Aplicabilidade da lei ainda gera dúvidas
A LGPD é a lei que trata da proteção de dados pessoais no Brasil. Apesar da lei ter sido publicada em 2018, ainda persistem muitas dúvidas quanto a sua aplicação. Afinal, o que são "dados pessoais"? O que é "tratamento de dados"? Qual o volume de informações pessoais necessárias para se enquadrar na LGPD? Isto se aplica a empresas de qualquer porte? Afinal, a LGPD se aplica a todas as empresas? Estas são perguntas recorrentes, então vale a pena esclarecer o assunto. Para tanto, cabe analisarmos o que consta na Lei Geral de Proteção de dados:
Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:
I - a operação de tratamento seja realizada no território nacional;
II - a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional
III - os dados pessoais objeto do tratamento tenham sido coletados no território nacional. Vemos acima que a lei abrange todas as empresas que tratem dados pessoais, mas afinal o que significa “dados pessoais” e qual o entendimento da lei quanto ao termo “tratamento de dados”? Em seu artigo 5º estas questões são respondidas:
Art. 5º Para os fins desta Lei, considera-se:
I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
Dados pessoais são definidos pela lei como toda informação que possa levar a identificação de uma pessoa natural. Isso se aplica a informações que levem a uma identificação direta ou indireta. Exemplos de dados que levam a uma identificação direta seriam: o nome, CPF e e-mail. Já no caso da identificação indireta, um exemplo seria utilizar informações sobre a formação profissional de uma pessoa: em qual escola estudou, qual faculdade e curso se formou e em que empresa trabalha. Agrupando estas informações é possível identificar a pessoa natural a quem se referem e, portanto, estes também são dados protegidos pela LGPD. Já o termo “tratamento de dados”, como vimos acima, é um termo muito abrangente. O simples ato de coletar informações é considerado tratamento de dados e o mesmo ocorre com o arquivamento e armazenamento destes. Assim, vimos que a LGPD tem um grande alcance. Mas como toda regra tem sua exceção a lei traz em seu artigo 4º os tipos de tratamento não regidos pela LGPD:
Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais:
I - realizado por pessoa natural para fins exclusivamente particulares e não econômicos;
II - realizado para fins exclusivamente:
III - realizado para fins exclusivos
IV - provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei. Neste momento surge um novo questionamento: empresas do ramo jornalístico não precisam se adaptar a LGPD? E a resposta é que sim, precisam. A lei isenta o tratamento de dados realizado para fins jornalísticos. Porém, os dados dos clientes da empresa, ou de seus funcionários, tem outra finalidade e, portanto, devem ser protegidos conforme estabelecido na Lei Geral de Proteção de Dados. Desta forma, fica claro que sim. A LGPD se aplica a todas as empresas e estas serão obrigadas a adequar seus processos para atender as suas normas. Qualquer empresa possui em seu poder dados pessoais, seja de colaboradores, fornecedores ou clientes, deve estar em conformidade. A lei não faz diferenciação entre portes de empresas ou volume de dados tratados. A DPO Expert é a melhor solução em LGPD! Solicite uma proposta! Rafael Susskind Diretor DPO Expert | DPO certificado Exin | ISFS | PDPF | PDPP | Membro da ANPPD®