Atualizada às 11h22 de 18.09.20*
A Lei 13.709, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD) , criada ainda no governo Temer, entra em vigor nesta sexta, 18, com o objetivo de regulamentar o tratamento de dados pessoais de clientes e usuários por parte de empresas públicas e privadas.
Com isso, qualquer empresa que incluir em sua base informações de seus clientes, por mais básicas que sejam - como nome e e-mail - deve seguir os procedimentos previstos na nova lei. As empresas ou grupos que não cumprirem com as novas exigências estarão sujeitas a uma multa que pode chegar a até R$ 50 milhões. Elas terão até agosto do ano que vem para se adaptar. Até lá, só vão ser aplicadas advertências.
Como funciona o chamado tratamento de dados?
O tratamento de dados pode ser entendido como qualquer procedimento que envolva a utilização de dados pessoais, tais como a coleta, a classificação, a utilização, o processamento, o armazenamento, o compartilhamento, a transferência, a eliminação, entre outras ações.
Todo esse processo exige a presença de três figuras centrais que as empresas deverão conter em seu quadro profissional: o controlador, o operador e o encarregado. O controlador é quem toma as decisões sobre o tratamento dos dados e suas orientações são colocadas em prática pelo operador. Esses dois profissionais - controlador e operador - são os chamados agentes de tratamento. Por fim, há o encarregado, que tem a missão de fazer a "ponte" entre o controlador, a pessoa dona dos dados e a agência governamental responsável pela fiscalização da lei.
Quando a LGPD entra em vigor?
A lei está prevista para começar a vigorar em agosto de 2020, ou seja, dois anos depois de sua aprovação. Esse prazo foi dado para que as empresas tenham tempo suficiente para se estruturarem e conseguirem colocar em prática as novas exigências de proteção e transparência no tratamento das informações de seus clientes e usuários.
Como funciona a LGPD na Europa e quais as diferenças em relação à lei brasileira?
A União Europeia colocou em vigor no ano passado uma lei pioneira de proteção a dados pessoais e à privacidade. Os escândalos de vazamento e compartilhamento de dados sem consentimento dos titulares feitos por grandes empresas de tecnologia, como o Facebook, alavancou essa discussão entre legisladores europeus, que elaboraram e aprovaram a GDPR (sigla em inglês para Regulamento Geral de Proteção de Dados), como ficou conhecida a lei.
Uma espécie de atualização da lei de privacidade da União Europeia vigente desde 1995, a nova lei se fez necessária para observar a nova dinâmica do uso de dados na rede, com a consolidação de grandes empresas baseadas exclusivamente na internet. Ela foi criada com a finalidade de oferecer uma salvaguarda jurídica de controle e transparência aos cidadãos em relação ao uso de suas informações pessoais armazenadas nos bancos de dados das empresas, principalmente as de tecnologia.
Em tese, a GDPR é válida apenas para as empresas baseadas na Europa, que atuam no continente ou que utilizam dados de cidadãos europeus. No entanto, as grandes empresas de tecnologia têm estendido o cumprimento das exigências a todos os seus usuários, independentemente do país de origem.
Para o advogado especialista em direito cibernético e ex-diretor de polícia forense da Interpol na França, Paulo Quintiliano, com a Lei de Proteção de Dados o Brasil se coloca no mesmo nível dos países da Europa e dos EUA em relação ao combate do tratamento indevido de dados pessoais por empresas.
A principal diferença entre a lei brasileira e a GDPR, para Quintiliano, é o nível de detalhamento. "A nossa lei cobre todos os aspectos que a GDPR cobre, mas de uma forma menos detalhada. Talvez algumas questões terão que ser disciplinadas posteriormente, mas em termos de abrangência eu entendo que são equivalentes", afirma.
Que cuidados as empresas devem tomar após a LGPD entrar em vigor?
Para se enquadrar nas exigências da lei, as empresas terão que fazer investimentos para a implementação de uma estrutura e uma política interna de compliance digital acerca do tratamento de dados de seus clientes. Isso vale tanto para empresas do setor público como do setor privado.
A primeira ação a ser tomada é um diagnóstico da equipe de TI - da própria empresa ou terceirizada - com relatórios de análises de risco e de análises de impacto das novas exigências. Com isso, será possível verificar em qual estágio a empresa se encontra nesse sentido, quais são os pontos mais vulneráveis de seus sistemas e constatar quais são os maiores fatores de risco.
As empresas terão que ter, obrigatoriamente, em seu quadro de funcionários as figuras do controlador, do operador e do encarregado, responsáveis pelo tratamento de dados.
É recomendado também que as empresas criem um grupo ou comitê que atue exclusivamente na elaboração de políticas internas, metas e planos de gerenciamento de proteção de dados, assim como planos de emergência para gestão de crises envolvendo segurança e privacidade. É importante que membros da alta cúpula da empresa e com autonomia de decisão participem desse comitê, para que eventuais correções e aprimoramentos possam ser tomados de maneira ágil e eficiente.
Após essa estruturação de quadros e funcionários, é interessante que se crie uma cartilha de política interna com as diretrizes da empresa sobre esse assunto. Investir em programas de treinamento sobre a nova legislação e também sobre tratamento de dados é uma forma que as empresas têm para fortalecer essa nova política interna e ganhar pontos nesse novo cenário do mercado.
A empresa que descumprir a LGPD estará sujeita, além de outras penalidades previstas no texto, a uma multa de até 2% de seu faturamento, dependendo do grau e tipo de violação. O valor máximo da sanção é de R$ 50 milhões.
O que muda, na prática, com a nova Lei Geral de Proteção de Dados?
A principal premissa da lei é a proteção de dados e a garantia de um tratamento diferenciado de informações pessoais consideradas sensíveis. O texto da lei explicita quais informações são consideradas sensíveis: "sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico".
Basicamente, a lei coíbe o uso indiscriminado de dados pessoais informados por meio de cadastros e garante ao cidadão o direito de estar ciente sobre como será feito o tratamento de suas informações e para qual finalidade específica elas serão usadas. A lei determina que a empresa deve explicar ao proprietário da informação a razão pela qual vai usar algum dado seu e deve haver um consentimento prévio expresso da pessoa antes da utilização, assim como a transferência de informações para outras empresas.
"O cidadão passa a ter maior controle de fiscalização, com possibilidade de pedido de descarte de uma informação que é enviada à empresa, que tem que comprovar como que o dado é armazenado, onde é armazenado e qual é o nível de segurança pelo qual ele é armazenado", explica Coriolano Camargo, presidente da Digital Law Academy e advogado especialista em Direito Digital.
A lei também exige uma notável atenção das empresas quanto ao relacionamento com seus clientes ou usuários, uma vez que a nova legislação garante novos direitos para o cidadão exigir a devida proteção e privacidade de seus dados. As pessoas poderão exigir que uma empresa informe se possui algum dado seu, assim como exigir que a empresa apague todos os seus dados que estão armazenados ali.
Alguns especialistas apontam que a abrangência da lei para qualquer tipo de empresa pode causar uma dificuldade ou até mesmo inviabilizar o negócio de pequenas empresas. Há o argumento de que não se deve dar o mesmo tratamento e rigor a grandes empresas multibilionárias e pequenas empresas, como ONGs, consultórios médicos e escolas particulares, uma vez que os potenciais danos do uso indevido de dados pessoais por multinacionais e grandes empresas de tecnologia não pode ser comparado ao cadastro de alunos de uma escola particular, por exemplo.
Quem fiscalizará a Lei quando começar a vigorar?
Para zelar e fiscalizar o cumprimento da LGPD, elaborar diretrizes para a lei e aplicar as sanções previstas para as empresas - públicas ou privadas - que descumprirem as exigências foi criada a Autoridade Nacional de Proteção de Dados (ANPD).
O decreto 10.474 publicado pelo Presidente Jair Bolsonaro definiu a estrutura e o organograma da entidade, além das funções do Conselho Diretor e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD).
A agência reguladora será composta por um quadro técnico de 23 profissionais, sendo cinco deles membros do Conselho Diretor do órgão, que serão escolhidos e nomeados pelo presidente da República, após aprovação pelo Senado Federal, e ocuparão cargos comissionados. Inicialmente, serão deslocados para a entidade 36 servidores da Secretaria de Gestão da Secretaria Especial de Desburocratização, Gestão e Governo Digital, do Ministério da Economia.
A ANPD ficará subordinada diretamente à presidência da República nos dois primeiros anos de sua implementação e depois poderá transformada numa autarquia, com independência de atuação.
Os comentários são exclusivos para assinantes do Estadão.