Menos de dois meses após a entrada em vigor da nova legislação europeia sobre proteção de dados (General Data Protection Regulation ou GDPR), o Congresso Nacional brasileiro aprovou, em 10 de julho, a lei geral de proteção de dados (PLC 53/18), que atualmente aguarda a sanção do Presidente da República.
O timing não é coincidência: a nossa Lei Geral de Proteção de Dados (ou, simplesmente, LGPD) foi amplamente inspirada na GDPR e se assemelha ao regulamento europeu em diversos pontos.
Apesar de toda a atenção dedicada ao tema nos últimos meses, é importante saber que a proteção de dados pessoais não é matéria nova no Brasil, já tendo sido tratada de forma esparsa e pontual em alguns de nossos diplomas legais. A verdadeira novidade é que a LGPD trata a matéria de forma específica e sistematizada, detalhando-a nos seus mais de 60 artigos e criando mecanismos capazes de conferir efetividade ao novo regime jurídico no país.
O que muda
Para entender a LGPD e suas disposições, a palavra de ordem é transparência: é esse um dos mais importantes princípios nos quais a LGPD é pautada.
A partir da diretriz da transparência, a LGPD introduz, conforme apontado abaixo, diversos direitos e deveres relativos à proteção e segurança dos dados, bem como estabelece novos procedimentos de responsabilização e prestação de contas das entidades responsáveis pela coleta ou tratamento de dados pessoais.
Consentimento
Todas as pessoas naturais são titulares dos dados pessoais que lhe dizem respeito e podem consentir para que tais dados sejam coletados e tratados por terceiros. Para coletar ou utilizar, de qualquer forma, dados pessoais, as empresas precisarão obter o consentimento de seus titulares – o qual deve ser, necessariamente, uma manifestação livre, informada e inequívoca, que autoriza o tratamento de dados pessoais para finalidades determinadas. A novidade pretende afastar a falta de clareza e transparência das políticas de privacidade, de modo que as empresas deverão informar devidamente os titulares acerca das condições em que seus dados são coletados e utilizados, sob pena de o seu consentimento não ser válido. Vale ressaltar que o consentimento pode ser revogado a qualquer momento, hipótese em que as empresas deverão interromper a coleta ou utilização de dados daquele titular.
Mais direitos para o titular de dados, mais obrigações para empresas
Diversos direitos do cidadão, enquanto titular de dados, estão protegidos pela LGPD, de modo que as empresas podem ter que atender às suas solicitações para, por exemplo, retificar dados incorretos, incompletos ou desatualizados, excluir dados ou realizar a sua portabilidade para outro fornecedor de serviço ou produto. Adaptar-se para conseguir atender a tais solicitações, por parte de inúmeros titulares de dados, pode se provar um grande desafio para empresas, sobretudo para aquelas de menor porte.
Controlador e Operador
Assim como a legislação europeia, a LGPD distingue dois agentes do tratamento de dados: o Controlador e o Operador. O Controlador é quem toma as decisões referentes ao tratamento de dados, ainda que não realize diretamente o tratamento em questão. O Operador, por sua vez, é quem efetivamente trata os dados, ainda que não tenha ingerência sobre seu tratamento. A novidade legislativa vem para acompanhar uma realidade comum: nem sempre o responsável pelas decisões referentes ao tratamento de dados é a mesma pessoa física ou jurídica que efetivamente realiza o tratamento. Ainda que suas atuações sejam diferentes, o Controlador e o Operador devem observar as disposições da LGPD e podem ser responsabilizados de forma solidária.
Encarregado pelo Tratamento de Dados Pessoais
Inspirada no Data Protection Officer (DPO) criado pelo regulamento europeu, a LGPD também cria a figura do encarregado pelo tratamento de dados pessoais, um indivíduo, indicado pela empresa, que figura como canal de comunicação entre ela, os titulares de dados e a Autoridade Nacional. É esse indivíduo o responsável por orientar colaboradores da empresa acerca das práticas relativas à proteção de dados, prestar esclarecimentos aos titulares de dados, receber comunicações da Autoridade Nacional e tomar as providências cabíveis.
Comunicados (breach notice)
Caso violada a segurança dos dados pessoais de modo a acarretar risco ou dano relevante aos seus titulares, a LGPD dispõe que o Controlador deverá comunicar à Autoridade Nacional e ao titular, indicando, dentre outras informações, a natureza dos dados afetados, os riscos relacionados ao incidente e as medidas adotadas para reverter ou mitigar prejuízos.
Penalidades
A LGPD estabelece severas punições para o descumprimento das obrigações nela previstas. A depender da gravidade do caso, os agentes do tratamento podem ser multados em até R$ 50 milhões por infração. A empresa pode ainda ter suas atividades de tratamento de dados temporariamente suspensas ou proibidas.
Possibilidade de veto
Dentre suas disposições, a LGPD cria uma Autoridade Nacional de Proteção de Dados, autarquia federal independente, que terá competência para fiscalizar o cumprimento das normas relativas à proteção de dados, bem como para aplicar sanções em caso de descumprimento à legislação. Dentre suas atribuições, a Autoridade Nacional editará regulamentos e procedimentos sobre proteção de dados e privacidade e realizará auditorias sobre o tratamento de dados por agentes de tratamento, incluindo o poder público.
Ocorre que a criação da Autoridade tem sido motivo de discussões e figura, atualmente, como a disposição que corre maior risco de veto presidencial. Isso porque haveria um vício constitucional em sua criação, que apenas poderia ocorrer por iniciativa executiva – o que não foi o caso.
Caso vetada, a disposição deixará perigosa lacuna no texto da LGPD, possibilitando que diversos órgãos reclamem para si o papel de Autoridade Nacional de Proteção de Dados. Se isso vier a acontecer, a recém-nascida LGPD poderá ter prejudicadas efetividade, neutralidade e segurança jurídica. A fim de evitar o trágico desfecho, diversos setores da sociedade civil pressionam o presidente da República pela aprovação da LGPD sem vetos.
Como se preparar
Apesar de não serem as únicas sujeitas à aplicação da LGPD, as empresas que lidam com coleta ou tratamento de dados (ainda que como atividade meio), devem estar atentas à nova legislação.
As novas disposições legais tornam necessária a realização de uma espécie de auditoria de proteção de dados pelas empresas, o que permitirá a identificação das práticas por elas adotadas, dos riscos corridos e das medidas a serem adotadas para que estejam em conformidade com a normativa brasileira – que entrará em vigor 18 meses após sua sanção e publicação oficial.
A recente experiência europeia ensinou que, em matéria de proteção de dados, é importante se preparar com antecedência. Na União Europeia, apesar de as empresas terem tido 2 anos para se preparar para a GDPR, grande parte delas não entrou em compliance a tempo – sujeitando-se agora à aplicação de severas multas.
__________