[Artigo originalmente publicado no blog do Capterra, plataforma do grupo Gartner

voltada à busca e comparação de softwares SaaS por pequenas e médias empresas]

Lei Geral de Proteção de Dados: o que

não dá para deixar de saber
Por Pedro Fonseca

Nessa minha primeira colaboração para o blog do Capterra, tento descomplicar um pouco
a tal da LGPD, da qual tanto se fala e que passa a valer em agosto de 2020. Vamos
começar pela sopa de letrinhas: LGPD, de Lei Geral de Proteção de Dados.

Há dois pontos importantes nessa sigla para os quais gostaria de chamar a sua atenção: o
primeiro é o “G” de Geral. Ele quer dizer que a lei se aplica a todos os setores da
economia (empresas de internet e tecnologia são só a ponta do iceberg) e até mesmo ao
governo.

Empresas de todo os portes –inclusive as pequenas e médias– podem ser

consideradas agentes de tratamento de dados (veremos abaixo o que isso quer dizer) e
estarão sujeitas à lei. Os modelos de negócio B2C (de empresa para consumidor) tendem
a lidar com maior volume de dados pessoais e devem estar ainda mais atentos às
implicações da LGPD.

Há multas e outras consequências pelo seu descumprimento, assunto de que trataremos

em breve. O importante nesse momento é entender que o cenário de proteção de dados
muda completamente no ano que vem: hoje, qualquer tratamento de dados pessoais é, em
princípio, autorizado. A partir de agosto, só será considerada lícita uma operação de
tratamento que tenha fundamento em uma das bases legais do artigo 7º da LGPD.

Há outro ponto importante nessas quatro letrinhas: na verdade, deveria haver uma quinta
letra na sigla, o “P”, de pessoais. A lei só se aplica ao tratamento de dados pessoais, ou
seja, dados que possam identificar uma pessoa física, de carne e osso. Dados de pessoas
jurídicas, por exemplo, estão fora do alcance da LGPD(P). Mas, afinal, o que quer dizer
“tratamento de dados pessoais”?

Antes de mais nada, uma sugestão. O texto da lei está disponível no site do Congresso
brasileiro. Proponho que você abra o link e vá até os artigos que mencionarei
neste post para ver, na prática, o que parece teoria. À primeira vista vai parecer
complicado, mas leis, apesar do vocabulário estranho, estão aí para serem lidas (e
entendidas) por qualquer um. Ajudarei aqueles que se encorajarem, indicando alguns
artigos específicos que vale a pena consultar.
Sigamos!

O artigo 5º traz várias definições importantes, entre elas a de “dados pessoais” (qualquer
dado que diga respeito a uma pessoa, o que vai do número do RG a uma fotografia,
passando por informações financeiras, filiação política, endereço, orientação sexual, etc.).
O mesmo artigo define “tratamento” com uma lista de 20 verbos diferentes (!) e ainda diz
que são só exemplos.
Ou seja, virtualmente, tudo o que se pode fazer com um dado pessoal –coletar,
compartilhar, armazenar, filtrar, etc.– é considerado tratamento e, portanto, está sujeito à
lei.

Aquele que trata dados pessoais pode ser:

 um controlador – se tratar os dados para fins próprios

 um operador – caso realize o tratamento de dados pessoais em benefício de outra
empresa, essa, sim, o controlador

Essas definições, e outras, estão no artigo 5º da LGPD –as que faço referência aqui estão
nos incisos I, VI, VII e X.

O que não dá para não saber sobre a LGPD em

cinco tópicos:
1. Base Legal
O ponto central da lei –e a principal mudança que se observará a partir de agosto de
2020– é o seguinte: toda operação de tratamento de dados pessoais precisará estar
casada com uma das justificativas previstas no artigo 7º.

A isso se chama base legal.

São dez bases legais possíveis. As que mais interessam ao setor de tecnologia são:

 consentimento (inciso I)
 cumprimento de obrigação legal ou regulatória (inciso II)
 cumprimento de contrato com o titular dos dados (inciso V)
 legítimo interesse (inciso IX)

2. Identificando a base legal

A primeira etapa do processo de adequação à LGPD é encontrar uma base legal para
cada operação de tratamento realizada. Podemos pensar, por exemplo, em uma empresa
que atua no segmento de software como serviço (SaaS na sigla em inglês) e que coleta
dados dos usuários no momento da abertura da conta.

Será necessário identificar uma base legal para essa coleta (exemplo: cumprimento de
contrato com o titular dos dados –art. 7º, V). Se essa mesma empresa compartilhar esses
dados com um terceiro, isto é considerado outra atividade de tratamento e também precisa
ter uma base legal específica (digamos, consentimento).

3. Consentimento
As atividades de tratamento que se baseiam no consentimento precisam observar
algumas regras específicas. Por exemplo, ele precisa ser “livre, informado, inequívoco e
específico” (artigo 5º, XII) e pode ser revogado a qualquer momento (artigo 8º, parágrafo
5º).
4. Legítimo interesse
O legítimo interesse é uma saída interessante para quando não é viável obter o
consentimento ou quando não há um contrato com o titular dos dados. Isso permite, por
exemplo, que o Google trate dados pessoais em sua atividade de indexador.

Mas atenção: o tratamento de dados com base em legítimo interesse precisa observar as
regras do artigo 10, não se aplica a dados sensíveis (definidos no art. 5º, II) ou dados de
crianças e adolescentes. Implica também cuidados maiores, como a elaboração de um
relatório de impacto que pode ser exigido pela futura autoridade nacional (o chamado
relatório de impacto à proteção de dados ou LIA –legitimate interest assessment).

5. Princípios
Qualquer operação de tratamento deve seguir alguns princípios, que constam do artigo 6º
da lei. Os mais importantes –vale consultar a lei aqui para entender o que cada um deles
significa– são:

 finalidade
 adequação
 livre acesso
 transparência
 segurança
 prevenção
 não-discriminação

Esses “princípios” podem parecer teóricos, mas não são. É justamente isso, junto com a
“base legal” sobre a qual falamos acima, que deve nortear a avaliação, pela futura
autoridade nacional, sobre a legitimidade de cada atividade de tratamento.

Autoridade Nacional de Proteção de Dados e DPO

Também há vários pontos ainda indefinidos em relação à LGPD, inclusive a composição
da futura Autoridade Nacional de Proteção de Dados. Além do “enforcement” (ou seja,
verificar o cumprimento e impor penalidades), a autoridade terá o poder de regulamentar
pontos que a lei deixou em aberto.

Por exemplo, em princípio, todo agente de tratamento precisará indicar um “encarregado”,

também chamado de DPO (data protection officer na sigla em inglês), para fazer a
interface entre a empresa, a autoridade e os titulares de dados pessoais. É possível,
porém, que a Autoridade dispense determinadas empresas dessa obrigação, por conta do
tamanho e do volume das atividades de tratamento de dados por elas realizadas.

Esse ponto interessa especialmente às PMEs, por conta do custo adicional que um DPO –
caso a empresa decida contratar alguém externo para exercer esse papel– geraria. Mas
isso é assunto para um próximo artigo.
Há muito mais a falar sobre a LGPD, e isso só o começo. Prometo voltar aqui em breve,
para conversarmos sobre outros pontos interessantes. Alguns deles: transferência
internacional de dados, como LGDP e GDPR (General Data Protection Regulation, a
regulação europeia sobre o tema) dialogam entre si e no que consiste um programa
de compliance de dados pessoais.

Até breve!