Consultor Jurídico

Opinião

Será que estou sujeito à LGPD?

Por  e 

A Lei Geral de Proteção de Dados Pessoais (LGPD) marcou presença em diversos debates em 2020, principalmente em razão da confusão legislativa sobre quando efetivamente entraria em vigor.

O final dessa história já é conhecido: as disposições da Lei nº 13.709/2018, com exceção das sanções administrativas, passaram a valer no dia 18 de setembro.

Dado o contexto, e levando em consideração ainda que a Autoridade Nacional de Proteção de Dados (ANPD), responsável pela regulação da lei, foi constituída muito recentemente, é natural que diversas dúvidas permaneçam em aberto.

Nesse sentido, parece lógico deduzir que a questão inicial a ser levantada por aquele que ouve falar de proteção de dados seja a seguinte: será que o meu negócio precisa se adequar à LGPD?

Para responder à pergunta, é necessário analisar a lei, mais especificamente o artigo 3º. De início, já é possível afirmar que tanto a pessoa física quanto a pessoa jurídica de Direito público ou privado que realizam o tratamento de dados pessoais devem observar e se adequar à LGPD.

Antes de mais nada, registre-se que, perante a lei, é considerada "tratamento" toda operação realizada com dados pessoais [1] que se refere a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Então toda e qualquer atividade que envolva dados pessoais praticada por uma pessoa, pela Administração Pública ou por uma empresa estará sujeita à lei?

A resposta é não!
Isso porque, a partir da leitura dos incisos do artigo 3º, verifica-se que existem três hipóteses, as quais podem ser resumidas da seguinte forma:

1) Se os dados foram coletados no Brasil [2], independentemente do lugar em que é realizado o seu tratamento, aplica-se a LGPD;

2) Da mesma forma, ainda que os dados pessoais tenham sido coletados fora do país, ocorrendo o seu tratamento no território nacional, há incidência da norma;

3) Ainda que os dados nem mesmo "passem" pelo país, se a atividade tem por finalidade a oferta ou o fornecimento de bens ou serviços ou mesmo o tratamento de dados das pessoas localizadas no Brasil, será igualmente abarcada pela LGPD.

É importante observar que as hipóteses descritas são alternativas, ou seja, basta que a atividade analisada se enquadre em uma delas para atrair a aplicação da lei, mesmo que a pessoa jurídica possua sede em outro país ou sua base de dados esteja localizada fora do Brasil.

Todavia, existem algumas situações que constituem exceções à incidência da norma.

A LGPD não se aplica ao tratamento de dados pessoais quando realizado por pessoa natural para fins exclusivamente: 1) particulares e não econômicos; 2) jornalísticos; 3) artísticos; 4) acadêmicos; 5) de segurança pública; 6) de defesa nacional e segurança do Estado; e 7) de atividades de investigação e repressão de infrações penais.

De igual modo, não estão sujeitas à LGPD as situações de tratamento de dados pessoais oriundos de outro país, desde que os dados não sejam objeto de comunicação, de uso compartilhado com agentes de tratamento brasileiros ou de transferência internacional com outros países, para além do próprio país originário.

Vale a ressalva: nesse caso, é necessário que o país de proveniência dos dados pessoais proporcione grau de proteção de dados pessoais adequado e compatível com a LGPD.

Diante de todas essas informações, é natural questionar: afinal, o que tudo isso significa?

Significa que desde o grande empresário que recebe currículos de candidatos a uma vaga até o gestor público que administra folhas de pagamento, incluindo a pequena farmácia do bairro que solicita o CPF do cliente para cadastro e, ainda, profissionais autônomos, como médicos, dentistas e advogados, que coletam e armazenam dados quase que diariamente, todos deverão se atentar ao que está previsto na Lei Geral de Proteção de Dados.

A partir dessa resposta, surgem as outras dezenas de questões que ainda permanecem sem uma conclusão definitiva, como, por exemplo, a exigência do encarregado ou data protection officer (DPO) para os pequenos negócios e autônomos.

Isso porque, embora o artigo 41 da LGPD disponha sobre esse dever, o seu parágrafo 3º abre margem para exceções com base na "natureza e o porte da entidade ou o volume de operações de tratamento de dados", a serem definidas pela ANPD.

Apesar de todas as dúvidas que envolvem o tema, é nítido que uma mudança de paradigma em relação ao direito à privacidade de dados pessoais já se instalou no Brasil.

Justamente por isso é tão importante que os sujeitos se sensibilizem quanto à importância de se adequarem à lei, não somente por conta de uma possível imposição de sanções e/ou multas, mas, principalmente, perante essa mudança de entendimento que respeita e protege os titulares de dados pessoais.

 


[1] "Artigo 5º — Para os fins desta lei, considera-se:
I. dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
II. dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural".

[2] Segundo a LGPD, "consideram-se coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta" (§1º do artigo 3º).




Topo da página

 é advogada do escritório Marina Miranda Assessoria e Consultoria Jurídica, administradora de empresas pela Udesc, mestre em Finanças e Desenvolvimento Econômico pela UFSC, especialista em Processo Civil (com ênfase no Novo CPC) pelo Cesusc e pós-graduanda em Compliance e Gestão de Riscos: Ênfase em Governança e Inovação pela Faculdade Polis Civitas.

 é graduanda em Direito pela Universidade Federal de Santa Catarina (UFSC) e assistente do escritório Marina Miranda Assessoria e Consultoria Jurídica.

Revista Consultor Jurídico, 24 de novembro de 2020, 12h08

Comentários de leitores

0 comentários

Comentários encerrados em 02/12/2020.
A seção de comentários de cada texto é encerrada 7 dias após a data da sua publicação.