Buscar
  • MM Assessoria Jurídica

Será que estou sujeito à LGPD?

Atualizado: 2 de Dez de 2020

A Lei Geral de Proteção de Dados Pessoais - LGPD marcou presença em diversos debates em 2020, principalmente em razão da confusão legislativa sobre quando efetivamente entraria em vigor.


O final dessa história já é conhecido: as disposições da Lei n. 13.709/2018, com exceção das sanções administrativas, passaram a valer no dia 18/09/2020.


Dado o contexto, e levando em consideração, ainda, que a Autoridade Nacional de Proteção de Dados (ANPD), responsável pela regulação da lei, foi constituída muito recentemente, é natural que diversas dúvidas permaneçam em aberto.


Nesse sentido, parece lógico deduzir que a questão inicial a ser levantada por aquele que ouve falar de proteção de dados seja a seguinte: será que o meu negócio precisa se adequar à LGPD?


Para responder à pergunta, é necessário analisar a lei, mais especificamente o artigo 3º. De início, já é possível afirmar que tanto a pessoa física quanto a pessoa jurídica de direito público ou privado que realizam o tratamento de dados pessoais devem observar e se adequar à LGPD.


Antes de mais nada, registra-se que, perante a lei, é considerado "tratamentotoda operação realizada com dados pessoais¹ que se refere à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.


Então toda e qualquer atividade que envolva dados pessoais praticada por uma pessoa, pela Administração Pública ou por uma empresa estará sujeita à lei?


A resposta é “não”!


Isso porque, a partir da leitura dos incisos do artigo 3º, verifica-se que existem três hipóteses, as quais podem ser resumidas da seguinte forma:


  1. se os dados foram coletados no Brasil², independentemente do lugar em que é realizado o seu tratamento, aplica-se a LGPD;

  2. da mesma forma, ainda que os dados pessoais tenham sido coletados fora do país, ocorrendo o seu tratamento no território nacional, há incidência da norma;

  3. ainda que os dados nem mesmo “passem” pelo país, se a atividade tem por finalidade a oferta ou o fornecimento de bens ou serviços ou mesmo o tratamento de dados das pessoas localizadas no Brasil, será igualmente abarcada pela LGPD.


É importante observar que as hipóteses descritas são alternativas, ou seja, basta que a atividade analisada se enquadre em uma delas para atrair a aplicação da lei, mesmo que a pessoa jurídica possua sede em outro país ou sua base de dados esteja localizada fora do Brasil.


Todavia, existem algumas situações que constituem exceções à incidência da norma.


A LGPD não se aplica ao tratamento de dados pessoais quando: (1) realizado por pessoa natural para fins exclusivamente particulares e não econômicos; ou (2) realizado para fins exclusivamente (3) jornalísticos; (4) artísticos; (5) acadêmicos; (6) de segurança pública; (7) de defesa nacional e segurança do Estado e (8) de atividades de investigação e repressão de infrações penais.


De igual modo, não estão sujeitas à LGPD as situações de tratamento de dados pessoais oriundos de outro país, desde que os dados não sejam objeto de comunicação, de uso compartilhado com agentes de tratamento brasileiros ou de transferência internacional com outros países, para além do próprio país originário.


Vale a ressalva: nesse caso, é necessário que o país de proveniência dos dados pessoais proporcione grau de proteção de dados pessoais adequado e compatível com a LGPD.


Diante de todas essas informações, é natural questionar: afinal, o que tudo isso significa?


Significa que desde o grande empresário que recebe currículos de candidatos a uma vaga até o gestor público que administra folhas de pagamento, incluindo a pequena farmácia do bairro que solicita o CPF do cliente para cadastro e, ainda, profissionais autônomos, como médicos, dentistas e advogados, que coletam e armazenam dados quase que diariamente, deverão se atentar ao que está previsto na Lei Geral de Proteção de Dados.


A partir dessa resposta, surgem as outras dezenas de questões que ainda permanecem sem uma conclusão definitiva, como, por exemplo, a exigência do Encarregado ou Data Protection Officer (DPO) para os pequenos negócios e autônomos.


Isso porque, embora o artigo 41 da LGPD disponha sobre este dever, o seu parágrafo terceiro abre margem para exceções com base na “natureza e o porte da entidade ou o volume de operações de tratamento de dados”, a serem definidas pela ANPD.


Apesar de todas as dúvidas que envolvem o tema, é nítido que uma mudança de paradigma em relação ao direito à privacidade de dados pessoais já se instalou no Brasil.


Justamente por isso é tão importante que os sujeitos se sensibilizem quanto à importância de se adequarem à lei, não somente por conta de uma possível imposição de sanções e/ou multas, mas, principalmente, perante essa mudança de entendimento que respeita e protege os titulares de dados pessoais.


Por Marina Ferraz de Miranda e Tayná Tomaz de Souza.



Notas:

¹ Art. 5º Para os fins desta Lei, considera-se: I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável; II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

² Segundo a LGPD, “Consideram-se coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta” (§1º do art. 3º).


Também publicado em:




8 visualizações0 comentário