A Lei Geral de Proteção de Dados (LGPD) é pequena, tem apenas 65 artigos, mas é uma lei processual, traz conceitos, princípios e processos que devem ser cumpridos, tornando-a complexa.
Não custa lembrar que nenhuma empresa foi isenta do cumprimento da LGPD, então não importa o tamanho ou o faturamento, todas as empresas, de direito público ou privado, têm obrigação de se adequar.
Em relação à flexibilização da Resolução nº 02, da Autoridade Nacional de Proteção de Dados, já escrevemos sobre ela, clique aqui para ler o artigo.
Muitos, desconhecendo a Lei, dizem que a LGPD veio prejudicar os negócios e impedir o tratamento dos dados pessoais, mas isso não é verdade.
A LGPD veio regulamentar a forma indiscriminada como as empresas tratavam nossos dados pessoais.
Sim, as empresas precisam, de uma vez por todas, entender que os dados não pertencem a elas, mas sim aos titulares.
Assim, o princípio da finalidade, disposto no artigo 6°, inciso I, da Lei 13.709/2018 – LGPD, diz: “ finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades”.
Por esse princípio, o controlador, ou seja, a empresa que trata os dados, deve ter propósitos legítimos e específicos para tratar os dados pessoais.
Não há mais como as empresas entrarem em redes sociais, como o Linkedin,fazer a cópia dos dados e usar como bem entenderem.
Deve haver um propósito legítimo e agir contra os interesses do titular não pode ser considerado um propósito legítimo.
Outro detalhe importante, todo tratamento deve ser informado ao titular, então essas empresas de se apoderam dos dados para “enriquecer sua base” e depois vender, sem conhecimento dos titulares, não cumprem a Lei Geral de Proteção de Dados e podem, inclusive, sofrer processos por conta disso.
Mas há quem diga que também há na lei o artigo 7°, parágrafo 4°, da LGPD que dispõe:
“É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei”, e por isso eles poderiam tratar esses dados sem o consentimento do titular.
Então, vamos analisar esse artigo: não precisa do consentimento, mas precisa ter propósito legítimo, específico e precisa sim informar o titular e cumprir todos os artigos da lgpd.
Diante disso, ao contrário do que essas empresas imaginam, a coleta dos dados indiscriminadamente, vai contra a proteção dos dados pessoais, objeto da LGPD e do artigo 5°, inciso LXXIX, da Constituição Federal, que diz que a proteção dos dados pessoais são direitos e garantias fundamentais.
Assim sendo, a partir da entrada em vigor da LGPD, que aconteceu em 18 de setembro de 2020, qualquer um que queira tratar dados pessoais com fins econômicos, incluindo até mesmo, pessoas naturais, precisa encontrar na LGPD hipóteses de tratamento desses dados.
As hipóteses de tratamento estão elencadas no artigo 7°, quando os dados forem comuns; no artigo 11, quando os dados forem sensíveis; no artigo 14 quando forem dados de crianças e adolescentes e no artigo 33 quando houver compartilhamento internacional de dados pessoais, todos artigos da LGPD.
Cabe ainda ressaltar que se a empresa informou para o titular uma finalidade e uma hipótese de tratamento, não poderá tratar aquele dado pessoal com outra finalidade e outra hipótese, conforme disposto no artigo 6°, inciso I, da LGPD, acima transcrito.
Todo tratamento deve ser informado ao titular sobre pena da empresa responder pelo descumprimento da LGPD.
A empresa que não cumpre a LGPD pode responder em 4 esferas:
- Perante a Autoridade Nacional de Proteção de Dados – ANPD – em processo administrativo sancionatórios cujas sanções estão no artigo 52, da LGPD;
- Perante os órgãos de defesa do consumidor, que também detém o poder de multa;
- Perante a Justiça Cível em ações de indenizações por danos patrimoniais ou morais sofridos pelo titular que se sentir prejudicado por um tratamento que não cumpre o princípio da finalidade e demais dispositivos da LGPD e;
- Perante a Justiça na esfera penal, caso tenha sido cometido um crime no tratamento de um dado pessoal.
Lembrando que a empresa pode responder em 4 esferas diferentes pelo mesmo tratamento em desrespeito à LGPD, não é um ou outro, podem ser concomitantemente.
Então, a partir de agora, todas as empresas devem ficar bem atentas se possuem finalidade para tratamento dos dados pessoais, encontrando a hipótese de tratamento correta e, sem isso, poderá sofrer em 4 esferas diferentes por seus atos.