Lei Geral de Proteção de Dados Pessoais e a Territorialidade dos Dados

A Lei Geral de Proteção de Dados Pessoais é uma legislação que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Ela trouxe vários pontos importantes, como por exemplo seus fundamentos, sendo eles: respeito à privacidade; a auto determinação informativa; a liberdade de expressão, de informação, de comunicação e de opinião; a inviolabilidade da intimidade, da honra e da imagem;  a livre iniciativa, a livre concorrência e a defesa do consumidor; e os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Mas, um ponto que os amantes do tema deverão ter em mente é a territorialidade dos dados pessoais. Ora o artigo 3º da presente lei traz um rol taxativo da aplicação da LGPD:

Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:

I – a operação de tratamento seja realizada no território nacional;

II – a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional;

III – os dados pessoais objeto do tratamento tenham sido coletados no território nacional.

  • 1º Consideram-se coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta.

Bem como a disposição contida no Marco Civil da Internet (Lei nº 12.965/2014):

Art. 11. Em qualquer operação de coleta, armazenamento, guarda e tratamento de registros de dados pessoais ou de comunicações por provedores de conexão e de aplicações de internet em que pelo menos um desses atos ocorra em território nacional, deverão ser obrigatoriamente respeitados a legislação brasileira e os direitos à privacidade, à proteção dos dados pessoais e ao sigilo das comunicações privadas e dos registros.

  • 1º O disposto no caputaplica-se aos dados coletados em território nacional e ao conteúdo das comunicações, desde que pelo menos um dos terminais esteja localizado no Brasil.
  • 2º O disposto no caputaplica-se mesmo que as atividades sejam realizadas por pessoa jurídica sediada no exterior, desde que oferte serviço ao público brasileiro ou pelo menos uma integrante do mesmo grupo econômico possua estabelecimento no Brasil.
  • 3º Os provedores de conexão e de aplicações de internet deverão prestar, na forma da regulamentação, informações que permitam a verificação quanto ao cumprimento da legislação brasileira referente à coleta, à guarda, ao armazenamento ou ao tratamento de dados, bem como quanto ao respeito à privacidade e ao sigilo de comunicações.
  • 4º Decreto regulamentará o procedimento para apuração de infrações ao disposto neste artigo.

Ou seja, tanto o artigo 3º da LGPD e o artigo 11 do Marco Civil da Internet delimitam a abrangência da territorialidade no tratamento dos dados pessoais. Resta evidente que independentemente do local onde está alocada a empresa, se os dados pessoais dos titulares forem coletados dentro de território brasileiro, sendo a empresa estrangeira ou nacional, estará esta suscetível as normas e regramentos constantes da Lei Geral de Proteção de Dados Pessoais do Brasil.

Em outras palavras, é dizer que na mesma aplicação da GDPR e da LGPD, a legislação será igualmente aplicada a agentes localizados fora da abrangência legislativa sempre que (i) ocorrer a oferta de bens e serviços no Brasil, ou (ii) no caso de monitoramento de comportamento de titulares de dados brasileiros.

Um ponto principal que as empresas deverão se preocupar sobre a territorialidade é no momento inicial do tratamento dos dados pessoais, seja com o consentimento ou opt-in do titular dos dados pessoais, entre outras formas, deixando claro qual a incidência legislativa que este poderá se respaldar.

Este elemento é de extrema importância para o cumprimento dos princípios da transparência (art. 6º, VI da LGPD) e mesmo da responsabilização e prestação de contas (ART. 6º, X da LGPD), vez que o Controlador, no momento da coleta do dado pessoal que se aplique a LGPD, deve garantir a transparência na comunicação ao titular, bem como deve ser capaz de demonstrar as medidas adotadas para cumprimento das normas.

Para melhor compreensão acerca do tema, sugiro a leitura do texto princípios para tratamento de dados da LGPD, para maior entendimento e aprofundamento acerca dos temas que cercam a Lei Geral de Proteção de Dados. E claro, em caso de dúvidas, não deixe de nos acionar através dos comentários ou falando com um especialista. Estamos prontos para auxiliar sua empresa a alcançar o compliance com a LGPD.