Publicações

Faltando menos de 1 ano para sua entrada em vigor, que ocorrerá em 16 de agosto de 2020, a Lei nº 13.709/2018, mais conhecida como Lei Geral de Proteção de Dados (ou somente “LGPD”), será aplicável no tratamento de dados pessoais realizado dentro ou fora da internet, utilizando ou não meios digitais e provocará uma mudança radical na forma como esse tratamento se dá em todas as operações que ocorrerem no território brasileiro, mas também perante entidades que realizarem coleta de dados pessoais em território nacional e empresas que tenham como objetivo a oferta ou fornecimento de bens ou serviços a indivíduos localizados no Brasil.

Além disso, as mudanças trazidas por esta nova legislação impactarão empresas de diferentes ramos, além de seus departamentos internos, como marketing, RH, TI, comercial, jurídico e compliance, que, após uma análise minuciosa da base de dados pessoais que a empresa possui (mapeamento e diagnóstico), deverá realizar a implementação das adequações para estar em conformidade com as regras da LGPD, como a implementação de ferramentas técnicas para garantir a segurança dos dados pessoais; atualização de normas, políticas e contratos; adequação da governança e a gestão dos dados pessoais; e treinamentos e campanhas de conscientização das equipes, dos parceiros, fornecedores e clientes etc.

A LGPD trouxe, em seu artigo 6º, um rol de princípios a serem observados para o tratamento de dados pessoais. Além disso, dispôs, no seu artigo 7º, as bases legais para legitimar o tratamento dos dados.

Os titulares dos dados pessoais terão amplos direitos, definidos nos artigos 17 a 22 da LGDP, dentre os quais aqueles relacionados a informação, acesso, retificação, cancelamento, oposição, portabilidade etc.

A lei brasileira foi inspirada no General Data Protection Regulation (“GDPR”), o regulamento de proteção de dados da União Europeia, vigente desde 25 de maio de 2018.

Uma das figuras importantes da GDPR reproduzidas na LGPD é a do Data Protection Officer, ou, como dispõe na legislação brasileira, o encarregado, pessoa que será responsável pela gestão de dados pessoais tratados pela empresa e que deverá produzir relatórios para as pessoas e órgão regulador, atender aos pedidos de exclusão de dados pessoais, descartar os dados pessoais por meio de um processo controlado, seguro e comprovado etc.

Em caso de descumprimento das normas previstas na LGPD, os agentes de tratamento de dados estarão sujeitos a diversas penalidades a serem aplicadas pela Autoridade Nacional de Proteção de dados (“ANPD”), dentre elas: recebimento de advertência; publicização da infração; bloqueio ou eliminação dos dados pessoais a que se refere a infração; suspensão do exercício da atividade de tratamento dos dados pessoais; e multas diárias, ou multa simples de até 2%  do faturamento do grupo empresarial no Brasil – limitadas a cinquenta milhões de reais por infração.

Para que as empresas evitem qualquer tipo de sanção prevista na LGPD, elas deverão adotar todas as medidas cabíveis para a proteção dos dados pessoais, desde o seu recebimento até o seu descarte, incluindo a obtenção de softwares para proteção dos dados, como antivírus e criptografia; manter os arquivos que comprovem que os titulares dos dados pessoais consentiram com o tratamento dos seus dados, caso esta seja a base legal utilizada pela empresa para o tratamento dos dados pessoais; manter o registro de todo o processamento de todos os dados pessoais a que elas tiverem acesso e elaborar relatórios para, em caso de fiscalização, apresentar à ANPD; e reportar imediatamente à ANPD a ocorrência de algum incidente no tratamento dos dados pessoais.

Importante ressaltar que a aplicação da LGPD ainda depende da elaboração de diretrizes pela ANPD, que também deverá editar regulamentos e procedimentos sobre a proteção de dados pessoais e privacidade, estabelecendo, conforme abrangeu a Lei nº 13.853/2019, normas simplificadas e diferenciadas, inclusive quanto aos prazos, para que as microempresas, as empresas de pequeno porte e as startups possam se adequar à LGPD.  Contudo, como a ANDP ainda não possui composição definida e não há um prazo para que passe a efetivamente atuar, seria temerário esperar pela edição dessas normas para que essas empresas passem a adotar as diretrizes da LGPD, observar e cumprir os direitos dos titulares dos dados e demais deveres impostos pela Lei às empresas em geral.

Podemos concluir, assim, que a LGPD veio para consolidar a necessidade do uso ético e seguro dos dados pessoais e que isto consistirá na adequação de toda e qualquer empresa por meio de um plano multidisciplinar que envolverá, principalmente, a conscientização de todas as pessoas envolvidas nas atividades da empresa e que tenham acesso aos dados pessoais dos funcionários, diretores, acionistas, fornecedores e, por fim, clientes.