Influenciada pela regulação europeia General Data Protection Regulation (GDPR) – um rigoroso conjunto de regras sobre privacidade da União Europeia, vigente desde maio de 2018 –, a Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018), sancionada em 14 de agosto de 2018, foi promulgada com o objetivo de proteger os direitos de liberdade e privacidade das pessoas.
A discussão acerca do tema durou oito anos, até chegar à aprovação da lei, que teve origem em projeto da Câmara dos Deputados, consagrado por unanimidade e em regime de urgência pelo Senado em julho de 2018.
Apesar da larga discussão, a Lei 13.709/2018 acima referida já sofreu algumas mudanças constantes da Lei 13.853, de 09 de julho de 2019.
Objetivos da LGPD
Em linhas gerais, a nova legislação estabelece as normas aplicáveis para o tratamento de dados de Pessoas Físicas: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
A LGPD estabelece regras que deverão ser seguidas pelas empresas com vistas a garantir o controle sobre a coleta, o uso e a transferência de dados pessoais no Brasil, disciplinando o tratamento de qualquer informação que identifique uma pessoa. Isso significa que, a partir de sua entrada em vigor, prevista para agosto de 2020, qualquer empresa ou organização pública ou privada precisará adequar seus processos para obter o consentimento explícito e assegurar a proteção dos dados de clientes na hora de coletar, armazenar e usar tais informações.
Além de aumentar o controle do titular (dono dos dados) sobre as informações, a lei traz mais transparência e segurança jurídica para as entidades dos setores público e privado.
Penalidade
O prazo para entrada em vigor foi estipulado de modo que as empresas e as organizações tenham tempo hábil para se estruturarem e conseguirem colocar em prática as novas exigências de proteção e transparência no tratamento das informações de clientes e usuários impostas pela LGPD.
Caso algum tipo de infração seja comprovado, o responsável poderá receber desde advertências até uma multa equivalente a 2% de seu faturamento, limitada ao valor máximo de R$50 milhões. Ela também poderá ter as atividades relacionadas ao tratamento de dados total ou parcialmente suspensas, além de responder judicialmente a outras violações previstas em lei, quando for o caso.
Vale observar que o intuito da lei é criar uma cultura de governança no ambiente de negócios do país. Dessa forma, as penalidades levarão em conta diversos critérios objetivos.
Utilização de dados
A partir de agosto de 2020, as organizações somente poderão coletar dados pessoais se tiverem consentimento do titular (não será mais admitida a coleta velada, como tem ocorrido atualmente, sob risco de penalização).
A solicitação deverá ser feita de maneira clara e específica, para que a pessoa saiba exatamente o que será coletado, para quais finalidades e se haverá compartilhamento com terceiros. Além disso, as organizações só poderão solicitar os dados que realmente são necessários ao fim proposto. Nesse sentido, o usuário poderá questionar se a exigência de determinada informação faz sentido ou não.
Portanto, se nessa coleta de dados houver mudança de finalidade ou a intenção de repasse de dados, um novo consentimento deverá ser solicitado ao consumidor especificamente. Sempre que desejar, o usuário poderá revogar sua autorização, bem como pedir acesso, exclusão, portabilidade, complementação ou correção dos dados.
O que muda, na prática
A premissa dessa lei é a proteção de dados e a garantia de um tratamento diferenciado de informações pessoais consideradas sensíveis.
O texto da lei explicita quais informações são consideradas sensíveis: “Art. 5º, II – […] sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico […]”.
Basicamente, a Lei Geral de Proteção de Dados coíbe a utilização indiscriminada de dados pessoais informados por meio de cadastros e garante ao cidadão o direito de saber como será feito o tratamento de suas informações e para qual finalidade específica elas serão usadas.
A nova legislação determina que a empresa deve explicar ao proprietário da informação a razão pela qual usará algum dado seu e deverá haver um consentimento prévio expresso da pessoa antes da utilização, assim como a transferência de informações para outras empresas.
A lei também exige atenção das empresas quanto ao relacionamento com seus clientes ou usuários, uma vez que a LGPD garante novos direitos para o cidadão exigir a devida proteção e privacidade de seus dados. As pessoas poderão exigir que uma empresa informe se possui algum dado seu, assim como exigir que a empresa apague todos os seus dados que estão armazenados ali.
A LGPD coloca o Brasil em posição de igualdade com muitos países que já possuem um tratamento bem definido sobre o tema e trará, de forma expressa, a importância da boa-fé no tratamento dos dados pessoais, exigindo-se bom senso e transparência de quem lida com esses dados, procurando penalizar excessos e abusos a partir da definição da responsabilidade e do dever de indenizar.
Mudanças para as empresas
Para se enquadrar nas exigências da lei, as empresas públicas e privadas deverão fazer investimentos para a implementação de uma estrutura e uma política interna de compliance digital acerca do tratamento de dados de seus clientes.
A primeira ação a ser tomada é um diagnóstico da equipe de Tecnologia da Informação (TI), com relatórios de análises de risco e de impacto das novas exigências. Com isso, será possível verificar em qual estágio a empresa se encontra, quais são os pontos mais vulneráveis de seus sistemas e constatar quais são os principais fatores de risco.
As empresas precisarão ter em seu quadro funcional as figuras do controlador, do operador e do encarregado, responsáveis pelo tratamento de dados. Também é recomendado que seja criado um comitê que atue exclusivamente na elaboração de políticas internas, metas e planos de gerenciamento de proteção de dados, bem como planos de emergência para gestão de crises envolvendo segurança e privacidade.
Outro ponto interessante é criação de uma cartilha de política interna. Investir em programas de treinamento sobre a nova legislação e tratamento de dados é uma maneira positiva de reforçar a nova política interna e ganhar pontos nesse novo cenário do mercado.
Fiscalização
O Presidente Jair Bolsonaro sancionou nesta semana, com alguns vetos, a Lei nº 13.853 de 8 de julho de 2019, que cria a Autoridade Nacional de Proteção de Dados (ANPD).
A ANPD integrará a estrutura da Presidência da República e terá autonomia técnica para editar normas e procedimentos para a proteção de dados pessoais, sendo responsável pela fiscalização e aplicação de sanções no caso de descumprimento da Lei Geral de Proteção de Dados (LGPD).
A lei estabelece os seguintes poderes e competências da ANPD:
- zelar pela observância dos segredos comercial e industrial em ponderação com a proteção de dados pessoais;
- Elaborar diretrizes para Política Nacional de Proteção de Dados Pessoais e da Privacidade;
- Garantir que as normas e as políticas públicas sobre proteção de dados pessoais, assim como as medidas de segurança, sejam de conhecimento público;
- Analisar reclamações sobre irregularidades apresentadas por usuários, após a comprovação de que estas tenham sido apresentadas junto ao responsável pela análise dos dados e não foi solucionada dentro do prazo legal;
- Implementar mecanismos simplificados, inclusive por meio eletrônico para o registro de reclamações sobre o tratamento de dados pessoais.
Tanto a iniciativa privada quanto os órgãos públicos poderão indicar um responsável pelo tratamento dos dados dentro da organização. Eventuais solicitações ou comunicações referentes a dados pessoais serão tratados prioritariamente com essa pessoa.
Na verdade, empresas privadas de todos os segmentos, assim como entes do setor público sofrerão os impactos da aplicação da LGPD. Por isso, é fundamental se preparar para a aplicação da lei.
A atuação do escritório pode envolver os seguintes serviços: (i) consultoria integral aos termos da LGPD; (ii) revisão dos procedimentos e práticas nas políticas de tratamento dos dados pessoais; (iii) elaboração e revisão dos contratos relacionados à contratação de agentes, incluindo a revisão das Políticas de Privacidade; (iv) revisão das regras de compliance e políticas de tratamento de dados; (v) defesas e acompanhamento de procedimentos administrativos; e, (vi) consultoria , em parceria com escritórios estrangeiros para adequação das regras da GDPR.