Início » LGPD nos aplicativos de transporte

LGPD nos aplicativos de transporte

Ilustração de uma cadeado, ao lado está escrito LGPD para aplicativos de transporte

Em agosto de 2018, o Congresso Nacional aprovou a Lei Geral de Proteção de Dados (LGPD). Saiba tudo sobre os impactos nos aplicativos de transporte.

Há algum tempo, o debate sobre a proteção de dados pessoais ganhou força no Brasil e no mundo.

Aqui, com a aprovação da Lei Geral de Proteção de Dados (LGPD), as empresas de tecnologia passaram a se mover para adequar seus negócios às novas regras vigentes.

Hoje, falaremos sobre as mudanças provocadas pela lei, com ênfase nas alterações que ela causa no mercado dos aplicativos de transporte.

O que é a Lei Geral de Proteção de Dados (LGPD)?

A Lei Geral de Proteção de Dados (LGPD) diz respeito à segurança do processamento de dados pessoais de brasileiros ou de estrangeiros que estejam no território nacional. 

Sancionada em agosto de 2018 pelo então presidente Michel Temer, a lei Nº 13.709 foi fruto de um intenso debate entre especialistas, políticos e sociedade civil organizada.

Em resumo, ela não só cria parâmetros do que são dados pessoais, como estabelece segurança jurídica para empresas e cidadãos, ecoando o compromisso de colocar pessoas no coração do ambiente virtual, dando ao usuário mais controle sobre seus dados através do conhecimento acerca dos dados que estão sendo armazenados, bem como permitindo com que o usuário tenha acesso a forma como é realizado o tratamento de seus dados pessoais.

O principal objetivo da LGPD é estabelecer as regras de tratamento de dados pessoais, ou seja, toda operação como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Um dos grandes avanços da lei, também, é definir quais são os significados de alguns elementos e personagens desse mundo dos dados.

Principais definições

Entre essas definições, podemos destacar:

  • Dado pessoal: informação relacionada à pessoa natural identificada ou identificável;
  • Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
  • Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
  • Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

E, ainda, a criação das figuras dos agentes:

  • Titular: pessoa natural sobre quem se referem os dados pessoais que são objeto de tratamento;
  • Controlador: Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
  • Operador: Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
  • Encarregado: Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
  • ANPD: O órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.

Para conferir cada elemento definido pela lei, confira o artigo 5° da LGPD.

Veja abaixo, o infográfico produzido pelo Serviço Federal de Processamento de Dados (Serpro).

Lei Geral de Proteção de Dados

Segundo o Serpro, os principais pontos que a nova lei garante são:

Abrangência

Segundo o artigo 3° da LGPD, a lei deve ser respeitada não apenas por empresas que atuem ou tenham o banco de dados dentro do nosso território, mas também por todas pessoas (naturais ou jurídicas) de direito público ou privado que:

  • Tratem os dados dentro do Brasil;
  • Tenham como objetivo ofertar ou fornecer bens, serviços ou o próprio tratamento de dados de indivíduos localizados no território nacional;
  • Coletem os dados dentro do Brasil, ou seja, quando os donos dos dados estejam dentro do território nacional no momento da coleta.

Se por um lado a lei descreve a sua abrangência, por outro, ela também deixa claro para quem e quais fins ela não se aplica, que são:

  • Para uso exclusivamente pessoal e não econômico;
  • Jornalístico e artístico;
  • Acadêmico;
  • Segurança pública;
  • Defesa Nacional;
  • Segurança do Estado;
  • Atividades de investigação e repressão de infrações penais;
  • Provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que este proporcione grau de proteção de dados pessoais adequado ao previsto na LGPD.

Consentimento

Um norte da LGPD é o consentimento, ou seja, o dado pessoal só pode ser “manuseado” com o consentimento de seu proprietário.

No entanto, o artigo 7º da lei também possibilita, excepcionalmente, o uso dos dados sem o consentimento do usuário nos seguintes cenários:

  • Cumprimento de obrigação legal ou regulatório pelo controlador;
  • Execução de políticas públicas;
  • Realização de estudos via órgão de pesquisa;
  • Execução de contratos;
  • Defesa de direitos em processos;
  • Preservação da integridade física de uma pessoa;
  • Tutela de ações feitas por profissionais das áreas da saúde ou sanitária;
  • Prevenção de fraudes contra o dono dos dados;
  • Proteção ao crédito;
  • Atenção a um direito legítimo, desde que não fira os direitos fundamentais do cidadão.

Autorização e automatização

No artigo 18° da LGPD, é garantido ao cidadão o direito de revogar o seu consentimento, ou seja, mesmo após ter dado autorização para a empresa ter acesso aos seus dados, em um futuro qualquer, solicitar o cancelamento, pedindo que eles sejam excluídos.

Além disso, a empresa deve comunicar ao cidadão qualquer mudança no uso dos dados, diferente daquele previamente acordado, pedindo uma nova autorização.

Mas não é só isso. Muitas empresas, como instituições financeiras, tomam decisões baseadas no processamento automático de dados pessoais, para, por exemplo, garantir o acesso ao crédito para uma determinada pessoa.

O artigo 20° da lei garante ao cidadão a possibilidade de solicitar a revisão de decisões tomadas baseadas no processamento automático desses dados.

Autoridade Nacional de Proteção de Dados Pessoais (ANPD)

O artigo 55° da LGPD cria a Autoridade Nacional de Proteção de Dados Pessoais (ANPD), um órgão de administração pública ligado à Presidência da República, que será responsável por zelar pela proteção dos dados pessoais, elaborar as diretrizes para as políticas do setor, fiscalizar e aplicar sanções a quem desrespeite a legislação, e muito mais.

Enfim, o órgão será o “braço público” pela defesa da proteção aos dados pessoais.

Gestão dos dados

Por fim, o Serpro destaca a importância da lei para a criação de parâmetros de segurança e atitudes a serem tomadas em caso de incidentes.

O artigo 50° da LGPD garante às empresas a possibilidade de formularem regras de boas práticas e de governança que estabeleçam:

  • Condições de organização;
  • Regime de funcionamento;
  • Procedimentos, incluindo casos de reclamações e petições de titulares;
  • Normas de segurança;
  • Padrões técnicos;
  • Obrigações específicas para os diversos envolvidos no tratamento;
  • Ações educativas;
  • Mecanismos internos de supervisão e de mitigação de riscos;

Além de outros aspectos relacionados ao tratamento dos dados pessoais.

O que muda para os aplicativos de transporte?

Inevitavelmente, a LGPD atinge o mercado dos aplicativos de transporte, por ser este um serviço de tecnologia que constantemente colhe e integra dados à outras plataformas.

Segundo a Revista Época em uma matéria de novembro de 2018, a própria Uber há algum tempo busca se adequar à nova legislação.

Na época, a então diretora de privacidade para América Latina da Uber, Flavia Mitri, defendia que as empresas precisavam se dedicar ao tema o quanto antes.

Com relação à gigante multinacional, Mitri destacava que a empresa já havia tomando algumas decisões para se adequar à LGPD, das quais ela destaca:

  • Mapeamento dos dados coletados pela empresa, buscando entender finalidade, tempo e real necessidade para, se possível, descartá-los;
  • Cuidado com a transferência internacional de dados, lembrando que a LGPD só a permite se feita para países com leis de proteção semelhante;
  • Controle de acesso, restringindo e determinando quem poderá ter acesso às informações pessoais coletadas pela empresa;
  • Mudanças na política de privacidade, buscando trazer clareza aos usuários sobre os dados coletados.
  • Auditoria com fornecedores, buscando empresas que compartilham o mesmo rigor da Uber com relação à proteção de dados.

Segundo a diretora, após uma auditoria com os mais de 4,5 mil fornecedores da empresa, 700 tiveram seus contratos rescindidos por não mostrarem uma grande preocupação com o assunto.

Dessa forma, a Uber destaca a necessidade das empresas avaliarem bem seus fornecedores.

Afinal, segundo a LGPD, a responsabilidade em caso de vazamento de dados, será compartilhada entre os envolvidos, como explica a seção III da lei.

Por isso, avalie bem se seus fornecedores, principalmente os de tecnologia, já se adequaram ou se já estão se adequando às mudanças.

Quais são as punições da LGPD?

O artigo 52° da LGPD estabelece as punições, que são:

  • Advertência, com indicação de prazo para adoção de medidas corretivas;
  • Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
  • Multa diária, observado o limite total de R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
  • Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
  • Bloqueio dos dados pessoais aos quais se refere a infração, até a sua regularização;
  • Eliminação dos dados pessoais aos quais se refere a infração;
  • Suspensão parcial do funcionamento do banco de dados relacionado à infração pelo período máximo de 6 (seis) meses, prorrogável por igual período até a regularização da atividade de tratamento pelo controlador; 
  • Suspensão do exercício da atividade de tratamento dos dados pessoais relacionados à infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; 
  • Proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados.

Quando a LGPD entra em vigor?

Devido a crise provocada pela pandemia da Covid-19, a LGPD foi adiada para ser totalmente implementada a partir de 3 de maio de 2021.

No entanto, em 26 de agosto de 2020, o Senado Federal barrou o adiamento da lei. Agora, depende da sanção do presidente Jair Bolsonaro.

Vale lembrar que parte da lei já está em vigor desde 28 de dezembro de 2018, e outra, mais precisamente os artigos 52°, 53° e 54°, que falam sobre as sanções administrativas, será válida só a partir de 1º de agosto de 2021.

De toda forma, se você é um empresário do ramo do transporte por aplicativo, inicie seus movimentos, consulte seus advogados e fornecedores. E garanta que sua empresa esteja em conformidade com a LGPD.