Logo Imidiata Comunicação

Artigos / Março, 2020

LGPD – O que essa Lei muda nas empresas e como se adequar a ela

Você já ouviu falar sobre a Lei Geral de Proteção de Dados (LGPD)? Bem, se ainda não ouviu, é melhor ficar atento e entender o que ela é, como funcionará, como implicará nas empresas e quando entrará em vigor, afinal ela causará muitas mudanças em diversos segmentos de negócios.



Entendendo a importância dessa Lei para todos, que lidam com dados dos consumidores, trouxemos para colaborar conosco a Brogin Crepaldi Sociedade de Advogados, nossa incrível parceira, para explicar o que essa lei muda nas empresas e como se adequar a ela. Confira o artigo e fique por dentro de tudo sobre a LGPD.

A Lei Geral de Proteção de Dados (LGPD), Lei n. 13.709/18, que como o nome já diz trata da proteção de dados pessoais, entrará em vigor em 14 de agosto deste ano. De cunho totalmente revolucionário, a referida lei altera o status do Brasil no cenário mundial, igualando-o às grandes potências, a exemplo da Europa, no que tange à regulamentação e proteção de dados pessoais.

É revolucionária, porque gerará tanto impacto quanto trouxeram o Código de Defesa do Consumidor e a Consolidação das Leis do Trabalho, a CLT. Tamanha mudança será responsável por alterar o jeito de consumir, bem como os próprios produtos em si, o marketing, as relações sociais e até o lazer.

Conforme prevê o artigo primeiro da LGPD, a lei “dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade, de privacidade e o livre desenvolvimento da personalidade da pessoa natural”.

Dado pessoal é toda informação capaz de identificar ou possibilitar a identificação de uma pessoa natural. O cruzamento de dados pessoais, através da análise de comportamento em redes sociais e registros de acesso em aplicações e informações de geolocalização, por exemplo, pode traçar o perfil do indivíduo, seus gostos e interesses, direcionando um produto ou serviço, com alta possibilidade de conversão em venda ou contratação.

A monetização dos dados pessoais elevou o status dos “dados” ao de commodities, possibilitando modelos de negócios altamente rentáveis, com grande valor comercial e estratégico. Por esta razão em maio 2017, os dados foram taxados como o novo recurso mais valioso do mundo, superando o petróleo, uma vez que as cinco empresas globais mais valiosas lidam com dados, sendo elas Alphabet, Amazon, Apple, Facebook e Microsoft[1].

Vislumbrando a necessidade de proteger este bem da vida e direito fundamental garantido pela Constituição, cada vez mais explorado, é que nasceu a LGPD, que além de trazer direitos e deveres ainda criou a ANPD – Agência Nacional de Proteção de Dados, órgão responsável pela fiscalização da aplicação da LGPD.

A partir do conhecimento do objetivo da LGPD, passa-se a questionar como será feita e fiscalizada a proteção de dados abarcada. Aplicável a dados no mundo físico e digital, o que a difere do Marco Civil da Internet[2] é que a LGPD deve ser aplicada a pessoas físicas ou jurídicas, de direito público ou privado, que fazem o tratamento de dados pessoais.

Tratamento, segundo definição da própria lei, é “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”[3]. Assim, considera-se tratamento desde a coleta de dados até a sua eliminação.

Desta forma, o que se espera daquele que trata os dados é que este o faça nos moldes da lei, amparado em alguma das bases legais previstas, bem como mantenha o registro de todas as suas operações para comprovar a legalidade das escolhas. Isso implica dizer que o simples arquivamento de um dado pessoal, mesmo que não seja processado, precisará estar amparado por uma das bases legais previstas na Lei. Da mesma forma, o seu descarte também deverá ser feito na forma estabelecida na lei, a fim de evitar danos oriundos do descarte errôneo, como vazamentos, por exemplo.

Podemos resumir as bases legais permissivas para tratamento de dados como sendo:

- Consentimento do titular dos dados;

- Cumprimento de obrigação legal;

- Execução de políticas públicas;

- Estudos por órgãos de pesquisa;

- Execução de contrato/diligências pré-contratuais;

- Exercício regular de direitos;

- Proteção da vida;

- Tutela da saúde;

- Interesses legítimos do controlador/terceiro;

- Proteção ao crédito;

A partir disso, vê-se que a LGPD não atinge diretamente dados de pessoa jurídica, documentos sigilosos ou confidenciais, segredos e planos de negócio, algoritmos, softwares, entre outros documentos e informações que não sejam relacionadas a pessoa natural identificada ou identificável. É importante fazer esta ressalva, uma vez que a LGPD não veio para inviabilizar a atividade econômica no Brasil. Pelo contrário, através do desenvolvimento de uma economia digital confiante e segura, a intenção é alavancá-la.

Tal adequação atingirá diretamente o modus operandi das empresas e até mesmo de pessoas físicas que fazem tratamento de dados, desencadeando uma verdadeira mudança do mindset operacional, com consequente educação digital. A LGPD sugere que a privacidade e proteção de dados esteja presente desde a concepção do produto ou serviço, método conhecido como privacy by design, assim como os produtos ou serviços, quando ofertados, já o sejam com as suas configurações de privacidade em seu grau mais elevado (privacy by default).

A lei também prevê a obrigatoriedade de adoção de medidas para mitigar possíveis riscos de danos aos titulares de dados, como vazamentos, exigindo a sua comprovação, como investimentos em cybersegurança e desenvolvimento de políticas de segurança. A LGPD também prevê a necessidade de elaboração de relatório de impacto à privacidade para atividades de tratamento de dados pessoais, que possam gerar riscos. Será necessário também nomear um encarregado para a proteção de dados, que garanta o compliance, a exemplo do DPO – Data Protecion Officer, do Regulamento Geral de Proteção de Dados da Europa.

Até mesmo os contratos deverão ser adequados para deixar claro ao cliente a forma de tratamento de dados e sua total concordância com os procedimentos, sem cláusulas confusas e letras miúdas. O cliente, por sua vez, pode revogar a autorização para a utilização de seus dados ou autorizar o uso de apenas alguns deles, bem como pleitear, inclusive judicialmente, que seja explicitada toda forma de tratamento de seus dados para saber se está de acordo ou não.

Há, porém casos de exclusão de aplicação das regras previstas na LGPD, ou seja, situações de tratamento de dados, que não precisam de embasamento legal, quais sejam:

- Utilização de dados por pessoa física para fins exclusivamente particulares e não econômicos;

- Para utilização com fins exclusivamente jornalísticos e artísticos ou acadêmicos;

- Utilização de dados para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais;

- Os dados provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto na LGPD;

Em caso de violação das normas, as penalidades são administrativas, variando de advertência e multa de 2% do faturamento da pessoa jurídica até o limite de R$ 50.000.000,00 (cinquenta milhões de reais), por infração cometida.

A adequação às normas da LGPD se mostra um verdadeiro desafio, uma vez que a ANPD – Agência Nacional de Proteção de Dados ainda não trouxe regulamentação de como a lei funcionará na prática, bem como a sua fiscalização.

Contudo, já é possível implantar uma série de medidas capazes de adequar as atividades que tratam dados, posto que estamos na iminência da entrada em vigor da lei, que não prevê mais nenhum prazo de adequação.

É preciso começar. Procure por um profissional capacitado, pois a matéria é técnica e exige conhecimentos específicos no assunto. Cada atividade precisa desenvolver um plano único e personalizado de implementação da LGPD, não existindo fórmulas genéricas.

Ficou bem claro como funcionará a nova Lei Geral de Proteção de Dados, né? Bem, se você quer entender ainda mais a fundo sobre o tema, acesse o blog da Brogin Crepaldi, lá você encontra diversos artigos e até um e-book sobre o tema, não deixe de conferir.

 


[1] Disponível em https://www.economist.com/leaders/2017/05/06/the-worlds-most-valuable-resource-is-no-longer-oil-but-data, acesso em 23/09/2019.

[2] Lei n. 12.965, de 23 de abril de 2014, que regulamenta garantias, direitos e deveres para o uso da internet no Brasil.

[3] Art. 5º, X.