Em compasso com a dinâmica mundial para regulamentação dos dados pessoais, hoje, 27 de agosto de 2020, entra em vigor a Lei 13.709/18 denominada LGPD – LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS e, por esta razão, se faz necessário entender o impacto na vida das pessoas e também nas empresas que serão afetadas com a nova obrigação de proteger os dados das pessoas em qualquer formato, inclusive no meio digital.
O objetivo da lei é estabelecer o conceito de dados e regulamentar como as informações pessoais devem ser protegidas e tratadas pelas pessoas físicas ou jurídicas de direito público ou privado que de alguma forma acessam ou obtém os dados de seus clientes, usuários ou de terceiros.
O dado pessoal é entendido como um conjunto de informações que individualiza e identifica apessoa natural e deverá a partir da entrada em vigor da lei ser objeto de tratamento em conformidade com regras claras de proteção, sigilo e armazenamento das informações, utilizando-se novos instrumentos tecnológicos para que este patrimônio imaterial não seja exposto ou utilizado indevidamente.
O primeiro limite se refere à utilização dos dados pessoais de acordo com a finalidade específica para a qual foi coletada e mediante o consentimento do titular, isto é, a coleta de dados pela empresa precisa apresentar um propósito específico e útil, além de ser compatível com a utilidade da empresa receptora, excluindo-se as informações suplementares com propósitos abusivos, ou seja, prestigiar a ideia da coleta mínima.
Para as pessoas, titulares dos dados, os principais direitos em resumo são: i) ter direito à confirmação da existência de tratamento, entende-se tratamento como toda a operação realizada com dados pessoais a exemplo de: coleta, produção, recepção, utilização, reprodução, transmissão, distribuição, processamento, arquivamento, modificação, comunicação, transferência, difusão, dentre outros.
ii) ter direito ao acesso e correção aos seus dados armazenados;
iii) anonimização (o dado anonimizado é relativo ao titular que não possa ser identificado);
iv) portabilidade;
v) eliminação dos dados após o término do tratamento;
vi) informação a respeito do compartilhamento de dados;
vii) possibilidade de receber informação sobre não fornecer o consentimento e suas consequências;
viii) revogação do consentimento;
As empresas, por sua vez, deverão adotar medidas de segurança e governança, cuja obrigação afetará todo e qualquer negócio que obtenha, acesse ou armazene dados pessoais. São exemplos de requisitos legais da LGPD a serem observados: a prova do consentimento pelo titular, autorizando o tratamento de seus dados pessoais para uma finalidade determinada; dever de proteger os dados coletados, transparência e prazo de armazenamento; política restritiva de compartilhamento de dados; a presença da figura do operador, pessoa responsável na companhia pelo tratamento dos dados pessoais. Por fim, deverão ser estabelecidas as medidas de controle e segurança do banco dados, assim como a sistematização da proteção dos dados com instrumentos para mitigar riscos aos titulares.
É vedado o compartilhamento de dados sensíveis, assim entendidos os dados pessoais relativos à raça ou étnica; convicção religiosa; opinião política; saúde; enfim dados que revelem opções e opiniões pessoais.
A exceção é compartilhamento pelos órgãos públicos dos dados destinados às políticas públicas nos termos da lei (artigo 11, II, “b”), porém sempre tratado de acordo com uma finalidade pública e no cumprimento de competências legais do serviço público.
Para tanto, haverá fiscalização pela Agência Nacional de Proteção de Dados (ANPD) a ser instituída pelo Governo a partir da vigência da LGPD, além do próprio Poder Judiciário que atua na composição de conflitos decorrentes da norma específica e que fixará entendimentos conforme os litígios sobre o tema chegar aos Tribunais.
As penalidades aplicáveis pela inobservância da LGPD vão desde a advertência até a multa simples e diária que pode atingir o limite de R$ 50.000.000,00 (cinquenta milhões de reais) por infração, ou ainda bloqueio e eliminação dos dados pessoais.
Sob o ponto de vista de responsabilidade civil, há também a previsão do dever de indenizar a pessoa que suportar dano patrimonial ou moral por violação da legislação de proteção de dados, facultando ao Juiz inverter o ônus da prova em favor do titular, de modo a recair sobre a empresa o ônus de comprovar em juízo que observou a legislação e não foi responsável pelo alegado dano.
A norma inova também ao determinar a responsabilidade solidária entre o operador (quem realiza o tratamento de dados pessoais em nome do controlador) e o controlador (a quem competem as decisões sobre o tratamento de dados pessoais) pelos danos causados quando aquele descumprir as normas da LGPD ou não seguir com as instruções lícitas do controlador.
O que as empresas da iniciativa privada devem fazer para se adequar a LGPD?
a) Estudo interno para revisar as rotinas na coleta de dados e implementar
instrumentos de proteção dos dados, inclusive com programas de computador, bem como adoção de medidas de segurança para: a.1) controle de acessos às informações; a2) salvaguarda dos bancos de dados; a3) combate contra invasão, perda ou vazamento de informações;
b) Avaliação jurídica das potenciais responsabilidades dependendo do tipo de atividade empresarial, com elaboração de contratos e documentos legais para proteção da empresa, além de orientação jurídica para adequação à lei (compliance)
c) Desenvolvimento de projeto de proteção de dados com sistema de mitigação de riscos, emissão de relatórios e práticas de governança corporativa;
d) Designação de um líder para organização de todas as atividades da empresa ligada aos dados pessoais dos clientes e de terceiros, responsável inclusive pela gestão e acompanhamento deste segmento dentro da corporação.
e) Revisão da forma de comunicação e troca de informações entre a empresa e os titulares de dados pessoais fornecidos (transparência).
f) Treinamento da equipe de colaboradores para divulgação das novas práticas, implicações jurídicas e responsabilizações pessoais.
Em suma, este avanço legislativo é salutar pois, eleva o Brasil a um patamar de boas práticas e de segurança jurídica neste assunto, favorecendo as relações comerciais e institucionais com outros países. Também, não se pode olvidar que este regramento é primordial para proteger o cidadão que é alvejado negativamente de diversas formas por meio do uso indevido de seus dados pessoais sejam eles bancários, de opinião, sexo ou raça, tanto no âmbito individual quanto coletivo.
Repercursão nacional dos vazamentos de dados
Para compreender a importância deste assunto, podem ser relembrados os grandes casos que ganharam repercussão nacional com o vazamento de dados nas empresas como: Netshoes e Uber, nas quais houve divulgação pública de vazamento de dados dos consumidores, assim como os correntistas do Banco Inter que foram afetados pelo vazamento de suas
informações.(fonte: https://www1.folha.uol.com.br/tec/2019/01/relembre-os-principais-vazamentos-dedados-de-brasileiros-em-2018).
A divulgação e esclarecimento sobre esta lei é de suma importância para conhecimento geral e adequação das empresas para observância das novas regras da LGPD já em vigor.
Advogado, sócio fundador do Battaglia & Pedrosa advogados, possui larga experiência na condução de negociações e litígios empresariais de alta complexidade. Mestrando em Direito dos Negócios pela FGV, Remo também é pós-graduado em Direito Tributário pela PUC/SP, instituição na qual cursou também a Pós-Graduação em Processo Civil. Nos EUA participou do “Program on negotiation na Harvard University”, além de possuir em seu currículo diversos outros cursos voltados à área negocial e empresarial, como Gestão de Projetos pelo Insper, Direito Imobiliário pelo CEA e Direito Societário pela FGV. Remo é também palestrante e possui diversos artigos publicados.
Contato: remo@bpadvogados.com.br
3 comentários em “A LGPD já está em vigor”Adicionar comentário →