Mas, afinal, quais atividades estão sujeitas a Lei Geral de Proteção de Dados?

Após aproximadamente 4 anos do advento da lei 13.709/18 (“LGPD”), ainda pairam muitas dúvidas entre os empresários sobre a obrigatoriedade ou não da sua empresa estar adequada as rigorosas diretrizes trazidas pela lei. 

Na maioria das vezes as dúvidas surgem em razão do porte da empresa, ou do seu ramo de atividade, que, a prima facie, parece não haver incidência da LGPD. Isso porque, o senso comum nos leva a pensar que a LGPD veio regulamentar as grandes corporações detentoras de big data (conjunto de informações presentes nos bancos de dados de servidores e empresas). 

Outro equívoco é imaginar que a LGPD veio proteger os dados pessoais apenas no ambiente virtual ou digital, nos levando a crer que sua incidência se limitaria as atividades relacionadas ao e-commerce, marketing digital ou outras quais dependem exclusivamente da rede mundial de computadores e/ou da tecnologia para sua existência. 

Objetivando retirar esse estigma, analisemos o texto legal para entendermos quando realmente se aplicará as disposições contidas na LGPD às atividades desenvolvidas por determinada pessoa. 

O que diz a Lei Geral de Proteção de Dados

Logo no art. 1º da LGPD o legislador já trouxe diretrizes sobre a sua aplicação, ao dispor que “Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado”

Perceba-se, pois, que a aplicação da lei não se limita aos dados pessoais tratados nos “meios digitais”, mas em todos os ambientes, o que também incluiu o ambiente digital. Igualmente, não só as pessoas jurídicas que estão submissas à lei, mas também a pessoa natural que trata dados pessoais. 

Nesse passo, a lei se aplicará as todas as pessoas, sejam naturais ou jurídicas, sejam de direito público ou privado, que tratarem dados pessoais. A questão fulcral, então, para identificarmos a incidência da LGPD reside no fato de constatarmos se há “tratamento de dados pessoais” na atividade desenvolvida pela pessoa.   

Mas o que seria efetivamente “tratamento de dados pessoais”?

A LGPD também não se furtou de especificar quando ocorre o “tratamento de dados pessoais”, o que fez trazendo a definição e conceito das terminologias “tratamento” e “dados pessoais” para fins da lei.  

Segundo o artigo 5º, inciso X, considera-se tratamento “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.

Observe-se que as operações descritas no dispositivo não são exaustivas, na medida que o texto preceitua que tratamento é “toda operação realizada com dados pessoais” e, complementa, “como as que se referem”, descrevendo ao todo vinte operações relacionadas a dados pessoais. 

Isso significa, que qualquer ligação da pessoa com dados pessoais será considerada tratamento para fins da LGPD, ainda que a operação não esteja prevista expressamente no rol do inciso X, do artigo 5º da lei. É o que se denomina no direito como rol meramente exemplificativo, pois as hipóteses nele previstas não se esgotam a sua aplicação. 

Perceba-se, ademais, que o simples “acesso” a qualquer dado pessoal já é considerado tratamento nos termos da lei. Em outras palavras, basta que a pessoa tenha um login e senha – e isso é o “acesso” – de um banco de dados pessoais, por exemplo, para caracterizar o tratamento, ainda não venha a efetivamente acessar os referidos. 

Pois bem, já é possível entender que qualquer operação realizada com dados pessoais é considerada uma forma de tratamento e, portanto, esta atividade da pessoa está submissa à LGPD. Entretanto, é necessário também que o tratamento seja realizado com dados pessoais.  

Mas o que é efetivamente considerado “dado pessoal”? 

Assim como fez com a terminologia “tratamento”, a LGPD também veio trazer o conceito de dado pessoal, rezando em seu artigo art. 5º, inciso I, que dado pessoal é “informação relacionada a pessoa natural identificada ou identificável”. 

Antes de mais nada, oportuno observar que somente é considerado dado pessoal informação relacionada à “pessoa natural”, o que por óbvio conclui-se que qualquer informação referente a pessoa jurídica não caracteriza como dado pessoal para fins da LGPD. 

Portanto, tratamento de informações relativo a CNPJ, Nome Empresarial e Marca, por exemplo, não estão protegidas e regidas pela LGPD, mesmo porque cuidam-se de informações públicas com consultas liberadas pelos competentes órgãos governamentais. Isso não significa, no entanto, que não estão desprotegidas, mas sim que a regulamentação decorre de legislações específicas, tais como a LPI, por exemplo.  

Considerando que as informações quais estão protegidas pela LGPD, porquanto são consideradas dados pessoais, são aquelas relacionadas a pessoa natural “identificada ou identificável”, não só as informações relacionadas diretamente a pessoa (identificada) são consideradas dados pessoais, mas também aquelas tais quais possa-se identificar a quem se refiram (identificável). 

A título de exemplo, a localização via GPS, endereço de IP (Protocolo da Internet), cookies retrato em fotografia, histórico de pagamentos, hábitos de consumo, preferências de lazer, entre outras que, são considerados informações relacionadas a pessoa natural inidentificável é em razão da sua peculiaridade, saibamos a quem se refira.  

Desta feita, ante ao conceito de “tratamento de dados pessoais” trazidos pela LGPD, forçoso concluir que a maioria das atividades realizadas com informações pessoais estão submissas aos rigorosos ditames previstos na lei, ainda que a atividade seja realiza por pessoal natural.

Mas uma ressalva deve ser feita. Nos termos art. 4º, inciso I, da LGPD, a lei “não se aplica ao tratamento de dados pessoais realizado por pessoa natural para fins exclusivamente particulares e não econômicos”, a exemplo de dois particulares coletando reciprocamente dados para a compra e venda de um veículo.

A contrário sensu, pela leitura do aludido dispositivo, qualquer pessoa jurídica que realizar tratamento de dados pessoais está submissa a LGPD e estar adequada às suas diretrizes, sob pena de sofrer as severas sanções trazidas.