A partir de agosto de 2.020, entrará em vigor em nosso sistema jurídico a Lei Geral de Proteção de Dados – LGPD (Lei 13.709/2018) que traz normas de aplicação multisetorial sobre a proteção de dados pessoais, com grande impacto para os setores público e privado.
A LGPD estabelece novos fundamentos para o tratamento de dados pessoais, razão pela qual é preciso atenção neste momento de transição, na medida em que estamos a pouco mais de doze meses de preparação, estruturação e colocação em prática das novas regras, que deverá ser seguida por todos aqueles – inclusive as pessoas naturais – que realizar o tratamento de dados pessoais.
Dentre os diversos institutos e princípios, a LGPD traz o conceito do que vêm a ser tratamento, dados pessoais, dados sensíveis, critérios e níveis de segurança, restrições à transmissão das informações, confidencialidade e anonimização.
Todas essas regras exigem, de antemão, que saibamos se e como nos encaixamos perante o sistema nacional de proteção de dados, bem como qual nosso papel perante à LGPD e como o legislador classificou a atividade desenvolvida pelos seus destinatários.
Para tanto, a Lei trabalha com três grandes protagonistas e um importante coadjuvante: Titular, Controlador, Operador e Terceiro.
O titular é a pessoa natural (física) que possui dados relativos a si, bem como inerentes à sua personalidade, tais como as informações inatas que são aquelas que dizem respeito, por exemplo, à codificação genética, tipo sanguíneo, fator Rh, doenças congênitas e autoimunes, até informações adquiridas como dados de conta bancária, apólice de seguro, endereço, quadro societário, passaporte e outras.
De acordo com a LGPD, o titular será sempre uma pessoa natural, de modo que não há proteção – pela LGPD – no tocante a dados de pessoa jurídica, qualquer que seja seu formato (empresarial, associativo, fundacional ou cooperativo).
A seu turno, o controlador é a pessoa física ou jurídica que recebe o dado do titular e tem o controle sobre como, porque e para qual fim será aplicado, desde que seja considerada uma estrutura na qual esteja legal, contratualmente autorizada ou obrigada a compartilhar, divulgar ou torná-lo público.
Indo além, o controlador pode ser, ilustrativamente, a instituição financeira que detém os dados de movimentação bancária de um correntista e se vê obrigado por ofício judicial a responder a informações em processo de divórcio e fixação de pensão, por exemplo.
O último dos três grandes protagonistas é o operador, que consiste na pessoa física ou jurídica que realiza o tratamento dos dados pessoais, sempre em nome do controlador. Por tratamento compreende-se toda e qualquer manipulação dos dados, por meio de comunicação, publicização, divulgação, fornecimento, coleta, enfim, toda ação ou omissão que corresponda à saída de um dado de uma pessoa a outra.
Desse modo, fica da seguinte maneira, por ordem do controlador, o operador recebe o dado pessoal para cumprir alguma tarefa, como uma obrigação contratual, legal ou imposta pela administração pública, durante prazo estipulado entre as partes envolvidas. Findo o prazo, o operador deve eliminar as informações do banco de dados, ressalvadas as exceções também previstas na lei.
Por fim, mas não menos importante, é a figura do terceiro. Dentro da linguagem jurídica, a definição de terceiro provem de um conceito por exclusão. Diz-se que é terceiro aquele que não é parte. Logo, terceiro na lei de proteção de dados é aquela pessoa física que não seja o titular, ou pessoa física ou jurídica que não detém o controle ou opera os dados pessoais.
A lei excepciona o tratamento de dados pessoais e pessoais sensíveis quando diga respeito à proteção da vida e da incolumidade do titular ou de terceiro.
Exemplificando, a operadora do plano de saúde controla os dados do titular. A rede de atendimento credenciado pode operar esses dados. Contudo, em caso de acidente que o titular seja atendido por profissional ou hospital não credenciado este deverá ter acesso ao banco de dados de informações do titular, para salvar sua vida em exercício de legítimo interesse.
É preciso estar atento neste período de vacatio legis, de forma que seus destinatários compreendam o objetivo da LGPD e, compreendendo em que figura se enquadra, promovam a adequação das suas regras e evitem transtornos de última hora.
Cristiano Quinaia
cristianoquinaia@mandaliti.com.br
Thiago Campos