Recentes escândalos envolvendo o vazamento de dados no Facebook levaram muitos países a agilizarem a promulgação de leis que visam à proteção dos dados pessoais. Um caso muito famoso foi o do fornecimento de informações de milhares de usuários à Cambridge Analytica, empresa da Grã-Bretanha especializada em marketing político através de Big Data.
Depois que a União Europeia publicou, no mês de maio de 2018, o GDRP (Regulamento Geral de Proteção de Dados da União Europeia), o senado brasileiro aprovou o PLC 53/18 (Projeto de Lei da Câmara nº 35, de 2018), consolidando assim a Lei Geral de Proteção de Dados (LGPD), sancionada em agosto de 2018 (Lei nº 13.709/2018).
Você sabe do que se trata? Continue a leitura e entenda melhor sobre o que é LGPD!
A LGPD
A Lei Geral de Proteção de Dados modifica a Lei nº 12.965/2014, que é o Marco Civil da Internet. Ela define a proteção e o tratamento dos dados pessoais, mas sofreu alguns vetos do então presidente Michel Temer.
Desde já é conveniente assinalar que a disciplina vem para regulamentar as atividades de todas as organizações, públicas ou privadas, que tratam de dados pessoais de usuários coletados em meios físicos ou digitais.
A legislação começará a ter efeitos jurídicos em casos concretos a partir de agosto de 2020, dando tempo para que as empresas se adaptem às mudanças necessárias. Levando-se em conta esse pequeno período de vacatio legis (a vacância de lei, ou melhor, o prazo para uma que uma lei entre em vigor), a disciplina passará a vigorar em todo o território brasileiro.
Com essa lei, o Brasil fica na lista dos mais de 100 países que podem ser classificados como habilitados para a proteção de dados, seja em relação ao uso, seja em relação à privacidade.
A LGPD determina uma regulamentação para a utilização, proteção e a transferência de dados pessoais no país, seja no setor público, seja no setor privado. Conforme a regulamentação, dado pessoal é qualquer informação que sirva para identificar diretamente uma determinada pessoa ou tratamento, ou possa torná-los identificáveis de forma indireta. Algumas operações típicas que envolvem dados são: coleta, uso, acesso, transmissão, armazenamento, arquivamento, processamento e transferência.
A lei define com clareza quem está envolvido e quais são suas atribuições e responsabilidades. Também estabelece as penalidades para quem descumprir as regras, com multas que podem alcançar os 50 milhões de reais por cada infração.
Os princípios e os direitos da LGPD
A nova disciplina se fundamenta nos direitos fundamentais de liberdade e privacidade, entre os quais o desenvolvimento econômico e tecnológico do Brasil e a livre iniciativa.
Entre os princípios que ela defende, destacam-se:
- o da transparência para a utilização de dados pessoais e sua respectiva responsabilização;
- o da adequação, que significa a compatibilidade do uso de dados pessoais com os objetivos informados;
- o de privacy by design, ou seja, o da proteção do usuário em toda a arquitetura da empresa;
- o da finalidade, segundo o qual os dados só podem ser usados conforme as finalidades para as quais eles foram coletados e armazenados, sendo antecipadamente informados aos titulares;
- o da necessidade, que restringe a utilização dos dados ao mínimo necessário para que seja possível alcançar a finalidade almejada (os dados devem ser eliminados depois que a finalidade foi alcançada).
A necessidade de consentimento
Com a nova legislação, toda operação de tratamento de dados pessoais efetuada no território brasileiro, por pessoa física ou por pessoa jurídica de direito público ou privado, na qual os titulares residam e estejam no país, requer o consentimento expresso deles.
Isso vale para as operações cujos objetivos sejam a oferta de serviços e produtos no Brasil. O titular deve expressar seu consentimento de forma livre e inequívoca, revelando que está de acordo com o tratamento de seus dados para a finalidade específica.
Não são permitidas autorizações genéricas, ficando proibido o ato se o titular não houver expressado seu consentimento.
A LGDP fornece diferentes condições para a validade do consentimento. Por exemplo, as informações sobre o tratamento de dados devem ser bem acessíveis ao usuário, como: finalidades; identificação e dados de contato do controlador; uso compartilhado; forma e duração; responsabilidades dos agentes que realizarão a operação e outras coisas).
De modo similar, a modificação da finalidade (a finalidade não corresponde à ideia original), bem como a remoção do consentimento devem ser oferecidos de graça.
Mas vale dizer que, de acordo com o art. 7º da LGDP, o consentimento se mostra como uma das dez hipóteses disponíveis para o uso de dados pessoais. Será admissível, por exemplo, tratar dados pessoais para a execução de um contrato, por obrigações legais ou diligências pré-contratuais, mesmo sem a autorização do titular. Também será possível armazenar dados para o exercício regular do direito, a fim de se proteger em casos de eventuais ações judiciais.
A anonimização e a portabilidade de dados
O processo de anonimização também é previsto na lei, podendo ser aplicado para dispensar o titular da necessidade de dar seu consentimento em relação às operações que serão efetuadas com seus dados. A anonimização é uma técnica que não aceita a possibilidade de associação do titular sem a possibilidade de reversão.
O usuário também faz jus à portabilidade de dados, o que lhe dá o direito de pedir que as informações (como segredos industriais e de negócios) sejam enviadas a outros controladores. Esse procedimento envolve ajustes nas ações dos diferentes agentes econômicos a fim de padronizar as trocas e, ao mesmo tempo, cumprir o que determina o regulamento.
As obrigações das empresas
Os Agentes de Tratamento devem manter o registro de todas as operações realizadas sobre os dados, que resulta do princípio de prestação de contas da legislação. Para cumprir tal obrigação, as empresas, por meio dos respectivos agentes, têm que redigir o Relatório de Impacto à Proteção de Dados Pessoais.
Esse relatório descreve os tipos de dados coletados, a razão da coleta, os métodos aplicados para coletar e garantir a segurança dos dados e a análise do controlador em relação aos processos adotados para mitigação de riscos.
Por isso, é importante implementar sistemas confiáveis de segurança da informação, os quais permitam decisões automatizadas.
Além disso, as empresas têm que nomear o DPO (em português, Encarregado da Proteção de Dados), cuja principal função é monitorar e disseminar as práticas mais adequadas de proteção aos dados entre os funcionários e contratados pela empresa. O DPO também interage com a ANPD (Associação Nacional de Proteção aos Dados), que ainda será criada. Qualquer risco que envolva a segurança dos titulares dos dados deve ser informado à ANPD e às vítimas.
A comunicação deve acontecer em tempo razoável, descrevendo o tipo de dados que foram afetados, os titulares deles, as medidas de segurança tomadas, as possíveis razões da demora se não notificado o incidente em tempo hábil. Também é importante explicar que medidas serão usadas para reverter os prejuízos.
Em relação à transferência de dados internacional, só será permitida para países internacionais que promovam graus de proteção de dados que sejam compatíveis com a LGDP. Ou o outro país deverá oferecer garantias de seu sistema de proteção.
Os desafios das empresas
Enfim, dentro do período de vacância da lei, as empresas terão que encarar desafios como:
- nomear um encarregado;
- efetuar uma auditoria de dados;
- elaborar um mapa de dados;
- revisar políticas de segurança;
- revisar contratos;
- elaborar o Relatório de Impacto de Privacidade.
A Lei Geral de Proteção de Dados otimizará a segurança das informações manipuladas pelas empresas, o que será bom para o negócio e para a sociedade em geral.
Agora que já sabe o que é LGDP, compartilhe este post para que outros também tirem suas dúvidas.
Comentários