lgpd lei geral protecao de dados

Empresas devem se adequar à Lei Geral de Proteção de Dados

A LGPD, Lei n. 13.709/18, aprovada por unanimidade e em regime de urgência pelo Senado e sancionada pelo Presidente Michel Temer trata da proteção de dados pessoais em geral e é uma resposta aos vazamentos e compartilhamentos de dados sem consentimento dos titulares, como ocorreu com usuários do Facebook, coletados pela empresa Cambrigde Analytica e usados nas últimas eleições nos Estados Unidos. A lei está baseada nos direitos fundamentais de liberdade e de privacidade, como a livre iniciativa e o desenvolvimento econômico e tecnológico do país.

A União Europeia já havia colocado em vigor no ano passado uma lei pioneira de proteção a dados pessoais e à privacidade, chamada GDPR (sigla em inglês para Regulamento Geral de Proteção de Dados). A promulgação da lei coloca o Brasil no rol dos mais de 100 países que hoje podem ser considerados adequados para proteger a privacidade e o uso de dados.

A LGPD tem por objetivo regulamentar e proteger dados pessoais de clientes e usuários por parte de empresas públicas e privadas, tanto no formato físico quanto digital, já que a tecnologia tornou a troca e proliferação de dados instantânea.

A LGPD entrará em vigor em agosto de 2020, e a partir daí, qualquer empresa que incluir em sua base informações de seus clientes, por mais básicas que sejam – como nome e e-mail – deve seguir os procedimentos previstos na nova lei, sob pena de multa que pode chegar a até R$ 50 milhões ou 2% do faturamento bruto da empresa – por ocorrência.

A lei determina que a empresa deve explicar ao titular por que irá coletar seus dados, para que propósito irá utilizá-los, e obter seu consentimento prévio antes de sua utilização, manutenção e eventual transferência para outras empresas. Os dados coletados só devem ser utilizados para as finalidades específicas para as quais foram coletados e previamente informados aos seus titulares, e seu uso deve ser limitado à finalidade pretendida, devendo ser excluídos imediatamente após atingida tal finalidade.

O consentimento para a obtenção dos dados dos cidadãos deve ocorrer por manifestação livre, informada e inequívoca do titular, não sendo admitidas autorizações genéricas. Caso a autorização tenha sido obtida mediante vício de consentimento, é vedado seu tratamento.

A principal premissa da lei é a proteção de dados e a garantia de um tratamento diferenciado de informações pessoais consideradas sensíveis. Na inteligência do texto legal, são consideradas sensíveis informações “sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico”.

A lei também exige especial atenção das empresas quanto ao relacionamento com seus clientes ou usuários, já que garante ao cidadão a possibilidade de exigir a devida proteção e privacidade de seus dados, bem como obter conhecimento, requerer alteração e exclusão de seus dados. Garante ainda o direito de portabilidade dos dados, que permite ao titular solicitar que seus dados (resguardados segredos industriais e de negócio) para encaminhá-los a outros controladores, o que implicará na necessidade de ajustes e padronização dos agentes para atender às regras estabelecidas.

A partir do novo regramento, cada indivíduo deve ter garantido controle sobre seus dados e ao acesso de terceiros sobre eles, desde a autorização expressa para coleta como para o tratamento, armazenamento e compartilhamento. Informações como nome, RG, CPF, raça, inclinação sexual ou política deve receber proteção, por se tratar de dados considerados sensíveis. Para as empresas, públicas e privadas, o trabalho será garantir a transparência e o direito de acesso a essas informações.

O tratamento de dados de que dispõe a LGPD pode ser entendido como qualquer procedimento que envolva a utilização de dados pessoais, tais como a coleta, a classificação, a utilização, o processamento, o armazenamento, o compartilhamento, a transferência, a eliminação, entre outros.

As únicas exceções à aplicação da lei são as hipóteses de tratamento de dados pessoais realizado por pessoa natural para fins exclusivamente particulares e não econômicos, além daqueles realizados exclusivamente para fim jornalístico, artístico ou acadêmico (neste caso, não se dispensa o consentimento), de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais ou dados em trânsito.

Para se enquadrar às exigências da LGPD, empresas públicas e privadas deverão realizar investimentos na readequação de seus sistemas, para a implementação de uma estrutura e uma política interna de compliance acerca do tratamento de dados de seus clientes.

A primeira ação a ser tomada é um diagnóstico de todos os setores e sistemas da empresa, com análise dos riscos e pontos vulneráveis no que diz respeito às informações pessoais armazenadas dos clientes e usuários.

Na implementação desse processo, serão exigidas três figuras que as empresas deverão incorporar em seus quadros: o controlador, o operador e o encarregado. Os dois primeiros serão os agentes de tratamento dos dados. O controlador é quem toma as decisões sobre o tratamento dos dados e suas orientações são colocadas em prática pelo operador. O encarregado, por sua vez, será aquele profissional responsável pelo contato entre o controlador, a pessoa dona dos dados e a agência governamental responsável pela fiscalização da lei.

Em relação aos agentes de tratamento, a principal obrigação estabelecida pela LGPD é a de manter registros de todas as operações de tratamento, decorrência do princípio de prestação de contas incorporado pela lei.

É recomendado também que as empresas criem um grupo ou comitê que atue exclusivamente na elaboração de políticas internas, metas e planos de gerenciamento de proteção de dados, assim como planos de emergência para gestão de crises envolvendo segurança e privacidade.

Caberá também aos agentes a elaboração de Relatórios de Impacto à Proteção de Dados Pessoais, contendo a descrição dos tipos de dados coletados, fundamentos da coleta e a metodologia utilizada, bem como dos métodos para garantir a segurança das informações e a análise do controlador com relação aos mecanismos de mitigação de risco adotados.

Com vistas a fortalecer a proteção e a segurança, recomenda-se também que as empresas elaborem cartilhas ou manuais de diretrizes sobre o tratamento de dados pessoais, bem como invistam em treinamento e acompanhamento de suas equipes no cumprimento da legislação.

A Autoridade Nacional de Proteção de Dados (ANPD), órgão a ser criado, ligado à Presidência da República, será o responsável por zelar e fiscalizar o cumprimento da LGPD, elaborar diretrizes para a lei e aplicar as sanções previstas para as empresas que descumprirem as exigências.

Restando dezoito meses para o início da vigência da lei, imperioso que as empresas dêem início aos procedimentos de adequação, revendo suas políticas de segurança, seus contratos, implementando sistemas de compliance, nomeando os agentes de tratamento dos dados, elaborando relatórios de impacto e investindo em treinamento de seus setores.

Recomenda-se que o quanto antes as empresas públicas e privadas se mobilizem no sentido de adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de eventos de destruição, perda, alteração, comunicação ou difusão, bem como venham a empreender Programas de Governança em Privacidade.

A adoção dos cuidados efetivos para prevenir e remediar vazamentos e violações de dados, assim como fiscalizar a observância das normas junto a seus colaboradores, fornecedores e parceiros, será considerada critério atenuante das penas previstas pela LGPD.

Caroline Marques Baratz – OAB/RS 62.425

Cristina Kaiser dos Santos – OAB/RS 63.656

Elayyan Taher Aladdin – OAB/RS 55.380

0 respostas

Deixe uma resposta

Want to join the discussion?
Feel free to contribute!

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *