Agora que você já sabe o que são dados pessoais e dados pessoais sensíveis (se não viu, veja os posts anteriores em https://www.annamedeiros.com.br/blog), vamos falar sobre a aplicação da LGPD.
Então, no artigo de hoje, vamos entender, de fato, quem deve obedecer a LGPD e quem não precisa se adequar.
Vamos lá?
A QUEM SE APLICA A LGPD?
De acordo com o art. 3º, a LGPD se aplica a qualquer operação de tratamento de dados realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que esse tratamento seja:
a) realizado em território nacional;
b) a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional, ou;
c) os dados pessoais que são objeto do tratamento tenham sido coletados no território nacional.
Mas, o que isso quer dizer, Anna?
Quer dizer que:
· Se você é um profissional autônomo, que possui dados pessoais no seu negócio, e, de alguma forma, esses dados te gerem algum tipo de renda, como por exemplo: coleta de dados para cadastro dos clientes, contrato de prestação de serviços, recibos de pagamento, agenda de consultas, ficha de consulta (anamnese), lista de contatos no WhatsApp ou e-mail que você manda ofertas ou mantém contato para agendar consulta, encaminha dados para IR, etc, seja através do computador ou de arquivos em folha de papel, você é obrigado a se adequar à LGPD; ou,
· Se você tem uma empresa, independentemente do tamanho, que possui dados pessoais que também te geram renda de alguma forma, seja em razão de você ter colaboradores internos ou externos, que sua empresa gere folha de pagamento, ou cadastro no E-social, ou compartilhamento com a Receita Federal, ou cadastro de clientes, listas de contato, etc, em folha de papel ou de forma digital, sua empresa é obrigada a se adequar à LGPD; ou ainda,
· Se você é uma prefeitura, que possui o cadastro de todos os munícipes, onde gera boletos para pagamento de impostos, emite folha de pagamento, contrata prestadores de serviços, entre outras atividades, você também é obrigado a se adequar a LGPD.
Ah Anna, mas eu sou um condomínio, sou síndico do meu prédio, também tenho que me adequar?
Tem sim! Mesmo o condomínio sendo um ente despersonalizado, precisa ter cuidado com todos os dados pessoais que transitam por ali, como por exemplo, as imagens de visitantes, os prestadores de serviços que contrata, os dados dos próprios condôminos, entre outros.
Ah, mas eu sou uma organização religiosa sem fins lucrativos, também tenho que me adequar?
Também tem! As organizações religiosas, coletam e armazenam dados pessoais dos membros em seus registros de cultos, consultas de aconselhamento, dados financeiros, e até filmagens e fotos. Dessa forma, possuem dados pessoais e dados pessoais sensíveis, uma vez que a LGPD caracteriza em seu art. 5º, inciso II, que a convicção religiosa é um dado sensível, então, a pessoa, estando ali, e a instituição tirando fotos ou filmagens para divulgar em suas redes sociais ou televisão, demonstram qual a convicção religiosa do participante, expondo um dado sensível.
Ficou claro? Se não ficou, pode me mandar mensagem que conversamos e te esclareço sobre a sua obrigatoriedade em se adequar.
Agora vamos lá, quem NÃO precisa se adequar.
De acordo com o art. 4º da lei, não precisam se adequar:
· Pessoas físicas que utilizam os dados pessoais para fins exclusivamente particulares e não econômicos, ou seja, uma lista de convidados para um aniversário, ou, lista de participantes no amigo secreto de final de ano, entre outras coisas.
· Quando o tratamento de dados é para fins exclusivamente (i) jornalístico, (ii) artístico, (iii) acadêmico, desde que obedeçam às regras de anonimização apontadas nos arts. 7º e 11,
· Quando o tratamento de dados é para fins exclusivos de (i) segurança pública, (ii) defesa nacional, (iii) segurança do Estado,
· Quando o tratamento de dados envolve atividades de (i) investigação e (ii) repressão de infrações penais, ou
· Quando o tratamento de dados pessoais é proveniente de fora do território nacional e não seja objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado nos moldes da LGPD.
Veja que não basta você fazer parte desses tipos de categoria, é preciso analisar como os dados serão utilizados para definir se realmente a adequação não é obrigatória, porque, todos sabe que, no mundo do direito "tudo depende!".
Então, se eu sou uma pessoa física, faço uma lista de convidados para o meu aniversário, e, no dia do meu aniversário, tiro fotos e posto nas minhas redes sociais, eu não preciso me adequar a LGPD, uma vez que esses dados pessoais e sensíveis não serão utilizados de forma econômica.
Se eu sou um jornalista, um artista ou um acadêmico, e tenho uma base de dados pessoais e vou utilizá-la apenas para métricas, para realizar meu trabalho, sem gerar qualquer vantagem financeira envolvendo esses dados, e, eles estão anonimizados ou pseudononimizados, eu não preciso me adequar à LGPD. Porém, nesse ponto, a ANPD disponibilizou um Guia Orientativo sobre esse tipo de tratamento de dados. Antes de você não seguir as regras da LGPD, é importante se atentar ao guia (mas falaremos dele no próximo artigo, para ficar mais claro o entendimento).
Se eu tenho um banco de dados e esse banco me auxilia, única e exclusivamente, na defesa nacional ou de Estado, ou, na segurança pública, eu não preciso me adequar à LGPD.
Se eu sou um órgão que faz investigações, possuo um banco de dados que me auxilia nessas investigações, e o utilizo, única e exclusivamente para investigar e reprimir infrações penais, também não preciso me adequar à LGPD.
E, se os dados pessoais não são de brasileiros ou não foram coletados no Brasil, ou ainda, não são objeto de compartilhamento com entes brasileiros, e, o tratamento de dados possui algum tipo de proteção, também não preciso me adequar à LGPD.
Lembrando de novo que, antes de entender que a LGPD não é para você, é necessário uma análise completa e profunda de todos os dados pessoais e sensíveis utilizados, e que, quando se trata de dados, temos que ter o maior cuidado possível e esperado para não causar dano a nenhum titular de dados.
Ficou claro?
Tenha sempre em mente, que a LGPD não veio para “empatar” o seu negócio, nem veio para dar dor de cabeça a ninguém, mas sim, para respeitarmos e darmos transparência de como os dados pessoais coletados serão utilizados.
Sempre digo que “o combinado não sai caro”, então, se você deixar tudo transparente às pessoas físicas que você se relaciona, não terá problemas. E quando digo transparente, é transparente mesmo, bem claro, explicando todas as dúvidas, e não aquele transparente que te convém, não o transparente para "inglês ver".
Estamos entendidos?
Espero que esse artigo tenha ajudado! Se ainda não me segue nas minhas redes sociais, vai lá, me curte e fique por dentro do que é a LGPD!
Anna Carolina de Medeiros Silva
Advogada e Consultora em Privacidade e Proteção de Dados Pessoais
e-mail: anna@annamedeiros.com.br
Comments