Se o assunto é  Direito e tecnologia, a  Lei Geral de Proteção de Dados (LGPD) não pode ser deixada de lado.

A internet proporciona intensa coleta de dados das pessoas, muitas vezes reduzindo sua privacidade e intimidade, direitos fundamentais consagrados em nossa Constituição Federal.

Com a declarada finalidade de dispor “sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, foi editada no Brasil a Lei Geral de Proteção de Dados Pessoais (LGPD) – Lei 13.709/2018,  inspirada na legislação europeia (General Data Protection Regulation – GDPR).

Essa nova lei passará a regular o tratamento de dados pessoais tanto em meios físicos quanto digitais, trazendo novas regras e obrigações relacionadas à privacidade e proteção de dados pessoais, sendo aplicável a praticamente qualquer organização que interaja com esses dados. Por força da Medida Provisória nº 959, de 29/04/2020, o prazo de vacatio legis da Lei Geral de Proteção de Dados foi estendido para até o mês de maio de 2021.

Mas o que são dados pessoais, afinal? A lei considera dado pessoal a “informação relacionada a pessoa natural identificada ou identificável”, e dado pessoal sensível o “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural” (Art. 5º da LGPD).

Nessa ordem de ideias, a partir da LGPD caberá a todos os que interagem com dados pessoais entenderem os futuros impactos em seus negócios, a fim de evitar as penalidades previstas em lei.

Até 2018, não tínhamos uma lei específica que tratava de dados pessoais, apenas princípios, diretrizes, comunicações, recomendações, como por exemplo:

* a própria Constituição Federal, que protege a privacidade e intimidade, em seu Art. 5º (direitos fundamentais);

* o Código de Defesa do Consumidor, que fala apenas da perspectiva do Consumidor e aborda brevemente sobre a utilização de seus dados; e

* previsão de crimes, com base na quebra de sigilo (como quebra do sigilo bancário).

Considerando que toda e qualquer interação que se faça com a tecnologia poderá ser armazenada a interpretada, é necessário entender que a economia digital está baseada na interação do indivíduo com as tecnologias, em que suas informações podem ser transmitidas. A Lei faz com que o titular dos dados pessoais possa ter insights, permitindo-lhe exercer discernimento sobre como serão utilizados. Ou seja, impõe algum nível de customização sempre que houver coleta de dados, a partir do momento em que o titular clique (opt in) ou aceite isso de forma clara e informada (interação prévia).

Nesse contexto, para que não haja abusos, seja por privacidade violada ou discriminação (como por exemplo no caso de um titular passar a ser tolhido na contratação de um seguro ou processo seletivo), e para que o titular passe a ter a ciência de como seus dados são coletados, tratados e utilizados, e com qual finalidade, a LGPD vem regular e limitar a utilização, coleta e tratamento de dados.

Atualmente, muitos negócios utilizam a política de privacidade para alcançar essa proteção ao usuário. Com um simples clique, o usuário declara que possui conhecimento de como seus dados são coletados, a finalidade dessa coleta e se haverá compartilhamento com outras empresas, entre outros. A LGPD tem a a finalidade de complementar essa política e aperfeiçoar essa prática.

Muitas vezes, o desafio ao elaborar uma política de privacidade é dar ciência ao usuário acerca da finalidade que se seus dados dele, sem um detalhamento minucioso, pois isso pode ser o segredo do negócio. A LGPD pretende proteger o segredo do negócio, buscando o equilíbrio entre privacidade e intimidade de um lado, e preservação da empresa, de outro.

A partir da LGPD, será necessário que as empresas definam quais são os dados a serem coletados, e sua destinação, e tenham também uma política clara sobre como lidar com os questionamentos acerca do uso de tais dados:

* a LGPD é uma lei cultural, porque não será aplicada sem considerar o modelo de negócios das empresa; ela deverá fazer parte da cultura da empresa;

* é uma lei de governança (como as coisas funcionam dentro da empresa – relação com políticas, normas, regras, padrões) e compliance;

* não é detalhista em processos e ferramentas (fica a critério da empresa determinar como será feita a segurança da informação);

* a LGPD traz princípios e elenca hipóteses de utilização de dados pessoais, dispondo sobre a necessidade do consentimento claro e informado do titular.

A LGPD, marcada por princípios e conceitos, cuida da proteção dos dados da pessoa natural, condiciona o tratamento de dados a finalidades previamente estabelecidas e informadas ao titular. Fixa padrões no ciclo de vida dos dados pessoais, com estabelecimento de obrigações de manutenção de dados por prazos e deveres para realização do descarte seguro.

Os fundamentos da LGPD estão elencados em seu Art. 2º, e são: proteção da privacidade; autodeterminação informativa (os titulares tem o poder de escolher os dados que desejam informar e compartilhar com terceiros); proteção da liberdade de expressão, comunicação e opinião; proteção da intimidade, honra e imagem; desenvolvimento econômico e tecnológico (protege a inovação, observada delimitação do uso da tecnologia); e, livre iniciativa, livre concorrência e a defesa do consumidor.

A aplicação da LGPD, conforme Art. 3º, se dará em toda e qualquer operação de tratamento de dados pessoais, independente do meio (inclusive meio papel), realizada no Brasil ou tratados e coletados no território nacional.

Além disso, a legislação formula bases legais para o tratamento de dados, listando 10 hipóteses em que é possível em situações em que não há dependência direta do consentimento do titular de dados. Essas hipóteses pautam-se na relação entre adequação-finalidade. Não se permite que o uso seja irrestrito e por prazo indefinido.

Os titulares de dados pessoais podem exercer direitos sobre as informações pessoais fornecidas, tais como: podem requisitar informações sobre o tratamento de suas informações; possuem direito à qualidade das informações que são tratadas a seu respeito, podendo, inclusive, solicitar correções; podem revogar o consentimento para a tratamento de dados a qualquer tempo; passaram a ter direito a solicitar a portabilidade de seus dados para migração para outras plataformas; decidir se haverá a disponibilização de tais informações com empresas parceiras do controlador; e, inclusive, requisitar a eliminação de seus dados.

Ainda que falte cerca de 1 ano para a plena vigência e eficácia da LGPD, é prudente que esse tempo seja aproveitado para que planos de adequação sejam criteriosamente avaliados pelos operadores e controladores dos dados pessoais, a fim de diminuir riscos regulatórios e aprimorar seus modelos de negócios.