Natalia Rollemberg[*] e Carolina Garcia[**]
Advogadas associadas a Olivieri & Associados

Nos últimos dias muito se ouviu falar na Lei Geral de Proteção de Dados (Lei nº 13.709/2018) e, o que parecia um cenário distante, passou a ser uma realidade próxima. A LGPD, como é conhecida popularmente, foi aprovada no ano de 2018, mas grande parte de sua aplicação apenas teria validade a partir de 03 de maio de 2021.

Ocorre que, nas últimas semanas, a LGPD ganhou um lugar de destaque nas votações da Congresso Nacional e agora apenas aguarda pelo veto ou sanção presidencial da MP nº959/2020 para entrar em vigor imediatamente. Isso significa que o presidente terá até 17 de setembro de 2020 para analisar a Medida Provisória que trata da entrada em vigor da LGPD.

A pergunta que fica é: Você e sua empresa estão preparados para a LGPD?

Empresas grandes e multinacionais vem acompanhando o processo de aprovação da LGPD e se ajustando paulatinamente às novas regras para que tudo esteja regularizado e em conformidade com a legislação quando o dia chegar. Porém, algumas empresas, principalmente as micro e pequenas, ainda não perceberam que adaptações importantes serão necessárias também para elas.

A LGPD foi criada para proteger os dados pessoais, inclusive nos meios digitais, assegurando assim, os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Mas o que isso significa na prática? Que toda e qualquer empresa ou pessoa física (controlador), que tenha acesso à dados pessoais de terceiros (por meio físico ou digital), precisará seguir regras para garantir a segurança dessas informações.

Inicialmente, deve-se compreender que os dados pessoais são todos aqueles que identifiquem ou que possam identificar uma pessoa. Os principais exemplos são: nome, sobrenome, endereço, endereço de e-mail, número de documentos e endereço de IP.

Com isso, dentre as principais ações que precisarão ser incorporadas pelos controladores para se adequarem a LGPD, podemos destacar a necessidade do consentimento da pessoa que terá seus dados pessoais tratados[***]. Para que uma pessoa jurídica ou física controladora possa tratar dados pessoais, é necessário que o seu titular tenha conhecimento da finalidade específica do tratamento que será realizado e expressamente o autorize, cabendo, inclusive, ao controlador, o ônus da prova de que o consentimento foi devidamente obtido. Além do consentimento, outras ações e regras também precisarão ser implementadas, obrigando as empresas a ajustarem e atualizarem as suas operações.

É importante frisar que os dados pessoais sensíveis devem ser solicitados apenas se essenciais, de forma específica e destacada, e apenas poderão ser tratados sem consentimento em casos específicos determinados na LGPD. São dados sensíveis aqueles relativos à origem étnica ou racial, religião, política e saúde.

O controlador deverá, ainda, estar preparado para fornecer, sempre que solicitadas, informações claras e adequadas à respeito dos critérios e dos procedimentos utilizados para a decisão automatizada e segurança na proteção de dados, além de proceder a exclusão dos dados, mediante solicitação expressa do titular, que poderá revogar sua autorização a qualquer momento.

É fácil perceber que, em um mundo conectado, torna-se quase impossível pensar em algum segmento que esteja excluído dessa dinâmica.

Assim, tais regras também se aplicam para às instituições, empresas e profissionais da área da cultura, principalmente em virtude do atual isolamento social, quando até mesmo as empresas mais tradicionais da área têm se utilizado de meios digitais, ampliando, tratando, e até circulando, dados pessoais.

Nas atividades diárias das empresa da cadeia econômica da arte e cultura é procedimento corrente a solicitação e armazenamento de dados pessoais para envio de divulgação da programação, oferecimento de convites e ingressos, disponibilização de conteúdo, e mesmo seu tratamento para pesquisas e obtenção de dados importantes para a gestão artística e de públicos, entre outras tantas possibilidades. É premente, portanto, que sejam estabelecidas as regras, os usos, e as políticas de tratamento desses dados, e, ainda, que os titulares tenham dado (ou sejam demandados agora a fornecer) autorização para o uso e tratamento dessas informações.

A princípio, todas as empresas e instituições culturais usam dados e seu público direto ou em prospecção e, portanto, têm adequações a fazer. Por fim, é importante notar que, por menor que seja a sua empresa, se há tratamento de dados pessoais de terceiros, é necessário se ajustar às regras da LGDP.


[*] Advogada associada a Olivieri & Associados, com pós-graduação em Propriedade Intelectual pela Universidade de Lisboa, e em Fashion Law pela Faculdade Santa Marcelina.

[**] Advogada, formada em direito pela Faculdades Metropolitanas Unidas (FMU) em 2006. Atua na área de Direito do Entretenimento, Direito Autoral e na área de Leis de Incentivo a Cultura e ao Esporte.

[***]“tratamento” é o nome dado para qualquer atividade realizada com os dados pessoais, podendo ser, entre outros, a coleta, armazenamento, utilização, classificação, acesso, reprodução, avaliação.