Lei Geral de Proteção de Dados: princípios e novas figuras introduzidas pela lei
Entenda as figuras do 'Controlador' e do 'Operador', que devem zelar pelo cumprimento da lei e tratar os dados pessoais
Por Brasil Econômico | – Fernando Capez, diretor-executivo do Procon-SP |
Continuando nosso estudo sobre a Lei Geral de Proteção de Dados
– Lei 13.709/18 (LGPD) – vide artigos anteriores – passemos para a análise de mais alguns de seus aspectos.
Leia:
Lei Geral de Proteção de Dados – Conheça os conceitos básicos
Lei Geral de Proteção de Dados – Origem histórica
Vimos que a LGPD se aplica a qualquer pessoa, seja natural ou jurídica, de direito público ou privado, que realize o tratamento de dados pessoais, online ou off-line, abarcando, portanto, inúmeras situações do cotidiano comercial.
Sua aplicação se dá em todo território nacional e também apresenta efeitos extraterritoriais, atingindo não apenas as empresas que possuam estabelecimento no país, como também as que ofereçam serviço ao consumidor brasileiro ou coletem dados de pessoas localizadas no Brasil.
A elaboração da lei se deu baseada em alguns princípios, que destacamos a seguir:
- FINALIDADE: O tratamento dos dados pessoais deve visar propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior que não obedeça às finalidades declaradas;
- ADEQUAÇÃO: Trata-se de desdobramento do princípio anterior no que tange à compatibilidade do tratamento dos dados com as finalidades informadas ao titular, conforme o contexto do tratamento;
- NECESSIDADE: O tratamento de dados deve limitar-se ao mínimo necessário para o atingimento de suas finalidades, com a utilização pertinente dos dados do titular, sendo vedado seu uso desproporcional ou excessivo;
- LIVRE ACESSO: Trata-se da garantia aos titulares de consultar gratuitamente a forma, duração e integridade do tratamento de seus dados;
- QUALIDADE DOS DADOS: Garantia dada aos titulares de exatidão, clareza, relevância e atualização de seus dados pessoais;
- TRANSPARÊNCIA: Garantia dada aos titulares de que as informações sobre o tratamento de dados serão claras, precisas e facilmente acessíveis
- SEGURANÇA: Diz respeito a utilização de medidas técnicas e administrativas que protejam os dados pessoais de acessos não autorizados por seus titulares e de ações acidentais ou criminosas, tais como: destruição, perda, alteração, comunicação ou difusão de dados;
- PREVENÇÃO: Dever das empresas ou dos professionais encarregados do tratamento de dados pessoais dos clientes de adotarem medidas que visem a prevenção de ações que acarretem dano ao cidadão, advindos do tratamento indevido de dados;
- NÃO DISCRIMINAÇÃO: Vedação de tratamento de dados que objetivem fins discriminatórios, ilícitos ou abusivos;
- RESPONSABILIZAÇÃO: Necessidade de o agente demonstrar a tomada de medidas eficazes e capazes de comprovar a fiel observância das normas da LGPD, responsabilizando-se por qualquer irregularidade que eventualmente ocorra.
Nesse contexto, a LGPD apresenta-nos novos sujeitos que deverão estar presentes no cotidiano da atividade econômica, impostos pela nova lei para a verificação, fiscalização e responsabilização do tratamento de dados pessoais. O primeiro trata-se do Titular, que em verdade não é novo, mas é o principal. Conforme o art. 5º, V, Titular é toda pessoa natural a quem se referem os dados pessoais que são objetos do tratamento.
No ponto dos Agentes de Tratamento (art. 5º, IX), somos apresentados às figuras do Controlador e Operador.
Entende-se por Controlador qualquer pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais (art. 5º VI) e indicação do Encarregado ou Data Protection Officer, profissional que deverá zelar pelo cumprimento das regras previstas na lei, orientando os funcionários e contratados acerca das práticas a serem adotadas; recepcionando e atendendo as demandas dos Titulares e interagindo com a Autoridade Nacional de Proteção de Dados.
O Operador será qualquer pessoa natural ou jurídica, de direito público ou privado, que realizar o tratamento de dados pessoais em nome do Controlador (art. 5º, VII).
A legislação também nos apresenta duas novas obrigações por parte daqueles que desempenham atividade econômica e armazenam dados de seus clientes. O art. 5º, XIV, traz o dever de Eliminação, ou seja, de exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado, após atingimento das finalidades a que se propôs ou a pedido do Titular.
Já o art. 5º, XVII, por fim, apresenta a necessidade da elaboração do Relatório de Impacto à Proteção de Dados, consistente na documentação do Controlador que deverá conter a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de prevenção e mitigação de riscos.