Finalmente, após muita discussão, a Lei Geral de Proteção de Dados Pessoais entrou em vigor no Brasil no dia 18 de setembro de 2020, estando em vigência boa parte dela desde a referida data.
Referida Lei tem como objetivo proteger a privacidade, as liberdades e o livre desenvolvimento do titular de dados pessoais.
Neste contexto, ela sedimenta de vez que os dados pessoais são elementos inerentes à personalidade do indivíduo e por isso merecem ser tutelados e protegidos pelo Estado por meio de aplicação da autodeterminação informativa.
O art. 5º, inciso I, da LGPD anota que dado pessoal é toda informação relacionada a pessoa natural identificada ou identificável.
Em outras palavras, dado pessoal é uma informação que, a partir da sua leitura e interpretação, o intérprete pode relacioná-la de imediato a um indivíduo.
Ainda que a identificação desse indivíduo não ocorra de imediato, o fato de o intérprete poder futuramente identificá-lo, seja a partir das informações extraídas, a partir de outras que, combinadas, possuem potencial para identificar a pessoa, também caracteriza a informação como um dado pessoal.
A Lei ainda classifica essas informações em dois grupos: dados pessoais não sensíveis e dados pessoais sensíveis. Dados pessoais não sensíveis são justamente as informações que identificam ou tornam alguém identificável de imediato, podendo ser, por exemplo, o número do CPF, da identidade, do título de eleitor, do telefone, dentre outros documentos que, quando lidos, associam tais informações aos seus titulares.
Dados pessoais sensíveis são as informações que dizem respeito à esfera mais íntima do indivíduo, podendo ser, segundo o art. 5º, inciso II, da LGPD, informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Em outras palavras, os dados pessoais sensíveis possuem um potencial lesivo maior do que os não sensíveis caso haja um tratamento irregular de dados.
A partir dessas premissas, a Lei articula uma série de regras que visam, principalmente, impedir que os dados pessoais não sejam utilizados de maneira irregular e não autorizada.
Não obstante a exigir uma série de procedimentos, salvaguardas e mecanismos de segurança, a LGPD inova no ordenamento e exige que os agentes de tratamentos indiquem uma pessoa (natural ou jurídica) para essa pessoa atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). A essa pessoa a LGPD deu o nome de “Encarregado”.
O Encarregado não é nada mais nada menos do que a figura internacionalmente conhecida como Data Privacy Officer, isto é, o “DPO” como comumente é chamado principalmente dentro de empresas com ampla difusão de cargos e setores.
As atividades do Encarregado, segundo a lei brasileira, consistem em: (i) aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; (ii) receber comunicações da autoridade nacional e adotar providências; (iii) orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e (iv) executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Em outras palavras, o DPO – ou Encarregado como denomina a LGPD – será o responsável por fiscalizar, monitorar e auxiliar o tratamento de dados pessoais feito internamente pela empresa, devendo sempre que constatar alguma irregularidade, como um vazamento de dados por exemplo, comunicar tal fato à ANPD.
Como possui essa dupla função (atuar diretamente com os dados e se comunicar com o mercado no geral), percebe-se que o profissional – que pode ser uma pessoa natural ou uma pessoa jurídica, repita-se – deve ter amplo conhecimento de tecnologia da informação voltada para tratamento de dados e amplo conhecimento jurídico, a fim de que ele possa analisar e confrontar os tratamentos com o que exige a LGPD.
Assim, percebe-se que a inserção dessa nova figura no ordenamento criou um novo cargo que, até então, não era muito conhecido no cenário brasileiro.
Dessa forma, pode-se dizer que tanto os profissionais de tecnologia da informação quanto os profissionais do Direito possuem uma boa oportunidade para se especializar em uma área nova, sendo certo que o mercado com certeza exigirá profissionais qualificados para analisar os dados e se comunicar com os terceiros quando requisitados.