Foram oito anos de discussão em nosso País até se chegar à aprovação da Lei Geral de Proteção de Dados (LGPD), inspirada na GDPR, que foi sancionada em 14 de agosto de 2018. Aprovada em regime de urgência, por conta do mesmo incidente ocorrido com os dados de usuários do Facebook, a lei brasileira entra em vigor em 2021. A LGPD, assim como a GDPR, visa garantir maior controle dos cidadãos sobre suas informações pessoais.

A LGPD estabelece regras específicas para a obtenção do consentimento, que poderá ser nulo caso se trate de uma autorização genérica ou se baseado em informações com conteúdo enganoso ou abusivo. O tratamento de dados pessoais apontados como públicos deve considerar a finalidade originária, a boa-fé e o interesse público que justificaram a disponibilização de tais dados

A LGPD se aplica qualquer operação de tratamento de dados pessoais realizada por pessoa física ou jurídica de direito público ou privado, que (i) seja realizada no Brasil; (ii) tenha por objetivo a oferta ou fornecimento de bens ou serviços ou o tratamento de dados pessoais de indivíduos localizados no território nacional; ou (iii) envolva dados pessoais coletados no Brasil, independentemente do meio, do país de sede da pessoa jurídica ou do país onde estejam localizados os dados.

ALGUNS IMPACTOS DA LGPD

A LGPD trará impactos bastante significativos na economia, resultando em profundas transformações nos modelos de negócios existentes de todas as empresas que atuam com tratamento (coleta) de dados pessoais.

A Lei deverá impactar atividades de instituições financeiras, hotéis, agências de turismo, hospitais, planos de saúde, farmácias, restaurantes, varejistas, universidades, provedores de serviços de internet, prestadores de serviços de telecomunicações, empresas de tecnologia, provedores de serviços de computação em nuvem, agências de publicidade, escritórios de advocacia, órgãos públicos e dentre outras.

DEPARTAMENTOS DA SUA EMPRESA QUE PODEM SER ATINGIDOS

Todos os departamentos das empresas usualmente tratam dados pessoais: RH; Logística; Marketing; Análise de Dados; Desenvolvimento de Software e TI; Jurídico; Compliance, apenas para citar alguns exemplos

O tratamento de dados pessoais somente poderá ser realizado se estiver em conformidade com uma das bases legais previstas na Lei.

QUANDO A LEI PASSA A VALER NO BRASIL?

Lei que regulamenta o tratamento de dados pessoais por empresas entra em vigor em agosto de 2020. A Lei 13.709, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD).

COMO SE ADEQUAR A LEI?

Para se adequar, as empresas precisarão de criatividade e atenção. Será necessário  identificar e realizar o inventário de dados pessoais, incluindo sua classificação, informações sobre quem controla, quem processa e como são transferidos; avaliar o nível de proteção de dados de todos os envolvidos, sejam próprios ou de terceiros; definir e implantar soluções, políticas e governança de dados em toda a organização e, por fim, controlar e auditar continuamente o nível de proteção, avaliando constantemente possíveis vazamentos internamente e externamente.

QUAIS PROVIDÊNCIAS MINHA EMPRESA DEVE TOMAR?

• Revisar e adequar as políticas (internas e em relação a terceiros), contratos, procedimentos e demais atividades que envolvam tratamento de dados pessoais (tanto de clientes quanto de empregados) aos princípios estabelecidos na LGPD.

• Manter registros, preferencialmente por escrito, que demonstrem a adoção de medidas para adequação das operações de tratamento aos princípios estabelecidos na LGPD, independentemente do tamanho da base de dados existente.
• Manter registro e fundamentação das operações de tratamento de dados pessoais, especialmente quando baseado no interesse legítimo.

QUAIS SÃO AS PENALIDADES?

• Advertência, com indicação de prazo para a adoção de medidas corretivas;
• Multa de até 2% do faturamento da empresa, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitadas, no total a R$ 50.000.000,00 por infração;
• Multa diária, observado o limite total acima indicado;
• Publicização da infração após devidamente apurada e confirmada;
• Bloqueio de dados pessoais a que se refere a infração até sua regularização;
• Eliminação dos dados pessoais a que se refere a infração.

QUAIS AS RESPONSABILIDADES?

• O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
• O operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador;
• Os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente.
• Aquele que reparar o dano ao titular tem direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso.
• Os agentes de tratamento só não serão responsabilizados quando provarem: que não realizaram o tratamento de dados pessoais que lhes é atribuído; não houve violação à legislação de proteção de dados; ou que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiros.
• O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais: o modo pelo qual é realizado; o resultado e os riscos que razoavelmente dele se esperam; as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.
• Os agentes de tratamento só não serão responsabilizados quando provarem: que não realizaram o tratamento de dados pessoais que lhes é atribuído; não houve violação à legislação de proteção de dados; ou que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiros.

 QUANDO SERÁ IRREGULAR O TRATAMENTO DOS DADOS?

 O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais: o modo pelo qual é realizado; o resultado e os riscos que razoavelmente dele se esperam; as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.

 QUAL A NOVA VISÃO QUE SUA EMPRESA TERÁ DOS NOVOS NEGÓCIOS?

 Procurar um parceiro confiável para implementar soluções de negócios que ajudem no cumprimento das obrigações da Lei Geral de Proteção de Dados facilitará a vida das empresas, trazendo a possibilidade de gerenciar a segurança dos dados, a adequação de formulários, as permissões de acesso, a rastreabilidade do sistema e outros requisitos técnicos e legais.

Os avanços tecnológicos e as novas regulações de proteção de dados criam um contexto mais exigente quanto ao gerenciamento de segurança – e o desafio de adaptar seus processos, profissionais e ferramentas.