A lei está baseada
nos direitos fundamentais de liberdade e de privacidade, como a livre iniciativa
e o desenvolvimento econômico e tecnológico do país
O cotidiano das empresas está prestes a
sofrer novo marco regulatório que as impactará como poucas leis antes fizeram. É
o que promete a Lei Geral de Proteção de Dados ou simplesmente LGPD (lei 13.709/18),
sancionada em 13/8/18 pela Presidência da República.
Os recentes escândalos de vazamento de dados
da rede social Facebook – o mais famoso com o fornecimento de informações de
milhares de usuários para a empresa britânica de big data e marketing político
Cambridge Analytica – levaram diversos países a apressarem leis de proteção de
informações pessoais.
Depois de a União Europeia publicar, em maio,
seu Regulamento Geral de Proteção de Dados da União Europeia (GDPR), o Senado
Federal rapidamente aprovou, no dia 10 de julho de 2018, o PLC 53/18
consolidando-se assim como a Lei Geral de Proteção de Dados brasileira (LGPD).
A sanção da lei 13.709/18, que altera a lei 12.965,
de 2014 (o Marco Civil da Internet) e que estabelece a lei brasileira de
proteção e tratamento de dados pessoais ocorreu com vetos pelo presidente
Michel Temer.
A nova lei começa a vigorar daqui a 18 meses,
período em que o governo, empresas e a sociedade poderão realizar as devidas
adaptações. Com o período de vacatio legis, em fevereiro de 2020 a lei passará
a ter eficácia plena em todo território nacional.
A promulgação da lei coloca o Brasil no rol
de mais de 100 países que hoje podem ser considerados adequados para proteger a
privacidade e o uso de dados.
A LGPD cria uma regulamentação para o uso, proteção
e transferência de dados pessoais no Brasil, nos âmbitos privado e público, e
estabelece de modo claro quem são as figuras envolvidas e quais são suas
atribuições, responsabilidades e penalidades no âmbito civil – que podem chegar
a multa de 50 milhões de reais por incidente.
A lei está baseada nos direitos fundamentais
de liberdade e de privacidade, como a livre iniciativa e o desenvolvimento
econômico e tecnológico do país.
Dentre seus princípios, tem especial
relevância o da transparência para o uso de dados pessoais e a respectiva
responsabilização, o da adequação, ou seja, a compatibilização do uso dos dados
pessoais com as finalidades informadas, da proteção do usuário em toda
arquitetura do negócio (privacy by design), da finalidade, segundo o qual os
dados só devem ser utilizados para as finalidades específicas para as quais
foram coletados e previamente informados aos seus titulares, e também do
princípio da necessidade, que significa limitar o uso dos dados ao mínimo necessário
para que se possa atingir a finalidade pretendida, do qual surge ainda a
indispensável exclusão imediata de dados, após atingida tal finalidade.
A regulamentação define como dado pessoal
qualquer informação que identifique diretamente ou torne identificável uma
pessoa natural e tratamento, como toda operação realizada com dados pessoais, tais
como a coleta, utilização, acesso, transmissão, processamento, arquivamento, armazenamento,
transferência etc.
Qualquer operação de tratamento de dados
pessoais realizada no território nacional, por pessoa natural ou pessoa
jurídica de direito público ou privado, cujos titulares estejam localizados no
Brasil, ou que tenha por finalidade a oferta de produtos ou serviços no Brasil,
estão sujeitos á LGPD, que passa a exigir o consentimento expresso do usuário
para esta operação.
O consentimento deve ocorrer por
manifestação livre, informada e inequívoca do titular, expressando sua
concordância com o tratamento de seus dados pessoais para uma finalidade
determinada, não sendo admitidas autorizações genéricas, sendo vedado o
tratamento, caso a autorização tenha sido obtida mediante vício de
consentimento.
As únicas exceções à aplicação da lei são as
hipóteses de tratamento de dados pessoais realizado por pessoa natural para
fins exclusivamente particulares e não econômicos, além daqueles realizados
exclusivamente para fins (i) jornalístico, artístico ou acadêmico (neste caso, não
se dispensa o consentimento), (ii) de segurança pública, defesa nacional, segurança
do Estado ou atividades de investigação e repressão de infrações penais ou (iii)
dados em trânsito, ou seja, aqueles que não tem como destino Agentes de
Tratamento no Brasil.
A lei criou os chamados Agentes de Tratamento
de dados pessoais – nas figuras do Controlador e do Operador – que podem ser
uma pessoa natural ou jurídica, de direito público ou privado. Ao primeiro (controlador)
competem as decisões referentes ao tratamento de dados pessoais, enquanto ao
segundo (operador), a realização do tratamento em nome do primeiro.
Foi definida também a figura do Encarregado,
que também na condição de pessoa natural ou jurídica, de direito público ou
privado, atuará como canal de comunicação entre o Controlador e os titulares de
dados pessoais e a Autoridade Nacional de Proteção de Dados (ANPD).
A criação da ANPD, órgão da administração
pública indireta que ficará responsável por zelar, implementar e fiscalizar o
cumprimento da LGPD, aliás, foi vetada pelo Poder Executivo, pois implicaria em
inconstitucionalidade do processo legislativo por trazer vício de iniciativa (a
criação teria que partir do Executivo Federal). Mas o presidente já sinalizou
que concorda no mérito com a criação do órgão, e que enviará um projeto de lei
para essa finalidade.
Os direitos dos usuários receberam capítulo
próprio no texto legal, valendo destacar o direito de acesso, que lhes garante
a possibilidade de obtenção, mediante requisição, junto aos controladores, de
todos os dados pessoais que estão sendo tratados, e como consequência disso, os
direitos de retificação e atualização, haja vista a obrigação dos agentes de
mantê-los sempre corretos e atualizados.
No que tange ao consentimento, a lei traz
vários requisitos para sua validade. As informações sobre o tratamento de dados
(finalidades, forma e duração, identificação do controlador e seus dados de
contato, informações sobre uso compartilhado, responsabilidades dos agentes que
farão o tratamento), devem ser de fácil acesso ao usuário. De igual modo, o
procedimento de retirada ou revogação do consentimento e a mudança de
finalidade (finalidade não compatível com a original) devem ser gratuitos e
facilitados.
A utilização do processo de anonimização (técnica
que afasta a possibilidade de associação ao indivíduo sem possibilidade de
reversão) é uma alternativa que vem prevista na LGPD que pode ser utilizada
para dispensar o consentimento do titular dos dados pessoais objeto de
tratamento.
Não menos importante é o direito de
portabilidade dos dados, que permite ao titular solicitar que seus dados (resguardados
segredos industriais e de negócio) para encaminhá-los a outros controladores, o
que implicará na necessidade de ajustes nos diversos agentes econômicos de modo
a padronizar estas trocas para que seja possível atender satisfatoriamente a
regra estabelecida.
Em relação aos Agentes de Tratamento, a
principal obrigação que se estabeleceu foi a de manter registros de todas as
operações de tratamento, decorrência do princípio de prestação de contas
incorporado pela LGPD.
Para o cumprimento desta obrigação, as
empresas deverão, através de seus agentes de tratamento, elaborar Relatório de
Impacto à Proteção de Dados Pessoais, contendo, no mínimo, a descrição dos
tipos de dados coletados, o fundamento da coleta e a metodologia utilizada para
a coleta e para a garantia da segurança das informações e a análise do
controlador com relação as medidas, salvaguardas e mecanismos de mitigação de
risco adotados, no que resulta na importância de se estruturar sistemas de
segurança da informação confiáveis que permitam decisões automatizadas nos
negócios.
Cabe as empresas também nomear seu
Encarregado de Proteção de Dados (DPO – Data Protection Officer), que terá como
principal atividade o monitoramento e disseminação das boas práticas em relação
à proteção de dados pessoais perante funcionários e contratados no âmbito da
empresa, bem como a interface com a Autoridade Nacional de Proteção de Dados (ANPD),
a ser criada posteriormente.
Os agentes de tratamento devem adotar
medidas de segurança, aptas a proteger os dados pessoais de acessos não
autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração,
comunicação ou qualquer forma de tratamento inadequado ou ilícito. Qualquer
incidente envolvendo dados pessoais que possam acarretar em risco aos seus
titulares deverão ser reportados à ANPD, assim como às próprias vítimas.
A comunicação deverá ser feita em tempo
razoável, contendo a descrição da natureza dos dados pessoais afetados, as
informações sobre os titulares envolvidos, a indicação das medidas técnicas e
de segurança utilizadas, os riscos relacionados ao incidente, eventuais motivos
da demora, no caso de a comunicação não ter sido imediata, bem como as medidas
que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
Outro aspecto de relevo é o fluxo de dados
para outros países, a chamada transferência internacional de dados, que somente
será permitida para países ou organismos internacionais que proporcionem grau
de proteção de dados pessoais compatível com a lei brasileira ou mediante
oferecimento de garantias do regime de proteção de dados local.
Serão 18 meses para adequação das empresas e
os principais desafios que já surgem são:
a)
nomeação de um encarregado
b)
realização de uma auditoria de dados
c)
elaboração de mapa de dados
d)
revisão das políticas de segurança
e) revisão de contratos
f)
elaboração de Relatório de Impacto de Privacidade
Com a nova Lei Geral de Proteção de Dados brasileira, todas as empresas de pequeno, médio e grande porte terão que investir em cibersegurança e implementar sistemas de compliance efetivos para prevenir, detectar e remediar violações de dados pessoais, notadamente porque a lei prevê que a adoção de política de boas práticas será considerada como critério atenuante das penas.
Por Henrique Somadossi
Fonte Migalhas
