Tudo o que você precisa saber sobre a LGPD

Este artigo visa analisar e esmiuçar os detalhes da Lei 13.709/2018, tais como, seu objetivo, fundamentos legais, princípios norteadores, abrangência e aplicabilidade, suas hipóteses de tratamento e exceções, as sanções previstas em seu regulamento, bem como os pontos controvertidos constantes no reconhecimento e estabelecimento da composição da Autoridade Nacional de Proteção de Dados, que em suma, possui caráter sancionatório e é a autoridade responsável pela aplicabilidade da lei.

Ainda, abordaremos no presente trabalho, a prorrogação da data de vigência da Lei Geral de Proteção de Dados, tendo em vista os projetos de lei propostos pelos Senadores Otto Alencar do PSD-BA (PL 1027/2020), e Antonio Anastasia do PSD-MG (PL 1179/2020) diante do estado de calamidade pública ocasionado pela pandemia da Covid-19, bem como as consequências de sua prorrogação.

1. Objetivo da Lei, Fundamentos legais e princípios norteadores da Lei de proteção de dados.

O objetivo da lei encontra-se proclamada em seu artigo primeiro, caput, em que determina que a Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

O Artigo 2º da LGPD dispõe como fundamento de sua aplicação o respeito à privacidade, a autodeterminação informativa, a liberdade de expressão, informação, comunicação; a inviolabilidade da intimidade, da honra e da imagem do indivíduo, o desenvolvimento econômico e tecnológico, o direito a livre iniciativa e a livre concorrência, bem como o respeito à privacidade e ao direito do consumidor, também mencionado no marco civil da internet.

Quanto aos princípios norteadores, a nossa lei converge, em seu artigo 6 º, com a GDPR (General data Protection Regultion, lei que regulamenta a proteção de dados na União Europeia) que trata basicamente os mesmos princípios norteadores, quais sejam, a boa-fé, a finalidade, a adequação, a necessidade, o livre acesso, a qualidade dos dados, a transparência, a segurança, a prevenção, a não discriminação e a responsabilização. E visam coibir uma série de abusos que são praticados nas elaborações dos termos de uso, protegendo os consumidores dos serviços.

Levando em consideração o princípio da qualidade dos dados, temos que a empresa deverá provar que tomou todas as medidas necessárias para garantir a segurança e a proteção dos dados, para garantir, por exemplo, que agiu de acordo com todas diretrizes da lei de proteção de dados, necessárias para a prevenção de vazamentos de informações, entre outros possíveis problemas.

Outro princípio importante é o da não discriminação, eis que temos nossas vidas cada vez mais controladas por algoritmos, em que não sabemos como estes funcionam, exemplifica-se, as instituições bancárias possuem um mecanismo para autorizar ou não determinada operação como por exemplo, um empréstimo, sendo essa decisão tomada por algoritmos que trabalham como caixas pretas, sendo possível que este algoritmo esteja trabalhando de forma discriminatória. Assim, levando em consideração este princípio, podemos solicitar à uma empresa que ela comprove que em determinada operação não foi utilizado um algoritmo discriminatório, podendo também mencionar o dever da empresa com o princípio da transparência.

Isto posto, interessante relembrarmos um caso importante envolvendo um jogo de realidade virtual (Pokemon Go), que nos seus termos de uso, acabou cometendo uma abusividade na coleta e no tratamento das informações, em que os indivíduos que estavam anuindo, nos termos de uso do jogo, com o fato de que a empresa poderia coletar informações do e-mail dos usuários, e inclusive fazer postagens em seu nome. Não necessariamente sendo os dados coletados pela empresa, compatíveis para o funcionamento do produto que estava sendo ofertado. Assim, temos que a empresa que criou os termos de uso do jogo de realidade aumentada não poderia prever a visualização dos e-mails do usuário, muito menos, realizar postagens em nome do usuário, tendo em vista os princípios da finalidade, adequação e necessidade, eis que os dados coletados não eram necessários para a boa prestação do serviço que estava sendo contratado.

1. Abrangência e aplicabilidade.

Quanto a aplicação da lei, há duas teorias que merecem a nossa atenção, quais sejam a Teoria reducionista, aplicada a pessoa identificada, pessoa específica/determinada, com vínculo imediato, direto, preciso ou exato, bem como a Teoria expansionista (adotada no Brasil) que, em suma, determina que a lei de proteção de dados é aplicável a pessoa identificável, indeterminada, com vínculo mediato, indireto, impreciso ou inexato.

Diante da aplicação desta teoria no Brasil, compreende-se que a Lei de proteção de dados tem aplicação coletiva e não apenas a uma pessoa específica. Ato continuo, conforme é possível verificar em seu artigo 3, a lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que: a operação de tratamento seja realizada no território nacional, a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou os dados pessoais objeto do tratamento tenham sido coletados no território nacional (consideram-se coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta).

No que diz respeito à sua abrangência, assim como a GDPR, a Lei Geral de proteção de dados terá aplicação extraterritorial, ou seja, o dever de conformidade superará os limites geográficos do país. Por conseguinte, toda empresa estrangeira que tiver filial no Brasil, ou oferecer serviços ao mercado nacional e coletar e tratar dados de pessoas naturais localizadas no país estará sujeita à nova lei.

Ato continuo, os dados tratados pela legislação brasileira devem ter como fim o tratamento de dados pelos agentes de tratamento (controlador e operador) no território nacional. Sendo importante ressaltar que a lei de proteção de dados também visa tutelar o direito daqueles que estão praticando turismo no país.

Deste modo, a LGPD é aplicável aos titulares dos dados ou empresas que atuem ou transitem no Brasil, bastando, portanto, preencher um dos requisitos elencados, quais sejam, possuir estabelecimento no país, oferecer serviço ao mercado consumidor brasileiro, ou ainda quando manipular dados coletados, utilizados, compartilhados ou armazenados no território nacional.

Assim, não se exige, que, concomitantemente, o meio de operação de tratamento de dados, o país sede da empresa, a localização dos dados e a nacionalidade dos titulares dos dados sejam brasileiras.

Deste modo, levando em consideração que a maior parte das empresas que manipulam esses tipos de informações atuem em diversas nacionalidades, importante seria a cooperação entre os países para que sejam criadas leis que se conectem em seus fins, assim como a LGPD (Lei geral de proteção de dados) e a GDPR (General data Protection Regultion).

Por fim, quanto a sua inaplicabilidade, o artigo 4 da LGPD, determina que a lei não se aplica ao tratamento de dados pessoais quando realizado por pessoa natural para fins exclusivamente particulares e não econômicos, quando realizados para fins exclusivamente jornalístico e artísticos; ou acadêmicos (neste caso não se dispensa o consentimento), para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais, dados relacionados a pessoa jurídica, eis que estes, são protegidos pela lei de propriedade intelectual, os dados de pessoas falecidas, bem como os dados em trânsito, ou seja, aqueles que não tem como destino agentes de Tratamento no Brasil.

1. Direitos do Titular

Inicialmente, conceitua-se como titular, a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. Nesse sentido, o artigo 17 º e seguintes da lei, prevê, resumidamente, como direitos do titular a retificação, a explicação, o acesso e o cancelamento de dados pessoais, a revisão de decisões automatizadas, bem como a oposição e a portabilidade de seus dados.

Ainda, a lei de proteção de dados, em seu artigo 18 º, II, prevê o direito do titular ao acesso e conhecer os dados que estão sendo coletados, sendo reservado o direito do titular à exportação e à cópia dos dados coletados, as informações sobre o modo de coleta e armazenamento, a possibilidade de selecionar data de intervalo de informações, bem como os tipos de informações para incluir no arquivo.

Outro importante direto encontra-se previsto no artigo 18 º, IV, VI e IX da referida lei e diz respeito ao cancelamento de dados, devendo, a partir do momento em que a lei passar a vigorar, ser oferecido ao titular a possibilidade de requisição de exclusão de seus dados pessoais, ou ainda, a anonimização ou bloqueio dos dados.

Quanto ao direito de oposição, este é possível diante da revogação do consentimento do titular em ceder seus dados à empresa, nesse sentido, o direito de retificação prevê ao titular a possibilidade de alteração das informações prestadas para que estas estejam em conformidade com a sua situação atual, se assim o quiser.

Também é direito do titular é a explicação, que vem ocasionando diversas discussões, eis que confere ao titular a possibilidade de obtenção de uma explicação para qualquer decisão automática realizada por um algoritmo, havendo a possibilidade de ser requerida, inclusive, a revisão da decisão, contudo, a revisão não precisa se realizada por pessoa natural, conforme verifica-se na decisão do Congresso Nacional que manteve o veto presidencial sobre a obrigatoriedade de revisão por pessoa natural, aplicada em decisões tomadas por tecnologias automatizada.

Por fim, o direito de portabilidade, previsto no Art. 18 º. IV, confere aos indivíduos a possibilidade de transferências de suas informações de um serviço para outro, mediante requisição expressa, aumentando a competitividade no mercado.

Estes direitos poderão ser requeridos individualmente ou coletivamente, devendo ser direcionados ao controlador, à autoridade nacional, aos órgãos de defesa do consumidor e ao juízo, por meio de ação judicial. Quanto aos prazos para resposta e cumprimento deverão ser de imediato, quando possível e se justificado, em prazo razoável, particularmente, no que diz respeito ao direito de acesso, deverá ser respeitado o prazo de 15 dias previsto na lei.

1. Agentes no tratamento

O artigo 5 º da lei de proteção de dados traz consigo, o conceito de Agentes de tratamento, que são o controlador e o operador, sendo o Controlador a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais e o Operador a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. N

Quanto ao encarregado, este é a pessoa natural ou jurídica, de direito público ou privado, que atuará como canal de comunicação entre o controlador e os titulares de dados pessoais e a Autoridade Nacional de Proteção de Dados (ANDP), que é o órgão da administração pública indireta que deve ser criado para zelar, implementar e fiscalizar o cumprimento da LGPD.

Ainda, o mesmo artigo, conceitua o tratamento, que nada mais é do que toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

São claras, na legislação, a obrigações do controlador, quais sejam, provar que o consentimento foi obtido em conformidade com a noras legais, manter os registros das operações de tratamento de dados pessoais que realize, mediante solicitação de autoridade nacional de proteção de dados, elaborar relatório de impacto à proteção de dados, informar o titular caso haja alguma alteração na finalidade para a coleta de dados, bem como responder solidariamente, em conjunto com o operador, se for causado danos a terceiros por violação das diretrizes previstas na Lei geral de proteção de dados.

Nesse sentido, a fim de se resguardar, o controlador poderá adotar medidas que garantam o tratamento de dados de forma segura, tais como desenvolver processos internos e criar politicas que permitam realizar a criação e manutenção de registros das operações de tratamento de dados; conservar os dados obtidos com o fim de atender a finalidade pela qual foram coletadas, considerando-se o princípio da finalidade, cumprindo-se, portanto, as obrigações legais e regulatórias; poderá ainda, nomear o encarregado pelo tratamento dos dados pessoais caso haja alguma alteração na finalidade para a coleta de dados; e, por fim, convergindo com o princípio da transparência, informar o titular caso haja alguma alteração na finalidade para a coleta de dados.

Ainda, em caso de falta de consentimento, a lei de proteção de dados prevê que o controlador somente poderá fundamentar o tratamento de dados pessoais atestando que há finalidade legitima para tanto, e caso seja necessário comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento especifico do titular para tanto, com exceção de casos de dados públicos, eis que estes são públicos, não havendo a necessidade de autorização específica para tanto.

Assim, necessário recordar, portanto, que o controlador responde solidariamente com o operador se, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo diante de violação às normas estipuladas na Lei de proteção de dados.

Por fim, prevê a legislação, a faculdade concedida ao controlador em formular regras de boas práticas e de governança que estipulem condições de organização, procedimentos, normas de segurança, padrões técnicos, obrigações específicas, mecanismos internos de supervisão e mitigação de riscos. Nesse sentido, também é permitido ao controlador a conservação dos dados quando encerrado o período de tratamento para que seja possível cumprir com as obrigações regulatórias.

1. Hipóteses de tratamento e exceções

O artigo 7 º da LGPD determina as hipóteses em que o tratamento de dados pessoais poderão ser realizados, sendo estas, mediante o fornecimento de consentimento pelo titular (que deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular), para o cumprimento de obrigação legal ou regulatória pelo controlador, para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais, para o exercício regular de direitos em processo judicial, administrativo ou arbitral (excetuando-se os processos criminais, em que não é permitido o tratamento de dados pessoais), para a proteção da vida ou da incolumidade física do titular ou de terceiros, contratos, legitimo interesse – este, preceituado no artigo 10 º da LGPD, é destinado ao setor privado e prevê que o legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a promoção de atividades do controlador, bem como a proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas e os direitos e liberdades fundamentais – como por exemplo, para a prevenção de fraudes, monitoramento de empregados, marketing, profiling e propósitos éticos, para a concessão de crédito, em questões relacionadas a saúde, bem como para fins de desenvolvimento de políticas públicas, previsto no artigo 7º, III da LGPD, destinado ao setor público.

Ato continuo, quanto a obtenção de informações para desenvolvimento de atividades públicas, é vedado ao poder público transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto, em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observando o disposto na lei de acesso a informacao, bem como nos casos em que os dados forem acessíveis publicamente, observadas as disposições da lei ora analisada.

Nesse sentido, as empresas públicas e as sociedades de economia mista que atuam em regime de concorrência terão o mesmo tratamento dispensado às pessoas jurídicas de direito privado particulares. Em contrapartida, as empresas públicas e as sociedades de economia mista, quando estiverem operacionalizando políticas públicas e no âmbito da execução delas, terão o mesmo tratamento dispensado aos órgãos e as entidades do poder público.

Outro fator importante, é o tratamento de dados relacionados a crianças e adolescentes, neste seguimento, o artigo 14º da LGPD busca trazer maior proteção a este grupo de pessoas ao determinar que a coleta e tratamento de dados de crianças e adolescentes deverá ser realizado “em seu melhor interesse”, e ainda, devendo o tratamento de dados relacionados a esta faixa etária somente ocorrer com o consentimento específico e em destaque, dado por pelo menos um dos pais ou responsáveis legais. Assim sendo, as únicas hipóteses permitidas de coletas dos dados de crianças sem a autorização dos pais são aquelas com fins exclusivos de proteção à criança ou para contatar os pais ou responsáveis.

Ainda, outro ponto importante trazido pela lei geral de proteção de dados, é a questão dos dados sensíveis, que são os dados pessoais sobre a origem racial ou ética, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. A maior preocupação quando falamos nesse assunto é assegurar a privacidade de tais informações para que estes dados não sejam utilizados contra seus titulares, causando-lhes restrições ao acesso de bens e serviços e ao exercício de direitos.

Por fim, necessário o esclarecimento de que não se aplicam ao tratamento de dados sensíveis as hipóteses de execução de contratos, legitimo interesse do controlador e proteção ao crédito.

1. Transferência internacional

A lei Geral de Proteção de Dados conceitua a transferência internacional como transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o pais seja membro, estabelecendo, uma série de condições para que a transferência internacional seja lícita, tais como, que a transferência ocorra entre países ou organismos internacionais com grau adequado de proteção de dados pessoais, validado pela autoridade internacional de proteção de dados, devendo a transferência respeitar as normas gerais e setoriais da legislação em vigor, observar a natureza dos dados e dos princípios gerais de proteção de dados pessoais e direitos dos titulares, bem como a existência de garantias judiciais e institucionais para o respeito aos direitos de proteção de dados pessoais, e ainda, adotar as medidas de segurança cabíveis observando as circunstâncias específicas relativas à transferência.

Outra condição para que a transferência ocorra nos termos da referida lei, é a necessidade de existirem garantias de cumprimento dos princípios, direitos do titular e regime de proteção de dados, por meio de cláusulas contratuais específicas, cláusulas contratuais padrão, normas corporativas globais ou ainda, selos, certificados e códigos de conduta.

Outra hipótese em que se permite a transferência de dados de forma internacional é quando há a autorização da autoridade nacional de proteção de dados, compromisso assumido em acordo de cooperação internacional, ou ainda, quando a transferência dos dados visa a proteção da vida ou da incolumidade física do titular ou de terceiros ou a execução de política pública ou atribuição legal do serviço público.

Por fim, o consentimento específico e em destaque do titular, a execução de contrato ou de procedimentos preliminares, o cumprimento de obrigações legais ou regulatórias, o exercício regular de direitos em processo judicial, administrativo ou arbitral também autorizam a transferência internacional de dados.

1. Segurança de dados, notificação e sanções previstas.

O artigo 48, caput, da LGPD concebe ao controlador a responsabilidade por comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares e seu § 3º determina que no juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los.

Assim, temos que tanto o controlador quanto o operador devem informar, em prazo razoável, a autoridade nacional e aos titulares dos dados que ocorreu incidente de segurança, descrevendo os dados obtidos por terceiros, e ainda, as medidas técnicas adotadas e as medidas tomadas para reverter os prejuízos.

No que diz respeito aos dados gravosos, é sempre importante buscarmos técnicas de anonimização para o fim de se garantir a real tutela daqueles dados pessoais, garantindo que o tratamento da informação seja de forma lícita, legítima, e que o usuário tenha plena consciência de como a informação será tratada, armazenada, e se a informação será transferida a terceiros.

Deste modo, uma forma de proteger referidos dados é por meio da anonimização que é a utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo

Ainda, outra medida de prevenção que poderá ser adotada pelo controlador é a criptografia dos dados, que através de um mecanismo de segurança e privacidade que torna determinada comunicação inteligível para quem não tem acesso a chave que traduz a mensagem, permite que serviços existam com maior segurança e, em alguns casos, como banco on-line, é condição básica para a viabilidade do serviço.

Como vimos, a coleta de dados sensíveis exige do controlador maior cuidado e segurança, eis que se tratam de informações intimas do indivíduo, podendo ser utilizadas contra seus titulares.

Assim, em caso de ilicitude no tratamento e coleta dessas informações pelos agentes de tratamento de dados (controlador e operador), a Lei Geral de proteção de dados em seu artigo 52 e seguintes determina que a autoridade nacional poderá aplicar sanções, por meio de processo administrativo, como multa simples, multa diária, advertências, bloqueio de dados pessoais, publicização da infração, eliminação dos dados pessoais, suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador, a suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período e a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Nesse sentido, o parágrafo primeiro do referido artigo prevê que as sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados a gravidade e a natureza das infrações e dos direitos pessoais afetados, a boa-fé do infrator, a vantagem auferida ou pretendida pelo infrator, a condição econômica do infrator, a reincidência, o grau do dano, a cooperação do infrator, a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dado, a pronta adoção de medidas corretivas, a proporcionalidade entre a gravidade da falta e a intensidade da sanção, bem como a adoção de política de boas práticas e governança.

Em relação aos tipos de responsabilidade, o artigo 43 determina as hipóteses em que os agentes de tratamento não serão penalizados diante da inexistência de nexo causal, quais sejam, quando não realizaram o tratamento de dados pessoais que lhes é atribuído, quando embora tenham realizado o tratamento dos dados não tenha ocorrido violação aos dispositivos legais, ou ainda, quando o dano decorrer de culpa exclusiva do titular ou de terceiros. Ato contínuo, o artigo 42 prevê a responsabilidade solidária entre o controlador e o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar dano a outrem, moral, patrimonial, individualmente ou coletivamente.

O tipo de responsabilidade pode ser encarado como uma responsabilidade objetiva seguindo as determinações do código de defesa do consumidor já que vários dos abusos que ocorrem se dão na esfera consumerista ou nas esferas que dizem respeito ao consumidor. Assim, pode-se aplicar a teoria do risco da atividade econômica que encontra-se previsto no artigo 927 no código civil, artigo 14 do código de processo civil e também bastante embasado no código do consumidor, ainda, o artigo 45 da lei geral de proteção de dados determina que as hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem sujeitas as regras de responsabilidade previstas na legislação pertinente.

1. Atribuições e composição da Autoridade Nacional de Proteção de dados.

A lei geral de proteção de dados traz em seu artigo 55 – A, a natureza jurídica da ANPD (Autoridade nacional de proteção de dados) que é órgão da administração pública federal, integrante da Presidência da República. Contudo, tal natureza é transitória e poderá ser transformada pelo Poder Executivo em entidade da administração pública federal indireta, submetida a regime autárquico especial e vinculada à Presidência da República, ainda, o artigo 55 B é assegurada autonomia técnica e decisória à ANPD.

São atribuições da autoridade nacional estimular a adoção de padrões técnicos, bem como de serviços e produtos que facilitem o exercício de controle pelos titulares sobre seus dados pessoais; elar pela proteção dos dados pessoais; fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação; promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança; promover ações de cooperação com autoridades de proteção de dados pessoais de outros países; dispor sobre as formas de publicidade das operações de tratamento de dados pessoais, informe especifico sobre o âmbito, a natureza dos dados e os demais detalhes do tratamento realizado, e por fim, realizar ou determinar a realização de auditorias, no âmbito da atividade de fiscalização, sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento, incluindo o poder público.

Sua formação, de acordo com o artigo 55 -C da LGPD, é composta pelo Conselho Diretor que, de acordo com o artigo 55-D, será composto por 5 diretores com mandatos de 4 anos - contudo, merece ser destacado que o parágrafo 4 , determina-se Os mandatos dos primeiros membros do Conselho Diretor nomeados serão de 2 (dois), de 3 (três), de 4 (quatro), de 5 (cinco) e de 6 (seis) anos, conforme estabelecido no ato de nomeação. - incluindo-se o presidente, sendo este o órgão máximo de direção; pelo conselho nacional de proteção de dados pessoais e da privacidade, que, de acordo com o artigo 58 A será composto por 23 representantes titulares e suplentes, sendo 5 do poder executivo, um do senado federal, um da câmara dos deputados, um do conselho nacional de justiça, um do conselho nacional do ministério público, um do comitê gestor da internet no Brasil, três de entidades da sociedade civil com atuação relacionada a proteção de dados pessoais, três de instituições científicas, tecnológicas e de inovação, três de confederações sindicais representativas das categorias econômicas do setor produtivo, dois de entidades representativas do setor empresarial relacionado à área de tratamento de dados pessoais e dois de entidades representativas do setor laboral; pela Corregedoria, que é o órgão responsável por regular os dois primeiros; pela ouvidoria que é responsável por responder denúncias por meio de seu órgão de assessoria própria e com assessoramento jurídico próprio e unidades administrativas especializadas necessárias a aplicação do disposto nesta Lei.

Tais artigos não surgiram com a criação da lei em 14 de agosto de 2018. Em suma, o então presidente da República Michel Temer vetou os artigos de sua criação sobre a justificativa de que haviam vícios de iniciativa, eis que a iniciativa do legislativo não seria adequadas para criar um órgão como a autoridade nacional pois essa iniciativa caberia única e exclusivamente ao poder executivo, com base no artigo 61, parágrafo 1, II da Constituição Federal.

Foi ai que em 27 de dezembro de 2018, foi promulgada a Medida Provisória nº 869/18, pelo então presidente Michel Temer que reconheceu a existência da Autoridade Nacional de Proteção de Dados com caráter sancionatório e estabeleceu a composição da Autoridade nacional, porém, como a Medida Provisória tem força normativa desde a sua promulgação, sendo editada com caráter de urgência pelo Presidente, foi então que surgiu a necessidade da criação da Lei 13.853/2019 que alterou a lei de proteção de dados para firmar a criação da Autoridade nacional de proteção de dados.

1. Vigência da Lei

Com a pandemia do coronavírus no foco da atenção do mundo, o início de vigência da Lei Geral de Proteção de Dados, no Brasil, voltou a ser questionado pelos Projetos de Lei 1027/2020 e PL 1179/2020, apresentados pelo senador Otto Alencar (PSD/BA) e Antonio Anastasia (PSD/MG), respectivamente.

O Projeto do senador Anastasia propôs a prorrogação da vigência da LGPD para agosto de 2021 sob a justificativa de que as consequências do coronavírus já estão sendo sentidas na economia e sociedade brasileiras e em outros diversos países. Contudo, a senadora Simone Tebet (MDB-MS) publicou um relatório a respeito do Projeto do senador Antonio Anastasia, propondo a prorrogação do início da vigência da Lei Geral de Proteção de Dados para 1º de janeiro de 2021, sendo proposto também que as sanções seriam prorrogadas por mais 12 meses, de forma que só poderiam ser aplicadas a partir de agosto de 2021.

No dia 03 de abril de 2020, foi aprovado no senado o relatório proposto pela Senadora Simone Tebet, no entanto a decisão ainda depende de votação na câmara e sanção presidencial.

Ato continuo, foi aprovada, no Brasil, a Lei 13.979/2020 , que positiva medidas governamentais de combate à doença e sua propagação. Dentre essas medidas, está o compartilhamento de dados ‘’essenciais à identificação de pessoas infectadas ou com suspeita de infecção pelo coronavírus, com a finalidade exclusiva de evitar a sua propagação’’ entre órgãos da administração pública em todos os níveis e, inclusive, por pessoas jurídicas de direito privado quando solicitados por autoridade sanitária (art. 6º; art. 6º, par. único).

Dentre esses dados incluem-se, evidentemente, dados pessoais considerados sensíveis pela Lei Geral de Proteção de Dados Pessoais (art. 5º, II). A ausência de limitação quanto ao que seriam dados ‘’essenciais à identificação’’ é apenas uma das questões que surgem quando se analisa a problemática do tratamento de dados pessoais em situações de emergência como a atual, razão pela qual devemos nos preocupar com a prorrogação da lei, bem como nos atentar a todos os pontos negativos que a prorrogação poderá ocasionar.

CONCLUSÃO

A lei geral de proteção de dados, inspirada na regulamentação europeia de proteção de dados (GDPR), estabelece normas legais para legitimar o tratamento de dados pessoais e garantir os direitos do titular dos dados, tais como acesso, correção, eliminação, portabilidade e revogação dos consentimentos, protegendo e empoderando o consumidor garantindo-se indenização na ocorrência de danos causados ao titular.

Ainda, conceitua dado pessoal como toda informação relacionada a pessoa natural “identificada” ou “identificável” e determina que o tratamento desses dados deve considerar os princípios norteadores descritos na lei, e ao segui-los, as organizações demonstrarão que os dados pessoais coletados são necessários, mínimos, corretos, de qualidade, que atendem a uma finalidade de negócio válida, dentre outras características.

Ato continuo, a lei estabelece que as empresas deverão garantir a segurança dos dados pessoais tratados e comunicar incidentes de segurança da informação ao órgão regulador e ao titular dos dados.

Nesse sentido, uma alteração significativa é quanto ao tratamento de dados pessoais de crianças e adolescentes que exigirão atenção especial, como por exemplo, a obtenção de consentimento de um dos pais antes da coleta dos dados. Outra categoria especial diz respeito aos dados pessoais “sensíveis” que abrangem registros sobre raça, opiniões políticas, crenças, dados de saúde e características genéticas e biométricas, para esses dados, a lei estabelece condições específicas para tratamento, como por exemplo, a obtenção de consentimento do titular antes do tratamento.

Por todo o exposto no presente artigo, resta evidenciada a importância da Lei Geral de Proteção de Dados, que visa proteger não somente o consumidor e o titular das informações, mas também, visa trazer maior segurança jurídica às empresas que tratam e coletam dados pessoais.