LGPD: O Que e Dado Pessoal e Quais sao os Direitos do Titular
A Lei 13.709/2018 (LGPD) estrutura um sistema de proteção que parte de uma definição ampla de dado pessoal para, a partir dela, atribuir ao titular um conjunto de direitos exigíveis perante controladores e operadores. Entender o alcance desse conceito e o conteúdo desses direitos é indispensável para compreender as obrigações impostas a empresas, órgãos públicos e profissionais que lidam com informações de terceiros.
O Que a LGPD Classifica como Dado Pessoal
O artigo 5º, inciso I, da Lei 13.709/2018 define dado pessoal como “informação relacionada a pessoa natural identificada ou identificável”. A amplitude da definição é deliberada: abrange não apenas nome, CPF ou endereço residencial, mas qualquer elemento que, isolado ou combinado a outros, permita remeter a um indivíduo determinado ou determinável.
Nesse espectro, enquadram-se o endereço de IP, o número de matrícula funcional, o identificador de dispositivo móvel, a geolocalização e o histórico de navegação. O critério central não é o formato da informação, tampouco o suporte em que está registrada, seja digital ou físico, mas a sua capacidade de identificar uma pessoa.
A lei distingue, ainda, os chamados dados pessoais sensíveis, elencados no inciso II do mesmo artigo: dados de origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, saúde, vida sexual, dado genético ou biométrico. Esse grupo recebe tratamento mais restrito, exigindo bases legais específicas e, em regra, consentimento qualificado do titular.
Tratamento de Dados, Controlador e Operador
O conceito de tratamento é propositalmente extenso na LGPD. O artigo 5º, inciso X, inclui toda operação realizada com dados pessoais: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração. A amplitude do rol evidencia que quase toda interação com informações pessoais está sujeita à lei.
A legislação identifica dois agentes centrais nessa cadeia. O controlador é a pessoa natural ou jurídica que toma as decisões sobre o tratamento, definindo finalidades e meios. O operador é quem realiza o tratamento em nome do controlador, seguindo suas instruções. Ambos respondem pelo cumprimento das normas, embora em graus distintos de responsabilidade civil e administrativa.
A fiscalização cabe à Autoridade Nacional de Proteção de Dados (ANPD), órgão federal responsável por editar regulamentos, apurar infrações e aplicar sanções que variam de advertência a multa de até 2% do faturamento da pessoa jurídica no último exercício, limitada a cinquenta milhões de reais por infração, conforme o artigo 52 da lei.
O dado pessoal não pertence a quem o coleta: pertence ao titular, e a lei garante os instrumentos para que essa titularidade seja exercida de forma efetiva perante qualquer controlador.
Os Direitos do Titular e Como Exercê-los
O artigo 18 da Lei 13.709/2018 cataloga os direitos do titular de dados pessoais: confirmação da existência de tratamento; acesso aos dados; correção de dados incompletos, inexatos ou desatualizados; anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade com a lei; portabilidade a outro fornecedor; eliminação dos dados tratados com consentimento; informação sobre compartilhamentos realizados; informação sobre a possibilidade de não fornecer consentimento; e revogação do consentimento a qualquer tempo.
O exercício desses direitos pode ser feito mediante requisição direta ao controlador, que deve responder em prazo razoável e de forma gratuita. A lei veda, em regra, a cobrança pelo atendimento. Quando a solicitação for excessiva ou de má-fé, o controlador pode cobrar uma taxa, mas deve justificar a decisão.
O direito à eliminação de dados, contudo, não é absoluto. Quando o tratamento se funda em base legal diversa do consentimento, como o cumprimento de obrigação legal, o exercício regular de direito em processo judicial ou a proteção ao crédito, o controlador pode manter os dados mesmo diante de pedido de exclusão, desde que apresente justificativa adequada ao titular, conforme o parágrafo 3º do artigo 18.
Perguntas Frequentes
Qualquer informação sobre uma pessoa é considerada dado pessoal pela LGPD?
Sim, desde que permita identificar ou tornar identificável a pessoa natural. Informações que, isoladas, não individualizam ninguém, mas que combinadas a outros dados permitem essa identificação, também se enquadram no conceito previsto no artigo 5º, inciso I. O critério é a capacidade de identificação, não a natureza intrínseca da informação.
A LGPD se aplica apenas a empresas de tecnologia ou de grande porte?
Não. A lei alcança qualquer pessoa natural ou jurídica, de direito público ou privado, que realize tratamento de dados pessoais no território brasileiro, independentemente do setor de atividade, do porte ou do suporte utilizado. Pequenas empresas, profissionais liberais e órgãos públicos estão sujeitos às mesmas regras gerais, com algumas adaptações previstas nos regulamentos da ANPD para microempresas e empresas de pequeno porte.
O titular pode exigir a exclusão de seus dados a qualquer momento?
O direito à eliminação existe, mas comporta exceções expressas na lei. Quando o tratamento se baseia em obrigação legal ou regulatória, em exercício regular de direito em processo judicial, administrativo ou arbitral, ou em interesse legítimo do controlador, os dados podem ser conservados mesmo após pedido de exclusão. Nesses casos, o controlador deve informar ao titular a base legal que justifica a manutenção, nos termos do artigo 18, parágrafo 3º, da Lei 13.709/2018.
Receba novidades no WhatsApp e/ou e-mail
Cadastre-se gratuitamente para receber nossos novos artigos.
Seus dados estão protegidos conforme a LGPD.
Ficou com dúvidas? Fale com um advogado especialista.
📱 Falar pelo WhatsAppAs informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.
