A Lei Geral de Proteção de Dados Pessoais (LGPD - Lei nº 13.709/2018) foi editada no Brasil para proteger os direitos dos titulares de dados pessoais, nos meios físico e digital (art. 1º).
Assim, entre as hipóteses de incidência da LGPD estão a coleta e outras atividades de tratamento de dados pessoais dos usuários da internet, o que é feito a todo momento pelos provedores de aplicação, o que exige a aplicação conjunta da LGPD, do Marco Civil da Internet e (possivelmente, de acordo com a relação jurídica) do Código de Defesa do Consumidor.
A LGPD afeta todas as empresas que coletam e tratam dados pessoais de usuários de forma on-line, especialmente aquelas atuantes no comércio eletrônico e nas redes sociais, entre outros provedores de aplicação da internet.
As implicações da LGPD para as empresas que coletam dados de usuários no meio on-line incluem:
1) Indicação da base legal (arts. 7º e 11): A LGPD exige que o tratamento seja iniciado com fundamento em um dos requisitos de tratamento (denominados pela doutrina como bases legais) de dados pessoais e de dados pessoais sensíveis, o que pode exigir a obtenção do consentimento dos usuários ou da especificação de outra hipótese. Ainda, as empresas devem ser transparentes sobre como os dados serão coletados, armazenados e ser objeto de outras operações de tratamento;
2) Proteção de dados pessoais: A LGPD exige que as empresas implementem medidas preventivas de segurança para proteger os dados pessoais dos usuários contra acessos não autorizados, perda, alteração e destruição, entre outras hipóteses de incidentes;
3) Direitos dos usuários: A LGPD garante aos usuários o direito de acessar, corrigir e excluir seus dados pessoais, entre outros. As empresas devem permitir que os usuários exerçam esses direitos de forma fácil, acessível e gratuita;
4) Responsabilidade civil: A LGPD torna as empresas responsáveis pelos danos causados aos titulares em virtude de incidentes com os dados pessoais, o que pode levar não apenas a sanções, administrativas e judiciais, mas também a abalos na reputação e à perda de confiança dos consumidores.
Para garantir a conformidade com a LGPD, as empresas que coletam dados de usuários on-line devem considerar as seguintes práticas (entre outras adequadas):
- Nomear um encarregado pela proteção de dados: As empresas devem nomear um encarregado pela proteção de dados para garantir que estejam em conformidade com a LGPD e supervisionar a proteção de dados pessoais dos usuários (exceto se forem enquadradas como agentes de tratamento de pequeno porte pela ANPD);
- Obter o consentimento dos usuários ou indicar outra base legal válida: As empresas devem obter o consentimento dos usuários ou ter uma base legal válida e documentada antes de coletar seus dados pessoais;
- Proteger os dados pessoais: As empresas devem implementar medidas de segurança para proteger os dados pessoais dos usuários contra incidentes;
- Respeitar os direitos dos usuários: As empresas devem permitir que os usuários exerçam os seus direitos de forma gratuita e facilitada;
- Monitorar a conformidade: As empresas devem monitorar regularmente sua conformidade com a LGPD e elaborar o relatório de impacto de proteção de dados pessoais, para avaliar e mitigar riscos de privacidade.
Em resumo, a LGPD afeta todas as empresas que coletam dados de usuários on-line. Para garantir a conformidade com a LGPD, esses agentes de tratamento devem implementar medidas de segurança para proteger os dados pessoais dos usuários, obter o consentimento dos usuários ou indicar outra base legal válida antes da coleta de dados, respeitar os direitos dos usuários e monitorar regularmente a conformidade com a LGPD.
