Você sabe como a Lei de Proteção de Dados vai afetar sua empresa?

Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no linkedin
Compartilhar no email
Leitura de 14 min

Vivemos numa era em que os nossos dados estão sendo coletados o tempo todo, pelos mais diversos meios possíveis. O Facebook sabe quem são seus amigos e no que você está pensando.

O Instagram sabe onde você está comendo aquele hambúrguer bonito que sua namorada postou a foto e quem foi pro churrasco da firma no último final de ano. O Google sabe o que você procura, e muitas vezes sugere aquilo que você nem imaginava que queria pesquisar. A Receita Federal monitora tudo que você compra com seu cartão de crédito e se você poderia mesmo estar comprando isso.

Apesar de os jornais concentrarem as manchetes nas grandes empresas multinacionais e no governo, eles não são os únicos que coletam dados pessoais. A farmácia da esquina, que coleta nome e CPF do cliente para lhe oferecer desconto, está coletando dados pessoais. O empreendedor que vende seus produtos em um site próprio e faz o cadastro do cliente para entrega do produto usa, para isso, de dados pessoais. A academia que oferece aula experimental de jiu jitsu e guarda o contato do aluno para oferecer-lhe aulas de boxe também está utilizando dados pessoais em seu negócio.

Pensando nesse novo tipo de organização econômica baseada nos dados pessoais foi aprovada a Lei Geral de Proteção de Dados do Brasil (“LGPD”). A LGPD é fruto de um debate que se desenvolve entre especialista desde 2010, e visa criar um ambiente de regulação em que os dados pessoais e a privacidade dos brasileiros sejam protegidos, sem impedir a inovação econômica e os interesses das empresas.

O conteúdo abaixo apresenta a lei de proteção dados, seu histórico e os seus principais pontos. Ainda, demonstraremos por que se adequar a LGPD pode ser não só o cumprimento de uma obrigação legal, mas um diferencial competitivo da sua empresa.

1- Definindo Termos

Antes de tratar especificamente do que dispõe a lei de privacidade de dados brasileira, vamos explicar alguns dos termos técnicos que envolvem a lei, para entender melhor o que ela quer dizer e assim poder se adequar às suas regras

  • Dados Pessoais – São quaisquer tipos de dados que tornem uma pessoa identificável, ou seja, qualquer informação que permita a identificação de uma pessoa.

 

  • Dados Sensíveis – São dados pessoais que se referem a temas sensíveis, tais como dados sobre raça, etnia, religião, opção sexual e opinião política, dentre outros, bem como dados referentes à saúde, o que inclui dados biométricos e genéticos.

 

  • Base Legal – São as hipóteses em que se justifica o tratamento de dados pessoais em conformidade com a lei de proteção de dados. São 10 (dez) ao todo, com variados níveis de cabimento e diferentes usos, conforme o tipo de dado a ser tratado.

 

  • Anonimização – É um tipo de processamento de dados que garante que, após o processo, eles não serão mais identificáveis por meio de métodos razoáveis. Se diferencia da Pseudonimização pois este último processo permite a identificação do titular dos dados, mediante o cruzamento com outros dados pertencentes a mesma base da dados.

 

  • Titular dos dados – O titular é a pessoa a quem os dados fazem referência, ou seja a pessoa sobre quem aqueles dados tratam. Não pode ser confundido com o possuidor ou proprietário dos dados, que é a quem os dados foram cedidos pelo titular.

 

  • Autoridade Nacional – O órgão encarregado de fiscalizar o cumprimento da LGPD, normatizar as regras de proteção de dados no país e impor as sanções adequadas em caso de descumprimento ou vazamento de dados.

2- O que é a LGPD

Aprovada em agosto de 2018, a nova lei de proteção de dados brasileira é o produto de um longo processo legislativo iniciado ainda em 2010. Sua tramitação sofreu impulsos e contratempos, conforme o tema da privacidade de dados gerava mais ou menos impacto na sociedade.

O impulso final veio com a aprovação, em maio de 2018, da GDPR, a Regulação Geral de Proteção de Dados da União Europeia, que embasa a lei brasileira e traz standards gerais para o mercado internacional. Três meses depois, em agosto, foi aprovada a Lei nº 13.709, a Lei Geral de Proteção de Dados brasileira.

A LGPD traz princípios e regras que buscam garantir um ambiente de negócios seguro e organizado, em que os direitos e deveres dos titulares de dados sejam conhecidos de antemão e respeitados pelos agentes de tratamento de dados.

A nova lei de proteção de dados brasileira tem como um de seus objetivos principais a garantia do direito à privacidade e a proteção de dados dos cidadãos brasileiros e estrangeiros em território nacional.

Para isso, a lei busca criar um ambiente regulatório com regras claras para as empresas, que permita uma transição fácil e segura, de forma que estar em conformidade com a lei de proteção de dados não se torne um custo para as empresas, mas um investimento. Essa perspectiva privilegia o desenvolvimento tecnológico e adota uma visão gerencial da empresa.

Em outras palavras, uma empresa que não esteja em conformidade é como um armário desorganizado, no sentido de que existem várias roupas lá dentro, mas o mais comum é pegar as que estão em cima. A lei é como uma faxina obrigatória, pois vai custar algumas horas para arrumar o armário e se livrar das roupas que não servem mais, mas após o fim do processo vai ser possível fazer combinações de roupa inovadoras, que não eram visualizadas antes da faxina.

3- Pontos mais relevantes da LGPD

Nesse sentido, a lei de proteção de dados traz algumas normas que são especialmente relevantes para pequenas e médias empresas que fazem o tratamento de dados. Vamos fazer uma pequena explicação das principais dentre essas regras.

3.1 – A quem se aplica ?

Primeiro ponto relevante é saber em que casos a LGPD será aplicável. A LGPD se aplica sempre que dados pessoais de titulares localizados no Brasil sejam tratados, ou seja, mesmo empresas localizadas fora do Brasil devem respeitar a nova lei de privacidade de dados.

Além disso, é importante ter em mente que dados que passem por um processo de  anonimização não estão dentro do escopo de aplicação da lei, uma vez que não permitem a identificação do titular. No entanto, o mesmo não é válido para dados pseudonimizados, por isso é importante ter certeza de que o processo é adequado, ou o tratamento realizado deverá estar em conformidade com a lei de proteção de dados.

Por fim, ressaltamos que a Lei não se aplica apenas a dados online, mas também regula os dados offline.

3.2- Quando a lei entra em vigência ?

A vigência de uma lei significa a sua capacidade de produzir efeitos, ou seja, o momento em que as suas disposições devem ser obrigatoriamente seguidas e suas penas podem ser aplicadas.

A LGPD entrará em vigor em agosto do ano que vem. Inicialmente previsto para fevereiro, o prazo foi alterado pela MP 689 para que os empresários tivessem tempo suficiente para se adequar às novas regras

Importante ressaltar, no entanto, que a Autoridade de Dados, que têm dirigentes apontados pelo Presidente da República, já pode atuar.

3.3- E a MP 869? O que ela tem a ver com a LGPD?

Aprovada no Congresso nacional em maio de 2019, a Medida Provisória trouxe importantes mudanças à lei de proteção de dados, de forma a tornar a adaptação da lei mais operacionalizável pelos empresários que atuam na realidade do mercado brasileiro.

Ela foi necessária, também, para criar a Autoridade Nacional de Proteção de Dados, por uma questão formal, uma vez que o Congresso não poderia criar órgão autônomo, sendo necessário que isso seja feito pelo Executivo.

3.4 – Quando é possível tratar dados pessoais?

Em seu art. 7º, a LGPD enumera as situações em que o tratamento de dados pessoais é permitido.

Nesse sentido, merecem destaque as seguintes hipóteses: 1) mediante consentimento do titular; 2) para cumprir obrigação legal ou regulatória; 3) quando necessária para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido deste; 4) quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, e 5) para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Ademais, como exposto anteriormente, a norma distinguiu dados pessoais de dados sensíveis. Assim, também previu contextos diferentes para o tratamento destes, no art. 11.

Os empresários poderão tratar informações consideradas sensíveis quando: 1) obtiverem expresso consentimento dos titulares, ou 2) quando, mesmo sem consentimento, o tratamento seja necessário para, dentre outras hipóteses:

  • cumprimento de obrigação legal ou regulatória pelo controlador;

 

  • exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;

 

  • proteção da vida ou da incolumidade física do titular ou de terceiro;

 

  • tutela da saúde, exclusivamente,  em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;

 

  • garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.

Nesse contexto, é de extrema importância ressaltar que a empresa, para evitar problemas de adequação à lei, deve possuir meios eficazes de obter o consentimento de seus consumidores para o tratamento de seus dados, visto que, uma vez obtida a permissão do titular, é possível trabalhar livremente com base em informações pessoais e sensíveis.

Diante disso, a lei de proteção de dados, em seu artigo 8º, impõe que o consentimento seja obtido por escrito ou por qualquer outro meio que demonstre a vontade do titular em fornecer seus dados, para fins determinados, dado que a lei proíbe expressamente autorizações genéricas.

Pontua-se que, caso se opte pela primeira alternativa, deve haver uma cláusula em destaque para tratar da permissão, o que, se desobedecido, pode gerar a ilegalidade do consentimento.

Outro ponto relevante trazido pela lei de dados pessoais se refere às informações obtidas de crianças e adolescentes. O tratamento, neste caso, só será possível mediante autorização de pelo menos um dos pais ou do responsável legal do menor, o qual, como informado acima, não pode ser genérico.

Por fim, deve-se mencionar que o controlador e o operador dos dados devem, em todos os momentos, manter registro das operações de tratamento de dados pessoais que realizarem.

3.5 – Direitos do titular dos dados

A LGPD lista uma série de direitos que possui o consumidor que fornece espontaneamente seus dados às empresas, devendo estas ficar atentas ao cumprimento destas obrigações, a fim de evitar eventuais sanções administrativas e ações de responsabilidade civil.

Com efeito, conforme art. 18 da lei de proteção de dados, a qualquer momento o titular das informações pode cobrar das empresas:

  • confirmação da existência de tratamento;
  • acesso aos dados;
  • correção de dados incompletos, inexatos ou desatualizados;
  • anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o
  • disposto na LGPD;
  • portabilidade dos dados a outro fornecedor de serviço ou produto;
  • Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nos casos abordados abaixo;
  • informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
  • informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
  • revogação do consentimento.

Em resposta aos direitos previstos nas duas primeiras situações listadas, o empresário deve estar apto a confirmação, ou não, em formato simplificado, se imediatamente, ou em declaração clara e completa, indicando a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular.

Válido citar, também, a garantia de acesso facilitado a informações acerca do tratamento de seus dados, as quais, segundo o art. 9º da lei de proteção de dados, devem ser fornecidas contendo, dentre outros requisitos, a finalidade específica do tratamento; forma e duração do tratamento, observados os segredos comercial e industrial; identificação do controlador, e informações acerca do uso compartilhado de dados pelo controlador e a finalidade.

Além destas prerrogativas, o titular tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, inclusive aquelas destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.

Isso acarreta o dever de o empresário fornecer informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, podendo preservar seus segredos comerciais e industriais.

Para concluir, a empresa controladora é obrigada, ainda, a comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante a este.

3.6 – Obrigações decorrentes do término do tratamento

O término do tratamento de dados é disciplinado pelos artigos 15 e 16 da LGPD.

A norma determina que o término decorra: 1) do alcance da finalidade específica; 2) fim do período de tratamento; 3) por interesse do titular, desde que este o requeira; 4) por determinação da autoridade nacional.

Nesse contexto, notório que as empresas não poderão manter os dados pessoais dos indivíduos indiscriminadamente, sendo obrigadas a eliminá-los em decorrência de qualquer das hipóteses acima.

Com efeito, a lei estipula poucas exceções ao dever de apagar as informações colhidas de seus consumidores, como: cumprimento de obrigação legal, transferência a terceiros, se autorizado pelo titular, e uso exclusivo do controlador, desde que anonimizados.

4- Por que é importante se adequar?

Diante disso, lei nº 13.709/18, conhecida como Lei de Proteção de Dados Pessoais, mostra-se como uma grande inovação no ordenamento jurídico brasileiro, trazendo mudanças consideráveis, que exigirão um esforço das empresas e dos órgãos públicos para se adequar.

Nessa perspectiva, é essencial expor os principais pontos que motivam a adequação.

Primeiramente, os empresários que não respeitarem as determinações da norma poderão ser responsabilizados civil e administrativamente. De fato, tanto o titular dos dados poderá acionar o Poder Judiciário, pedindo indenização por danos materiais ou morais, como a autoridade nacional terá legitimidade para aplicar multas às empresas, as quais podem atingir valores vultosos.

Ademais, a adequação à lei de dados pessoais pode implicar numa vantagem competitiva, oriunda, principalmente, de dois fatores: 1) corte de custos com ações judiciais e sanções administrativas, viabilizando que esse capital seja investido em melhorias para a sociedade, e 2) preferência de investidores por empresas adequadas às leis do país de origem, pois passam a ideia de segurança e transparência.

Por todo o exposto, percebe-se que uma assessoria jurídica, prestada por um escritório capacitado, será de muita importância a todas as empresas que de qualquer forma colham dados de seus clientes, seja evitando ações judiciais, seja encontrando meios de fazer a LGPD funcionar a favor dos empresários.

Caso tenha ficado alguma dúvida sobre lei de dados pessoais e seus possíveis impactos nas empresas e no mercado, entre em contato conosco!

LINKS RECOMENDADOS:

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *