Vamos admitir: não conseguimos mais viver sem tecnologia. Amamos o celular, trabalhamos até tarde no laptop, usamos aplicativo para pedir comida, assistimos a filmes pelo streaming, compramos coisas pela internet. E sempre que fazemos algumas das atividades citadas, oferecemos uma coisa muito importante: nossos dados, informações sobre quem somos, sobre nossos hábitos, sobre nossas vidas.
Obviamente, essa relação tão íntima com o movimento tecnológico começou a criar novas necessidades legais — e certamente a mais discutida deste momento é a Lei Geral de Proteção de Dados (LGPD). Você compreende o que esta lei implica? Sabe exatamente quais dados ela protege? Que tipo de obrigações ela cria entre usuário e empresas? As perguntas são muitas — e vamos tentar oferecer algumas respostas; portanto, se você ainda não buscou saber um pouco mais sobre a LGPD, este é um bom momento para fazê-lo.
Por que a Lei Geral de Proteção de Dados Pessoais é tão importante?
A Lei Geral de Proteção de Dados é o primeiro passo na criação de uma legislação específica voltada à proteção de informações do usuário da internet no Brasil. Devemos lembrar que, embora a tecnologia já seja muito presente em nossas vidas há uns bons anos, a legislação brasileira até então tem sido muito vaga em questões relacionadas a dados pessoais e à privacidade no meio digital — pois embora nossas leis tradicionais já contemplem o direito à intimidade e ao sigilo nas comunicações, todas foram criadas bem anteriormente à existência deste cenário tecnológico que nos é tão familiar, e por causa disso abordam o assunto de forma muito inespecífica.
A Lei Geral de Proteção de Dados (Lei nº 13.709 de 14 de agosto de 2018) começou a vigorar em dezembro de 2018, porém, até então, apenas parcialmente e limitada a alguns artigos.
Apenas neste ano de 2020, mais especificamente no mês de agosto, é que houve sua vigência completa. A LGPD contém dez capítulos e 65 artigos, os quais determinam a maneira como dados pessoais podem ser coletados e tratados no Brasil, especialmente no que diz respeito aos meios digitais (porém não limitados a eles).
A LGPD estabelece uma série de regras
A LGPD estabelece uma série de regras que as organizações atuantes no Brasil vão precisar seguir, de modo que agora, nós, os usuários, teremos mais controle sobre o tratamento concedido aos nossos dados pessoais (“dados pessoais”, neste caso, são definidos como “informação relacionada à pessoa natural identificada ou identificável”.
São aquelas informações que, isoladas ou em conjunto, são capazes de levar à identificação de um indivíduo. Exemplos: nome, apelido, endereço residencial, e-mail, endereço de IP, fotografias, formulários cadastrais, números de documentos etc).
Alguns pontos mais importantes da LGPD
- Todas as organizações públicas e privadas só poderão coletar dados pessoais se tiverem consentimento do titular. A solicitação deverá ser feita de maneira transparente, para que o cidadão saiba exatamente qual informação estará sendo coletada, para quais fins e se haverá algum tipo de compartilhamento desta.
- Em caso menores de idade, os dados só poderão ser tratados com o consentimento dos responsáveis legais.
- Caso haja mudança de finalidade ou repasse de dados a terceiros, a empresa deverá solicitar um novo consentimento.
- Sempre que desejar, o usuário poderá revogar sua autorização, bem como pedir a exclusão, portabilidade ou modificações dos dados.
- A lei também prevê o tratamento sobre uma categoria intitulada “dados sensíveis”, ou seja, aqueles que abordam informações extremamente particulares, tais como crenças religiosas, posicionamento político, características físicas, condições de saúde e vida sexual. O uso desses dados será mais restritivo e a lei preverá punições caso eles sejam utilizados para fins discriminatórios.
- As regras, no entanto, não valerão para dados pessoais tratados para fins acadêmicos, artísticos ou jornalísticos, bem como para aqueles que envolverem segurança pública, defesa nacional, proteção da vida e políticas governamentais.
- Sempre que quaisquer dados não mais forem necessários, a organização será obrigada a apagá-los, exceto se houver obrigação legal ou outra razão justificável para a preservação dos mesmos.
De modo geral, a ideia da LGPD é criar segurança jurídica, proteger o cidadão de um possível uso abusivo e indiscriminado de seus dados pessoais. As organizações só poderão solicitar os dados caso estes sejam realmente necessários ao fim proposto — e o usuário também poderá questionar se a exigência de algum dado lhe parecer exagerada ou abusiva.
Vazamentos acidentais e descumprimentos
Sempre que houver vazamentos acidentais ou problemas de segurança que comprometam os dados pessoais de um usuário, estes deverão ser relatados às autoridades competentes em tempo hábil. Cada caso será avaliado isoladamente e a partir daí as autoridades determinarão os passos subsequentes, tal como a necessidade de divulgação do caso à imprensa, por exemplo (como nos casos que envolvam a segurança geral das pessoas, como um atentado).
Já a punição em caso de descumprimento da lei vai depender da gravidade da situação. Se comprovada a infração, a empresa ou organização responsável poderá receber desde advertências até uma multa equivalente a 2% de seu faturamento (porém limitada ao valor máximo de 50 milhões da UFIR). A empresa ou organização também poderá ter todas as suas atividades ligadas ao tratamento de dados suspensa (total ou parcialmente), além de responder judicialmente a outras violações previstas em lei, se pertinente.
A proposta vale para operações de tratamento de dados realizados no Brasil ou em outro país, desde que a coleta de dados seja realizada em território brasileiro. Ou seja: se o Facebook coletar dados de um usuário em território brasileiro, terá de seguir a legislação brasileira (mesmo que os dados sejam processados nos EUA). A empresa pode até transferir os dados para uma filial ou sede estrangeira, com a condição de que o país de destino também tenha leis abrangentes de proteção de dados ou que possa garantir mecanismos de tratamento equivalentes àqueles exigidos aqui no Brasil.
Quem vai fiscalizar?
Uma medida provisória determinou a criação da ANPD – Autoridade Nacional de Proteção de Dados (ANPD), uma autarquia ligada ao Ministério da Justiça para editar normas, fiscalizar e aplicar sanções em caso de descumprimento da LGPDP. De acordo com a Agência Senado, a Comissão da Infraestrutura (CI) já aprovou as indicações de cinco nomes para compor a diretoria; dentre eles, três militares.
É importante lembrar que essas indicações ainda são o primeiro passo para a implementação efetiva da ANPD. O órgão ainda necessita constituir uma corregedoria, ouvidoria, assessoramento jurídico e o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade.
O líder do governo no Congresso Nacional, senador Eduardo Gomes (MDB-TO), reforçou que a nova Lei Geral de Proteção de Dados Pessoais (Lei 13.709, de 2018) e a ANPD “são oportunidades de criar um ambiente melhor para a convivência cidadã na internet”.
E como fica minha empresa?
Se você é gestor, provavelmente deve estar pensando em como sua empresa vai ter de lidar como assunto para não ferir os princípios da LGPD.
É recomendável que cada organização, seja ela da iniciativa púbica ou privada, precise nomear um setor para cuidar do tratamento de seus dados. É importante que haja a administração de riscos e falhas, que a base da gestão de dados pessoais seja regida por normas de governança, que adote medidas preventivas de segurança e replique as boas práticas e certificações existentes no mercado.
Deve-se também haver auditorias regulares e um bom plano de contingência para solucionar incidentes com agilidade, principalmente em caso de vazamento acidental de dados. É importante frisar que todos os agentes de tratamento estão sujeitos à lei, o que significa que tanto as organizações quanto suas subcontratadas envolvidas no tratamento de dados devem responder em conjunto por quaisquer danos causados.
LGPD: estratégica de marketing
Devido a toda a exigência de uma estrutura específica para tratamento de dados, é provável que as empresas de pequeno e médio porte venham a sofrer sob a necessidade de tanto investimento. No entanto, lei é lei. Todo mundo vai ter de se preparar.
É possível até que a LGPD venha a se tornar uma estratégica de marketing também, afinal, a empresa que melhor souber lidar com os dados de seus clientes e evitar incidentes, ganhará mais confiança no mercado.
Embora seja cedo e ainda não estejamos totalmente ciente dos impactos diretos da Lei nº 13.709, a Verde Ghaia já se preocupa com todas as questões legais referentes ao tratamento de dados pessoais e pode oferecer as melhores soluções em gestão empresarial, auxiliando sua organização em questões de governança e compliance.
Conheça um pouco mais sobre a LIRA para Controle de legislação da Segurança da Informação. Entenda melhor o processo para implementar o sistema e identificar quais as vantagens ele traz para sua organização.
