Você sabe como a Lei Geral de Proteção de Dados vai afetar sua empresa?

Vivemos numa era em que os nossos dados estão sendo coletados o tempo todo, pelos mais diversos meios possíveis. O Facebook sabe quem são seus amigos e no que você está pensando. O Instagram sabe onde você está comendo aquele hambúrguer bonito que sua namorada postou a foto e quem foi pro churrasco da firma no último final de ano. O Google sabe o que você procura, e muitas vezes sugere aquilo que você nem imaginava que queria pesquisar. A Receita Federal monitora tudo que você compra com seu cartão de crédito e se você poderia mesmo estar comprando isso.Apesar de os jornais concentrarem as manchetes nas grandes empresas multinacionais e no governo, eles não são os únicos que coletam dados pessoais. A farmácia da esquina, que coleta nome e CPF do cliente para lhe oferecer desconto, está coletando dados pessoais. O empreendedor que vende seus produtos em um site próprio e faz o cadastro do cliente para entrega do produto usa, para isso, de dados pessoais. A academia que oferece aula experimental de jiu jitsu e guarda o contato do aluno para oferecer-lhe aulas de boxe também está utilizando dados pessoais em seu negócio.Pensando nesse novo tipo de organização econômica baseada nos dados pessoais foi aprovada a Lei Geral de Proteção de Dados do Brasil (“LGPD”). A LGPD é fruto de um debate que se desenvolve entre especialista desde 2010, e visa criar um ambiente de regulação em que os dados pessoais e a privacidade dos brasileiros sejam protegidos, sem impedir a inovação econômica e os interesses das empresas.O conteúdo abaixo apresenta a lei de proteção dados, seu histórico e os seus principais pontos. Ainda, demonstraremos por que se adequar a LGPD pode ser não só o cumprimento de uma obrigação legal, mas um diferencial competitivo da sua empresa.

1- Definindo Termos

Antes de tratar especificamente do que dispõe a lei de privacidade de dados brasileira, vamos explicar alguns dos termos técnicos que envolvem a lei, para entender melhor o que ela quer dizer e assim poder se adequar às suas regras

• Dados Pessoais – São quaisquer tipos de dados que tornem uma pessoa identificável, ou seja, qualquer informação que permita a identificação de uma pessoa.

• Dados Sensíveis – São dados pessoais que se referem a temas sensíveis, tais como dados sobre raça, etnia, religião, opção sexual e opinião política, dentre outros, bem como dados referentes à saúde, o que inclui dados biométricos e genéticos.

• Base Legal – São as hipóteses em que se justifica o tratamento de dados pessoais em conformidade com a lei de proteção de dados. São 10 (dez) ao todo, com variados níveis de cabimento e diferentes usos, conforme o tipo de dado a ser tratado.

• Anonimização – É um tipo de processamento de dados que garante que, após o processo, eles não serão mais identificáveis por meio de métodos razoáveis. Se diferencia da Pseudonimização pois este último processo permite a identificação do titular dos dados, mediante o cruzamento com outros dados pertencentes a mesma base da dados.

• Titular dos dados – O titular é a pessoa a quem os dados fazem referência, ou seja a pessoa sobre quem aqueles dados tratam. Não pode ser confundido com o possuidor ou proprietário dos dados, que é a quem os dados foram cedidos pelo titular.

• Autoridade Nacional – O órgão encarregado de fiscalizar o cumprimento da LGPD, normatizar as regras de proteção de dados no país e impor as sanções adequadas em caso de descumprimento ou vazamento de dados.

2- O que é a LGPD

Aprovada em agosto de 2018, a nova lei de proteção de dados brasileira é o produto de um longo processo legislativo iniciado ainda em 2010. Sua tramitação sofreu impulsos e contratempos, conforme o tema da privacidade de dados gerava mais ou menos impacto na sociedade.O impulso final veio com a aprovação, em maio de 2018, da GDPR, a Regulação Geral de Proteção de Dados da União Europeia, que embasa a lei brasileira e traz standards gerais para o mercado internacional. Três meses depois, em agosto, foi aprovada a Lei nº 13.709, a Lei Geral de Proteção de Dados brasileira.A LGPD traz princípios e regras que buscam garantir um ambiente de negócios seguro e organizado, em que os direitos e deveres dos titulares de dados sejam conhecidos de antemão e respeitados pelos agentes de tratamento de dados.A nova lei de proteção de dados brasileira tem como um de seus objetivos principais a garantia do direito à privacidade e a proteção de dados dos cidadãos brasileiros e estrangeiros em território nacional.Para isso, a lei busca criar um ambiente regulatório com regras claras para as empresas, que permita uma transição fácil e segura, de forma que estar em conformidade com a lei de proteção de dados não se torne um custo para as empresas, mas um investimento. Essa perspectiva privilegia o desenvolvimento tecnológico e adota uma visão gerencial da empresa.Em outras palavras, uma empresa que não esteja em conformidade é como um armário desorganizado, no sentido de que existem várias roupas lá dentro, mas o mais comum é pegar as que estão em cima. A lei é como uma faxina obrigatória, pois vai custar algumas horas para arrumar o armário e se livrar das roupas que não servem mais, mas após o fim do processo vai ser possível fazer combinações de roupa inovadoras, que não eram visualizadas antes da faxina.

3- Pontos mais relevantes da LGPD

Nesse sentido, a lei de proteção de dados traz algumas normas que são especialmente relevantes para pequenas e médias empresas que fazem o tratamento de dados. Vamos fazer uma pequena explicação das principais dentre essas regras.

3.1 – A quem se aplica ?

Primeiro ponto relevante é saber em que casos a LGPD será aplicável. A LGPD se aplica sempre que dados pessoais de titulares localizados no Brasil sejam tratados, ou seja, mesmo empresas localizadas fora do Brasil devem respeitar a nova lei de privacidade de dados.Além disso, é importante ter em mente que dados que passem por um processo de  anonimização não estão dentro do escopo de aplicação da lei, uma vez que não permitem a identificação do titular. No entanto, o mesmo não é válido para dados pseudonimizados, por isso é importante ter certeza de que o processo é adequado, ou o tratamento realizado deverá estar em conformidade com a lei de proteção de dados.Por fim, ressaltamos que a Lei não se aplica apenas a dados online, mas também regula os dados offline.

3.2- Quando a lei entra em vigência ?

A vigência de uma lei significa a sua capacidade de produzir efeitos, ou seja, o momento em que as suas disposições devem ser obrigatoriamente seguidas e suas penas podem ser aplicadas.A LGPD entrará em vigor em agosto do ano que vem. Inicialmente previsto para fevereiro, o prazo foi alterado pela MP 689 para que os empresários tivessem tempo suficiente para se adequar às novas regrasImportante ressaltar, no entanto, que a Autoridade de Dados, que têm dirigentes apontados pelo Presidente da República, já pode atuar.

3.3- E a MP 869? O que ela tem a ver com a LGPD?

Aprovada no Congresso nacional em maio de 2019, a Medida Provisória trouxe importantes mudanças à lei de proteção de dados, de forma a tornar a adaptação da lei mais operacionalizável pelos empresários que atuam na realidade do mercado brasileiro.Ela foi necessária, também, para criar a Autoridade Nacional de Proteção de Dados, por uma questão formal, uma vez que o Congresso não poderia criar órgão autônomo, sendo necessário que isso seja feito pelo Executivo.

3.4 – Quando é possível tratar dados pessoais?

Em seu art. 7º, a LGPD enumera as situações em que o tratamento de dados pessoais é permitido.Nesse sentido, merecem destaque as seguintes hipóteses: 1) mediante consentimento do titular; 2) para cumprir obrigação legal ou regulatória; 3) quando necessária para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido deste; 4) quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, e 5) para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.Ademais, como exposto anteriormente, a norma distinguiu dados pessoais de dados sensíveis. Assim, também previu contextos diferentes para o tratamento destes, no art. 11.Os empresários poderão tratar informações consideradas sensíveis quando: 1) obtiverem expresso consentimento dos titulares, ou 2) quando, mesmo sem consentimento, o tratamento seja necessário para, dentre outras hipóteses:

• cumprimento de obrigação legal ou regulatória pelo controlador;

• exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;

• proteção da vida ou da incolumidade física do titular ou de terceiro;

• tutela da saúde, exclusivamente,  em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;

• garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.

Nesse contexto, é de extrema importância ressaltar que a empresa, para evitar problemas de adequação à lei, deve possuir meios eficazes de obter o consentimento de seus consumidores para o tratamento de seus dados, visto que, uma vez obtida a permissão do titular, é possível trabalhar livremente com base em informações pessoais e sensíveis.Diante disso, a lei de proteção de dados, em seu artigo 8º, impõe que o consentimento seja obtido por escrito ou por qualquer outro meio que demonstre a vontade do titular em fornecer seus dados, para fins determinados, dado que a lei proíbe expressamente autorizações genéricas.Pontua-se que, caso se opte pela primeira alternativa, deve haver uma cláusula em destaque para tratar da permissão, o que, se desobedecido, pode gerar a ilegalidade do consentimento.Outro ponto relevante trazido pela lei de dados pessoais se refere às informações obtidas de crianças e adolescentes. O tratamento, neste caso, só será possível mediante autorização de pelo menos um dos pais ou do responsável legal do menor, o qual, como informado acima, não pode ser genérico.Por fim, deve-se mencionar que o controlador e o operador dos dados devem, em todos os momentos, manter registro das operações de tratamento de dados pessoais que realizarem.

3.5 – Direitos do titular dos dados

A LGPD lista uma série de direitos que possui o consumidor que fornece espontaneamente seus dados às empresas, devendo estas ficar atentas ao cumprimento destas obrigações, a fim de evitar eventuais sanções administrativas e ações de responsabilidade civil.Com efeito, conforme art. 18 da lei de proteção de dados, a qualquer momento o titular das informações pode cobrar das empresas:

• confirmação da existência de tratamento;
• acesso aos dados;
• correção de dados incompletos, inexatos ou desatualizados;
• anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o
• disposto na LGPD;

• portabilidade dos dados a outro fornecedor de serviço ou produto;
• Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nos casos abordados abaixo;
• informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
• informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
• revogação do consentimento.

Em resposta aos direitos previstos nas duas primeiras situações listadas, o empresário deve estar apto a confirmação, ou não, em formato simplificado, se imediatamente, ou em declaração clara e completa, indicando a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular.Válido citar, também, a garantia de acesso facilitado a informações acerca do tratamento de seus dados, as quais, segundo o art. 9º da lei de proteção de dados, devem ser fornecidas contendo, dentre outros requisitos, a finalidade específica do tratamento; forma e duração do tratamento, observados os segredos comercial e industrial; identificação do controlador, e informações acerca do uso compartilhado de dados pelo controlador e a finalidade.Além destas prerrogativas, o titular tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, inclusive aquelas destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.Isso acarreta o dever de o empresário fornecer informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, podendo preservar seus segredos comerciais e industriais.Para concluir, a empresa controladora é obrigada, ainda, a comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante a este.

3.6 – Obrigações decorrentes do término do tratamento

O término do tratamento de dados é disciplinado pelos artigos 15 e 16 da LGPD.A norma determina que o término decorra: 1) do alcance da finalidade específica; 2) fim do período de tratamento; 3) por interesse do titular, desde que este o requeira; 4) por determinação da autoridade nacional.Nesse contexto, notório que as empresas não poderão manter os dados pessoais dos indivíduos indiscriminadamente, sendo obrigadas a eliminá-los em decorrência de qualquer das hipóteses acima.Com efeito, a lei estipula poucas exceções ao dever de apagar as informações colhidas de seus consumidores, como: cumprimento de obrigação legal, transferência a terceiros, se autorizado pelo titular, e uso exclusivo do controlador, desde que anonimizados.

4- Por que é importante se adequar?

Diante disso, lei nº 13.709/18, conhecida como Lei de Proteção de Dados Pessoais, mostra-se como uma grande inovação no ordenamento jurídico brasileiro, trazendo mudanças consideráveis, que exigirão um esforço das empresas e dos órgãos públicos para se adequar.Nessa perspectiva, é essencial expor os principais pontos que motivam a adequação.Primeiramente, os empresários que não respeitarem as determinações da norma poderão ser responsabilizados civil e administrativamente. De fato, tanto o titular dos dados poderá acionar o Poder Judiciário, pedindo indenização por danos materiais ou morais, como a autoridade nacional terá legitimidade para aplicar multas às empresas, as quais podem atingir valores vultosos.Ademais, a adequação à lei de dados pessoais pode implicar numa vantagem competitiva, oriunda, principalmente, de dois fatores: 1) corte de custos com ações judiciais e sanções administrativas, viabilizando que esse capital seja investido em melhorias para a sociedade, e 2) preferência de investidores por empresas adequadas às leis do país de origem, pois passam a ideia de segurança e transparência.Por todo o exposto, percebe-se que uma assessoria jurídica, prestada por um escritório capacitado, será de muita importância a todas as empresas que de qualquer forma colham dados de seus clientes, seja evitando ações judiciais, seja encontrando meios de fazer a LGPD funcionar a favor dos empresários.Caso tenha ficado alguma dúvida sobre lei de dados pessoais e seus possíveis impactos nas empresas e no mercado, entre em contato conosco!

LINKS RECOMENDADOS:

• Por que é tão importante falar sobre direito digital?
• Saiba como agir caso seja vítima de um Crime Virtual
• O que a auditoria jurídica pode fazer pela sua empresa?

Caso você tenha ficado com alguma dúvida ou exista interesse em saber mais detalhes, entra em contato com a gente! Teremos grande satisfação em conseguir te auxiliar.Para ter acesso a mais conteúdos, inscreva-se no nosso 🎬 Canal do Youtube e visite nosso perfil no  📸 Instagram, garantimos que você vai compreender o Direito com informação de qualidade e uma pitada de bom humor.🎧 Ouça ainda os episódios do Podcast JusTaPop, a sua conexão com o #DireitoDescomplicado.