O que muda com a Lei Geral de Proteção de Dados (LGPD)
A lei está baseada nos direitos fundamentais de liberdade e de privacidade, como a livre iniciativa e o desenvolvimento econômico e tecnológico do país.
sexta-feira, 24 de agosto de 2018
Atualizado em 23 de setembro de 2019 17:20
O cotidiano das empresas está prestes a sofrer novo marco regulatório que as impactará como poucas leis antes fizeram. É o que promete a Lei Geral de Proteção de Dados ou simplesmente LGPD (lei 13.709/18), sancionada em 13/8/18 pela Presidência da República.
Os recentes escândalos de vazamento de dados da rede social Facebook - o mais famoso com o fornecimento de informações de milhares de usuários para a empresa britânica de big data e marketing político Cambridge Analytica - levaram diversos países a apressarem leis de proteção de informações pessoais.
Depois de a União Europeia publicar, em maio, seu Regulamento Geral de Proteção de Dados da União Europeia (GDPR), o Senado Federal rapidamente aprovou, no dia 10 de julho de 2018, o PLC 53/18 consolidando-se assim como a Lei Geral de Proteção de Dados brasileira (LGPD).
A sanção da lei 13.709/18, que altera a lei 12.965, de 2014 (o Marco Civil da Internet) e que estabelece a lei brasileira de proteção e tratamento de dados pessoais ocorreu com vetos pelo presidente Michel Temer.
A nova lei começa a vigorar daqui a 18 meses, período em que o governo, empresas e a sociedade poderão realizar as devidas adaptações. Com o período de vacatio legis, em fevereiro de 2020 a lei passará a ter eficácia plena em todo território nacional.
A promulgação da lei coloca o Brasil no rol de mais de 100 países que hoje podem ser considerados adequados para proteger a privacidade e o uso de dados.
A LGPD cria uma regulamentação para o uso, proteção e transferência de dados pessoais no Brasil, nos âmbitos privado e público, e estabelece de modo claro quem são as figuras envolvidas e quais são suas atribuições, responsabilidades e penalidades no âmbito civil - que podem chegar a multa de 50 milhões de reais por incidente.
A lei está baseada nos direitos fundamentais de liberdade e de privacidade, como a livre iniciativa e o desenvolvimento econômico e tecnológico do país.
Dentre seus princípios, tem especial relevância o da transparência para o uso de dados pessoais e a respectiva responsabilização, o da adequação, ou seja, a compatibilização do uso dos dados pessoais com as finalidades informadas, da proteção do usuário em toda arquitetura do negócio (privacy by design), da finalidade, segundo o qual os dados só devem ser utilizados para as finalidades específicas para as quais foram coletados e previamente informados aos seus titulares, e também do princípio da necessidade, que significa limitar o uso dos dados ao mínimo necessário para que se possa atingir a finalidade pretendida, do qual surge ainda a indispensável exclusão imediata de dados, após atingida tal finalidade.
A regulamentação define como dado pessoal qualquer informação que identifique diretamente ou torne identificável uma pessoa natural e tratamento, como toda operação realizada com dados pessoais, tais como a coleta, utilização, acesso, transmissão, processamento, arquivamento, armazenamento, transferência etc.
Qualquer operação de tratamento de dados pessoais realizada no território nacional, por pessoa natural ou pessoa jurídica de direito público ou privado, cujos titulares estejam localizados no Brasil, ou que tenha por finalidade a oferta de produtos ou serviços no Brasil, estão sujeitos á LGPD, que passa a exigir o consentimento expresso do usuário para esta operação.
O consentimento deve ocorrer por manifestação livre, informada e inequívoca do titular, expressando sua concordância com o tratamento de seus dados pessoais para uma finalidade determinada, não sendo admitidas autorizações genéricas, sendo vedado o tratamento, caso a autorização tenha sido obtida mediante vício de consentimento.
As únicas exceções à aplicação da lei são as hipóteses de tratamento de dados pessoais realizado por pessoa natural para fins exclusivamente particulares e não econômicos, além daqueles realizados exclusivamente para fins (i) jornalístico, artístico ou acadêmico (neste caso, não se dispensa o consentimento), (ii) de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais ou (iii) dados em trânsito, ou seja, aqueles que não tem como destino Agentes de Tratamento no Brasil.
A lei criou os chamados Agentes de Tratamento de dados pessoais - nas figuras do Controlador e do Operador - que podem ser uma pessoa natural ou jurídica, de direito público ou privado. Ao primeiro (controlador) competem as decisões referentes ao tratamento de dados pessoais, enquanto ao segundo (operador), a realização do tratamento em nome do primeiro.
Foi definida também a figura do Encarregado, que também na condição de pessoa natural ou jurídica, de direito público ou privado, atuará como canal de comunicação entre o Controlador e os titulares de dados pessoais e a Autoridade Nacional de Proteção de Dados (ANPD).
A criação da ANPD, órgão da administração pública indireta que ficará responsável por zelar, implementar e fiscalizar o cumprimento da LGPD, aliás, foi vetada pelo Poder Executivo, pois implicaria em inconstitucionalidade do processo legislativo por trazer vício de iniciativa (a criação teria que partir do Executivo Federal). Mas o presidente já sinalizou que concorda no mérito com a criação do órgão, e que enviará um projeto de lei para essa finalidade.
Os direitos dos usuários receberam capítulo próprio no texto legal, valendo destacar o direito de acesso, que lhes garante a possibilidade de obtenção, mediante requisição, junto aos controladores, de todos os dados pessoais que estão sendo tratados, e como consequência disso, os direitos de retificação e atualização, haja vista a obrigação dos agentes de mantê-los sempre corretos e atualizados.
No que tange ao consentimento, a lei traz vários requisitos para sua validade. As informações sobre o tratamento de dados (finalidades, forma e duração, identificação do controlador e seus dados de contato, informações sobre uso compartilhado, responsabilidades dos agentes que farão o tratamento), devem ser de fácil acesso ao usuário. De igual modo, o procedimento de retirada ou revogação do consentimento e a mudança de finalidade (finalidade não compatível com a original) devem ser gratuitos e facilitados.
A utilização do processo de anonimização (técnica que afasta a possibilidade de associação ao indivíduo sem possibilidade de reversão) é uma alternativa que vem prevista na LGPD que pode ser utilizada para dispensar o consentimento do titular dos dados pessoais objeto de tratamento.
Não menos importante é o direito de portabilidade dos dados, que permite ao titular solicitar que seus dados (resguardados segredos industriais e de negócio) para encaminhá-los a outros controladores, o que implicará na necessidade de ajustes nos diversos agentes econômicos de modo a padronizar estas trocas para que seja possível atender satisfatoriamente a regra estabelecida.
Em relação aos Agentes de Tratamento, a principal obrigação que se estabeleceu foi a de manter registros de todas as operações de tratamento, decorrência do princípio de prestação de contas incorporado pela LGPD.
Para o cumprimento desta obrigação, as empresas deverão, através de seus agentes de tratamento, elaborar Relatório de Impacto à Proteção de Dados Pessoais, contendo, no mínimo, a descrição dos tipos de dados coletados, o fundamento da coleta e a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação as medidas, salvaguardas e mecanismos de mitigação de risco adotados, no que resulta na importância de se estruturar sistemas de segurança da informação confiáveis que permitam decisões automatizadas nos negócios.
Cabe as empresas também nomear seu Encarregado de Proteção de Dados (DPO - Data Protection Officer), que terá como principal atividade o monitoramento e disseminação das boas práticas em relação à proteção de dados pessoais perante funcionários e contratados no âmbito da empresa, bem como a interface com a Autoridade Nacional de Proteção de Dados (ANPD), a ser criada posteriormente.
Os agentes de tratamento devem adotar medidas de segurança, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Qualquer incidente envolvendo dados pessoais que possam acarretar em risco aos seus titulares deverão ser reportados à ANPD, assim como às próprias vítimas.
A comunicação deverá ser feita em tempo razoável, contendo a descrição da natureza dos dados pessoais afetados, as informações sobre os titulares envolvidos, a indicação das medidas técnicas e de segurança utilizadas, os riscos relacionados ao incidente, eventuais motivos da demora, no caso de a comunicação não ter sido imediata, bem como as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
Outro aspecto de relevo é o fluxo de dados para outros países, a chamada transferência internacional de dados, que somente será permitida para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais compatível com a lei brasileira ou mediante oferecimento de garantias do regime de proteção de dados local.
Serão 18 meses para adequação das empresas e os principais desafios que já surgem são:
a) nomeação de um encarregado
b) realização de uma auditoria de dados
c) elaboração de mapa de dados
d) revisão das políticas de segurança
e) revisão de contratos
f) elaboração de Relatório de Impacto de Privacidade
Com a nova Lei Geral de Proteção de Dados brasileira, todas as empresas de pequeno, médio e grande porte terão que investir em cibersegurança e implementar sistemas de compliance efetivos para prevenir, detectar e remediar violações de dados pessoais, notadamente porque a lei prevê que a adoção de política de boas práticas será considerada como critério atenuante das penas.
__________
*Henrique Somadossi Prado é sócio de Maia Sociedade de Advogados. Advogado especialista em Direito Empresarial pela Fundação Getúlio Vargas (FGV), atuante na área de Compliance e Gestão de Riscos.