Opinião

Será que estou sujeito à LGPD?

Autores

  • Marina Ferraz de Miranda

    é advogada administradora de empresas mestre em Finanças e Desenvolvimento Econômico pela Universidade Federal de Santa Catarina (CPGA/UFSC) especialista em Compliance e Gestão de Riscos pela Faculdade Pólis Civitas Profissional de Compliance Público CPC-c pelo Centro de Estudos em Direito e Negócios (Cedin) auditora líder em Sistemas de Gestão Antissuborno (ABNT NBR ISO 37001:2017) presidente da Comissão de Conformidade e Compliance da OAB-SC e membro do Comitê de Segurança da Informação e Proteção de Dados do Tribunal de Contas do Estado de Santa Catarina e da Comissão de Integridade do Tribunal de Contas do Estado de Santa Catarina.

  • Tayná Tomaz de Souza

    é advogada pós-graduanda em Direito Digital e Proteção de Dados pela Escola Brasileira de Direito (Ebradi) certificada pela Exin em "Privacy and Data Protection Foundation (PDPF)" e "Information Security Foundation based on ISO/IEC 27001 (ISFS)" secretária adjunta da Comissão de Privacidade e Proteção de Dados da OAB/SC e membra consultiva da Comissão de Direito Digital da OAB-SC.

24 de novembro de 2020, 12h08

A Lei Geral de Proteção de Dados Pessoais (LGPD) marcou presença em diversos debates em 2020, principalmente em razão da confusão legislativa sobre quando efetivamente entraria em vigor.

O final dessa história já é conhecido: as disposições da Lei nº 13.709/2018, com exceção das sanções administrativas, passaram a valer no dia 18 de setembro.

Dado o contexto, e levando em consideração ainda que a Autoridade Nacional de Proteção de Dados (ANPD), responsável pela regulação da lei, foi constituída muito recentemente, é natural que diversas dúvidas permaneçam em aberto.

Nesse sentido, parece lógico deduzir que a questão inicial a ser levantada por aquele que ouve falar de proteção de dados seja a seguinte: será que o meu negócio precisa se adequar à LGPD?

Para responder à pergunta, é necessário analisar a lei, mais especificamente o artigo 3º. De início, já é possível afirmar que tanto a pessoa física quanto a pessoa jurídica de Direito público ou privado que realizam o tratamento de dados pessoais devem observar e se adequar à LGPD.

Antes de mais nada, registre-se que, perante a lei, é considerada "tratamento" toda operação realizada com dados pessoais [1] que se refere a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Então toda e qualquer atividade que envolva dados pessoais praticada por uma pessoa, pela Administração Pública ou por uma empresa estará sujeita à lei?

A resposta é não!
Isso porque, a partir da leitura dos incisos do artigo 3º, verifica-se que existem três hipóteses, as quais podem ser resumidas da seguinte forma:

1) Se os dados foram coletados no Brasil [2], independentemente do lugar em que é realizado o seu tratamento, aplica-se a LGPD;

2) Da mesma forma, ainda que os dados pessoais tenham sido coletados fora do país, ocorrendo o seu tratamento no território nacional, há incidência da norma;

3) Ainda que os dados nem mesmo "passem" pelo país, se a atividade tem por finalidade a oferta ou o fornecimento de bens ou serviços ou mesmo o tratamento de dados das pessoas localizadas no Brasil, será igualmente abarcada pela LGPD.

É importante observar que as hipóteses descritas são alternativas, ou seja, basta que a atividade analisada se enquadre em uma delas para atrair a aplicação da lei, mesmo que a pessoa jurídica possua sede em outro país ou sua base de dados esteja localizada fora do Brasil.

Todavia, existem algumas situações que constituem exceções à incidência da norma.

A LGPD não se aplica ao tratamento de dados pessoais quando realizado por pessoa natural para fins exclusivamente: 1) particulares e não econômicos; 2) jornalísticos; 3) artísticos; 4) acadêmicos; 5) de segurança pública; 6) de defesa nacional e segurança do Estado; e 7) de atividades de investigação e repressão de infrações penais.

De igual modo, não estão sujeitas à LGPD as situações de tratamento de dados pessoais oriundos de outro país, desde que os dados não sejam objeto de comunicação, de uso compartilhado com agentes de tratamento brasileiros ou de transferência internacional com outros países, para além do próprio país originário.

Vale a ressalva: nesse caso, é necessário que o país de proveniência dos dados pessoais proporcione grau de proteção de dados pessoais adequado e compatível com a LGPD.

Diante de todas essas informações, é natural questionar: afinal, o que tudo isso significa?

Significa que desde o grande empresário que recebe currículos de candidatos a uma vaga até o gestor público que administra folhas de pagamento, incluindo a pequena farmácia do bairro que solicita o CPF do cliente para cadastro e, ainda, profissionais autônomos, como médicos, dentistas e advogados, que coletam e armazenam dados quase que diariamente, todos deverão se atentar ao que está previsto na Lei Geral de Proteção de Dados.

A partir dessa resposta, surgem as outras dezenas de questões que ainda permanecem sem uma conclusão definitiva, como, por exemplo, a exigência do encarregado ou data protection officer (DPO) para os pequenos negócios e autônomos.

Isso porque, embora o artigo 41 da LGPD disponha sobre esse dever, o seu parágrafo 3º abre margem para exceções com base na "natureza e o porte da entidade ou o volume de operações de tratamento de dados", a serem definidas pela ANPD.

Apesar de todas as dúvidas que envolvem o tema, é nítido que uma mudança de paradigma em relação ao direito à privacidade de dados pessoais já se instalou no Brasil.

Justamente por isso é tão importante que os sujeitos se sensibilizem quanto à importância de se adequarem à lei, não somente por conta de uma possível imposição de sanções e/ou multas, mas, principalmente, perante essa mudança de entendimento que respeita e protege os titulares de dados pessoais.

 


[1] "Artigo 5º — Para os fins desta lei, considera-se:
I. dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
II. dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural".

[2] Segundo a LGPD, "consideram-se coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta" (§1º do artigo 3º).

Autores

  • Brave

    é advogada do escritório Marina Miranda Assessoria e Consultoria Jurídica, administradora de empresas pela Udesc, mestre em Finanças e Desenvolvimento Econômico pela UFSC, especialista em Processo Civil (com ênfase no Novo CPC) pelo Cesusc e pós-graduanda em Compliance e Gestão de Riscos: Ênfase em Governança e Inovação pela Faculdade Polis Civitas.

  • Brave

    é graduanda em Direito pela Universidade Federal de Santa Catarina (UFSC) e assistente do escritório Marina Miranda Assessoria e Consultoria Jurídica.

Tags:

Encontrou um erro? Avise nossa equipe!