A lei e regulação geral de proteção de dados pessoais - LGPD/GDPR. Oportunidades e impactos sob as atividades que utilizam dados pessoais
Estar em conformidade com as legislações de proteção de dados é poupar capital, evitando multas e danos reputacionais, tornando possível direcioná-lo ao desenvolvimento do negócio.
quarta-feira, 17 de julho de 2019
Atualizado em 16 de julho de 2019 16:57
A lei de proteção de dados Brasileira - LGPD, dispõe sobre a proteção de dados pessoais e altera o marco civil da internet. A nova legislação traz alguns princípios que regem a utilização de dados, quais sejam, responsabilização e prestação de contas, finalidade legítima, adequação, necessidade, prevenção, não discriminação e livre acesso, em evidente semelhança com algumas das Key Issues propostas pela General Data Protection Regulation - GDPR europeia, quais sejam, Privacy Impact Assessment, Processing, Records of Processing Activities, Right of Access e Right to be Forgotten, Right to be Informed.
A lei geral é aplicável à Indústria, comércio, serviço e regulamenta o tratamento de dados pessoais de toda natureza (digitais ou não), seguindo premissas da citada Regulação de Proteção de Dados Europeia (GDPR/RGPD), acompanhando tendências mundiais, a fim de Proteger Direitos Fundamentais, que no Brasil são aqueles previstos no art. 5° da Constituição Federal e na Europa estão previstos na Carta dos Direitos Fundamentais da União Europeia.
Vale ressaltar que, caso haja coleta de dados de pessoas nacionais da União Europeia ou com dupla nacionalidade, sendo uma delas europeia, aquele que coletar, seja controlador ou processador, estará sujeito à ambas legislações (LGPD/GDPR - RGPD).
Entenda melhor sobre a lei Geral de Proteção de dados através desta breve vídeo aula, de minha autoria (6 minutos).
1. As mudanças propostas pelas regulamentações de dados pessoais
As regulamentações, tanto europeia quanto brasileira pregam mudanças de gestão, implementação de processos rigorosos para receber, tratar, conservar e eliminar dados privados e, no Brasil, inovou unificando cerca de 40 normas a respeito desse tema. No Brasil, a lei entrará em vigor em agosto de 2020, com vacatio legis, que é o tempo de adequação a lei, de 2 anos, devido à complexidade de se adaptar á nova realidade, enquanto na união europeia a regulação de dados pessoais está vigente desde 25 de maio de 2018. Confira abaixo o detalhamento dos princípios da proteção de dados:
A LGPD definiu que a responsabilidade por quaisquer ocorrências com os dados captados é objetiva, ou seja, independe da comprovação de culpa, uma vez que considera a atividade que envolve tratamento dados de risco. Diante disso, fato é que os dados apresentam influencia grande na economia, na relação de consumo, na política, em face à intimidade das pessoas, causando consequências em diversos aspectos da vida humana, motivos pelos quais a os ordenamentos jurídicos Brasileiro do Continente Europeu buscaram regular tal atividade, e, portanto, as organizações que não estiverem em conformidade em ambos os territórios quando da vigência das regulamentações poderão enfrentar multas pesadas.
Para respeitar as premissas estipuladas pelas regulamentações e evitar os severos danos e prejuízos, é necessário haver um programa de proteção de dados, que deve entregar comprovação periódica da eficácia, segurança e responsabilidade sobre as medidas tomadas para proteger os dados.
As sanções administrativas existentes são, advertência, publicidade da infração, com consequente prejuízo reputacional, bloqueio dos dados pessoais, eliminação dos dados pessoais, multa simples/multa diária de até 2% (dois por cento) do faturamento da empresa no seu último ano exercício, limitada a cinquenta milhões de reais, por infração, em território Brasileiro.
No caso da Europa, a multa máxima que a autoridade supervisora pode impor é de ? 20.000.000 ou 4% do volume global de negócios da empresa, com um mínimo de ? 20.000.000, prevalecendo o que for maior, segundo o Parlamento Europeu (2016) em sua regulação de dados. Veja abaixo as sanções administrativas com maior detalhe:
Apesar de todos os pontos de risco apresentados, a LGPD em seu artigo 7° aponta permissivos e condições para tratar dados, tais como, quando houver consentimento do titular dos dados, envolver obrigação legal/regulatória, exercício regular de um direito, proteção à saúde e proteção ao crédito. Veja abaixo:
1. Questionamentos que surgiram com as novas regulamentações
Toda essa inovação traz à tona alguns questionamentos, entretanto, devem ser respondidos com brevidade, diante da iminência do tema na Europa e a proximidade da vigência no Brasil, em agosto de 2020. Dentre as questões, algumas são:
1. Como as responsabilidades serão atribuídas na prática e como a Autoridade Nacional de Dados Pessoais (órgão responsável pelo tema dados pessoais) atuará? O que esperar?
2. Como proceder em relação aos dados do passado, anteriores à vigência da lei?
3. Como tratar o direito à portabilidade dos dados entre plataformas sem prejudicar a segurança?
4. Como excluir de forma correta os dados a pedido do titular, respeitando o direito ao esquecimento e resguardar a iniciativa de eventuais processos judiciais sobre esse tema?
Essas são perguntas ainda sem resposta definitiva, uma vez que pela novidade do assunto não existe uma "receita" para os desafios que surgiram e estão a surgir. De todo modo, essas e outras questões criarão desafios e oportunidade, e, portanto, merecem reflexão e solução breve.
2. Implementando medidas para o compliance com a proteção de dados
Diante do panorama exposto, é fundamental que haja um programa de proteção de dados efetivo para garantir o compliance de dados e proteger os controladores de dados, processadores e titulares.
Para que o referido programa tenha início e efetividade, é necessário identificar os dados recebidos e suas fontes, filtrar o que de fato é necessário, em respeito ao principio do legitimo interesse, definir como receber, armazenar, eliminar os dados, criar métodos de transparência para os titulares averiguarem suas informações coletadas, avaliar qual a tecnologia necessária para os procedimentos e garantir segurança nas operações.
Esse processo é possível através da ferramenta chamada Avaliação de Impacto de Proteção de Dados - AIPD (Data Protection Impact Assessment - DPIA), que está prevista no Artigo 35 da RGPD/GDPR, através da qual é possível aplicar o princípio da privacidade desde a concepção (by Design) idealizado por Ann Cavoukian (2011), o qual consiste em encarar a privacidade como modo de operação padrão do negócio, evitando violações de privacidade dos dados pessoais.
É importante que a AIPD seja realizada antes da captação dos dados pessoais para tratamento e sempre que as situações de risco se modificarem. Além disso, é importante observar a necessidade da AIPD quando da utilização de novas tecnologias para processamento de dados, bem como quando esse puder resultar num risco elevado para os direitos e liberdades dos titulares. Confira abaixo a sugestão de passo a passo para a implementar um programa de proteção de dados:
Para garantir a privacidade e proteção de dados nas organizações, é necessário treinamentos aos envolvidos no processo dos dados e a existência do Data Protection Officer - DPO, segundo a GDPR/RGPD e Encarregado de Dados segundo a LGPD, que é o responsável pela gestão dos dados e exerce um papel de canal de comunicação entre a instituição, os titulares de dados e a Autoridade Nacional, podendo esse ser pessoa jurídica ou física, com relevante conhecimento jurídico.
Importante destacar as figuras do Controlador de dados e Operador/Processador à luz da LGPD e GDPR/RGPD. O Controlador é aquele que toma decisões face ao tratamento de dados, mesmo que não atue em primeira pessoa com o tratamento, e, noutro lado, há o Operador, o qual trata os dados em nome do Controlador, estando ambos sujeitos à responsabilidade solidária pelas ocorrências com os dados pessoais, nos termos da lei.
1. Conclusão:
Diante de todas as reflexões, o pensamento que fica é de que se uma empresa depende de dados, primar pela proteção destes é conservar a viabilidade de todos os esforços empreendidos, além de possibilitar expansão do negócio para outros continentes com segurança, como união europeia, respeitando a GDPR, nesse caso.
Assim, é possível concluir que estar em conformidade com as legislações de proteção de dados é poupar capital, evitando multas e danos reputacionais, tornando possível direcioná-lo ao desenvolvimento do negócio, sendo essa uma vantagem competitiva junto face aos demais Players do mercado, garantindo a energia do trabalho no foco do empreendimento, demonstrando aos envolvidos com a iniciativa, sejam clientes, fornecedores ou poder público, a integridade face à proteção e privacidade de dados.
___________________
Brazil. (5 de Outrubro de 1988). CONSTITUIÇÃO DA REPÚBLICA FEDERATIVA DO BRASIL DE 1988. Acesso em 20 de Junho de 2019, disponível aqui e aqui.
Brazil. (14 de Agosto de 2018). LEI Nº 13.709 - Dispõe sobre a proteção de dados pessoais e altera a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet). Acesso em 20 de Junho de 2019, disponível aqui e aqui.
Cavoukian, A. (2011). Privacy by design in law, policy and practice: a white paper for regulators, decision-makers and policy-makers. . (O. Information and Privacy Commissioner, Editor) Acesso em 20 de Junho de 2019.
Parlamento Europeu. (07 de Dezembro de 2000). Carta dos Direitos Fundamentais da União Europeia . (J. O. Europeia, Editor) Acesso em 20 de Junho de 2019, disponível aqui.
Parlamento Europeu. (27 de Abril de 2016). REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO
Fonte: aqui.
___________________
*Yuri Rodrigues Ladeia é advogado, atua/estuda os temas de proteção de dados, Direito Tributário e Direito do Consumidor. É presidente da comissão de Direito Tributário e Proteção de Dados da OAB 197ª subseção da OAB/MG, membro do Núcleo de Estudos Tributários da PUC Minas e possui canal no YouTube chamado Entender Direito.