e o direito de revogar o consentimento a qualquer momento. Esses direitos visam garantir aos indivíduos maior controle de suas informações pessoais.

A aplicação da LGPD é muito abrangente, alcançando tanto empresas quanto órgãos públicos, e prevê penalidades robustas para aqueles que descumprirem suas disposições. As sanções incluem multas financeiras substanciais e a possibilidade de proibição do tratamento de dados.

Dessa forma, a Lei Geral de Proteção de Dados no Brasil representa um avanço importante na proteção da privacidade e no fortalecimento dos direitos individuais em um cenário cada vez mais digitalizado, reforçando a responsabilidade das organizações em relação ao tratamento adequado dos dados pessoais.

Perguntas e respostas frequentes (FAQ)

1. O que a LGPD regulamenta? 

A Lei Geral de Proteção de Dados regulamenta a coleta, o tratamento, o armazenamento e o compartilhamento de dados pessoais gerenciados por empresas ou pessoas físicas que exercem atividade econômica.

2. Quem é considerado o "titular de dados" pela lei? 

O titular é a pessoa natural (física) a quem se referem os dados pessoais que são objeto de tratamento por parte de uma organização.

3. O que são dados pessoais segundo a LGPD? 

É toda informação que torna a pessoa física identificada ou identificável, como por exemplo, nome, filiação, data de nascimento, RG, CPF, endereço e e-mail.

4. O que caracteriza um dado sensível? 

São informações intimamente ligadas à privacidade do cidadão e que demandam maior proteção, como origem racial ou étnica, religião, opinião política, filiação sindical, saúde, vida sexual ou dados genéticos e biométricos.

5. Dados anonimizados estão protegidos pela LGPD? 

Não. Dados relativos ao titular que não podem mais identificá-lo, devido à utilização irreversível de meios técnicos razoáveis, ficam fora da proteção da LGPD, servindo para gerar estatísticas genéricas.

6. Qual é o papel do "Controlador" de dados? 

O Controlador é a pessoa física ou jurídica, de direito público ou privado, que realiza a coleta dos dados pessoais e toma as decisões fundamentais em relação à forma e à finalidade do tratamento.

7. O que faz o "Operador" na LGPD? 

O Operador é a pessoa física ou jurídica (pública ou privada) que realiza efetivamente o tratamento dos dados pessoais em nome e sob as orientações do Controlador.

8. Quem é o Encarregado de Proteção de Dados (DPO)? 

É a pessoa indicada pelo Controlador para atuar como o canal de comunicação oficial entre o próprio Controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

9. O que determina o princípio do Livre Acesso? 

Esse princípio determina que os agentes de tratamento devem garantir aos titulares meios facilitados, de fácil compreensão e gratuitos para consultarem a forma, a duração do tratamento e a integralidade de seus dados.

10. Como o princípio da Qualidade dos Dados protege o cidadão? 

Ele garante que os dados tratados pela empresa sejam exatos, claros, relevantes e mantidos sempre atualizados, de acordo com a real necessidade para o cumprimento da finalidade.

11. O que as empresas devem fazer para cumprir o princípio da Transparência? 

As organizações devem disponibilizar aos titulares, de forma proativa, informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os agentes envolvidos (como em uma Política de Privacidade).

12. Como o princípio da Segurança atua na prática? 

Ele obriga as empresas a adotarem ferramentas tecnológicas, medidas de segurança física e processos seguros para proteger a confidencialidade, a integridade e a disponibilidade dos dados, evitando invasões e vazamentos.

13. O que exige o princípio da Responsabilização e Prestação de Contas? 

Exige que as empresas desenvolvam, mantenham atualizada e demonstrem a documentação e as evidências das suas atividades de tratamento de dados perante as autoridades competentes quando requisitadas.

14. Uma empresa pode pedir o consentimento do cliente com uma finalidade genérica? 

Não. O consentimento, para ser válido, deve ser fornecido de forma específica e com uma finalidade determinada; autorizações com finalidades genéricas incorrem em vício de consentimento e são inválidas.

15. Como deve ser o consentimento para dados de crianças e adolescentes? 

O tratamento dos dados de menores deve ser realizado somente com o consentimento específico e destacado de pelo menos um dos pais ou do responsável legal.

16. A execução de contratos serve como justificativa legal para o uso de dados? 

Sim, a Execução de Contratos (ou Procedimentos Preliminares) é uma base legal que permite o tratamento de dados pessoais comuns que sejam estritamente necessários para viabilizar um contrato do qual o titular faça parte.

17. Os dados podem ser usados em processos judiciais sem consentimento? 

Sim. A base legal do Exercício Regular de Direitos permite o tratamento restrito e proporcional de dados para garantir o acesso à justiça e os direitos legais das partes em processos judiciais, administrativos ou arbitrais.

18. Uma empresa pode coletar dados sem permissão alegando "proteção da vida"? 

Sim, mas deve existir uma preocupação real e legítima em resguardar a vida ou a incolumidade física do titular (ou de terceiros) perante um perigo iminente. Não é razoável usar essa base para coletas indiscriminadas.

19. É permitido usar biometria (dado sensível) para prevenção a fraudes sem consentimento expresso? 

Sim, a LGPD possui uma base legal específica que autoriza o tratamento de dados sensíveis voltado estritamente para garantir a prevenção à fraude e a segurança do titular em processos de identificação em sistemas eletrônicos.

20. A empresa pode obrigar o titular a registrar biometria (como digital ou reconhecimento facial)? 

Ninguém é obrigado a fazer algo senão em virtude de lei. Se um serviço impuser isso, o titular pode optar por não aderir à plataforma ou contestar a legitimidade da exigência judicialmente e nos órgãos de defesa.

21. O que significa o direito à "Confirmação da Existência de Tratamento"? 

É o direito do titular de saber de forma clara não só quais dados o controlador tem sobre ele (em meios físicos ou digitais), mas também como estão sendo usados e para qual finalidade.

22. O titular pode mandar a empresa corrigir dados errados no sistema? 

Sim. Caso o titular perceba que seus dados estão incorretos, incompletos ou desatualizados, ele tem o direito de exigir a correção para evitar consequências prejudiciais e fraudes.

23. O que é o direito à Eliminação, Bloqueio ou Anonimização? 

É o poder do titular de exigir que dados desnecessários, excessivos ou tratados em desconformidade com a LGPD sejam bloqueados, apagados ou anonimizados irreversivelmente.

24. O que é o direito à Portabilidade dos dados? 

Representa o direito do titular de solicitar que suas informações pessoais sejam transferidas para outro fornecedor de serviço ou produto, de forma segura, gratuita e com base na interoperabilidade.

25. Se o titular deu consentimento antes, ele pode pedir para apagar os dados depois? 

Sim, o titular tem o direito de solicitar a eliminação dos dados que foram tratados com base no seu consentimento. A exceção ocorre apenas se houver uma necessidade legal ou regulatória de manter esses dados arquivados.

26. O titular tem o direito de saber com quais empresas parceiras seus dados foram compartilhados? 

Sim. Em respeito ao princípio da transparência, o controlador deve informar expressamente e com detalhes com quais entidades públicas ou privadas está compartilhando as informações do titular.

27. O site precisa explicar o que acontece se o cliente recusar os cookies ou o consentimento? 

Sim. O titular tem o direito de ser expressamente informado sobre a possibilidade de negar o consentimento e sobre quais serão as consequências exatas (ex: perda de funcionalidades do site) diante dessa negativa.

28. Revogar o consentimento significa que os dados serão automaticamente eliminados do sistema? 

Não necessariamente. A revogação significa o fim da autorização para dar continuidade ao tratamento. A destruição física das informações é a "eliminação", que constitui um outro direito específico e separado do titular.

29. Onde o titular pode denunciar empresas que descumprem a LGPD? 

Além do poder judiciário, o titular tem o direito de manifestar-se contra os controladores de dados abusivos diretamente na Autoridade Nacional de Proteção de Dados (ANPD) e nos órgãos de defesa do consumidor (Procon).

30. É possível contestar uma decisão tomada 100% por um algoritmo ou robô? 

Sim. A lei garante ao titular o direito de solicitar a revisão de decisões automatizadas que afetem seus interesses, tendo o direito de receber informações claras e compreensíveis sobre a lógica computacional utilizada nessa decisão.