Lei que entrará em vigor em Agosto de 2020 para regulamentar o tratamento de dados pessoais por empresas.
Por: Fábio Silva | 08 de Outubro de 2019
A Lei 13.709, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), foi sanciona pelo então presidente Michel Temer em agosto de 2018 e entrará em vigor em agosto de 2020. Seu objetivo é regulamentar o tratamento de dados pessoais de clientes e usuários por parte de empresas públicas e privadas.
Com isso, a partir de 2020, qualquer empresa que incluir em sua base informações de seus clientes, por mais básicas que sejam – como nome e e-mail – deve seguir os procedimentos previstos na nova lei. As empresas ou grupos que não cumprirem com as novas exigências estarão sujeitas a uma multa que pode chegar a até R$ 50 milhões.
Como funciona o chamado tratamento de dados?
O tratamento de dados pode ser entendido como qualquer procedimento que envolva a utilização de dados pessoais, tais como a coleta, a classificação, a utilização, o processamento, o armazenamento, o compartilhamento, a transferência, a eliminação entre outras ações.
Todo esse processo exige a presença de três figuras centrais que as empresas deverão conter em seu quadro profissional: o controlador, o operador e o encarregado. O controlador é quem toma as decisões sobre o tratamento dos dados e suas orientações são colocadas em prática pelo operador. Esses dois profissionais, controlador e operador, são chamados agente de tratamento. Por fim, há o encarregado, que tem a missão de fazer a ponte entre o controlador, a pessoa dona dos dados e a agência governamental responsável pela fiscalização da lei.
Quando a LGPD entra em vigor?
A lei esta prevista para começar a vigorar em agosto de 2020, ou seja, dois anos depois de sua aprovação. Esse prazo foi dado para que as empresas tenham tempo suficiente para se estruturar e conseguirem colocar em prática as novas exigências de proteção e transparência no tratamento das informações de seus clientes e usuários.
Como funciona a LGPD na Europa e quais as diferenças em relação a lei brasileira?
A União Europeia colocou em vigor em 2018uma lei pioneira de proteção a dados pessoais e à privacidade. Es escândalos de vazamento e compartilhamento de dados sem consentimento dos titulares feitos por grandes empresas de tecnologia, como Facebook, alavancou essa discussão entre legisladores europeus, que elaboraram e aprovaram a GDPR (sigla em inglês para Regulamento Geral de Proteção de Dados), como ficou conhecida a lei.
Uma espécie de atualização da lei de privacidade da União Europeia vigente desde 1995, a nova lei se fez necessária para observar a nova dinâmica do uso de dados na rede, com a consolidação de grandes empresas baseadas exclusivamente na internet. Ela foi criada com a finalidade de oferecer uma salvaguarda jurídica de controle e transparência aos cidadãos em relação ao uso de suas informações pessoais armazenadas nos bancos de dados das empresas, principalmente as de tecnologia.
Em tese a GDPR é válida apenas para empresas baseadas na Europa, que atuam no continente ou que utilizam dados de cidadãos europeus. No entanto, as grandes empresas de tecnologia têm estendido o cumprimento das exigências a todos os seus usuários, independente do país de origem. A principal diferença entre a lei brasileira e a GDPR, é o nível de detalhamento.
Que cuidados as empresas devem tomar após a LGPD entrar em vigor?
Para se enquadrar nas exigências da lei, as empresas terão que fazer investimentos para a implementação de uma estrutura politica interna de compliance digital acerca do tratamento de dados de seus clientes. Isso vale tanto para empresas do setor público como do setor privado.
A primeira ação a ser tomada é um diagnóstico da equipe de TI, da sua empresa ou terceirizada, com relatórios de analise de risco e de analises de impacto das novas exigências. Com isso, será possível verificar em qual estágio a empresa se encontra nesse sentido, quais sãos os pontos mais vulneráveis de seus sistemas e constatar quais são os maiores fatores de risco.
As empresas terão que ter, obrigatoriamente, em seu quadro de funcionários as figuras de controlador, do operador e do encarregado, responsáveis pelo tratamento de dados.
É recomendado também que as empresas criem um grupo ou comitê que atue exclusivamente na elaboração de políticas internas, metas, planos de gerenciamento de proteção de dados, assim como planos de emergência para gestão de crises envolvendo segurança e privacidade. É importante que membros da alta cúpula da empresa e com autonomia de decisão participem desse comitê, para que eventuais correções e aprimoramentos possam ser tomados de maneira ágil e eficiente.
Após essa estruturação de quadros e funcionários, é interessante que se crie uma cartilha de política interna com as diretrizes da empresa sobre esse assunto. Investir em programas de treinamento sobre a nova legislação e também sobre o tratamento de dados é uma forma que as empresas têm para fortalecer essa nova política interna e ganhar pontos nesse novo cenário do mercado.
A empresa que descumprir a LGPD estará sujeita , além de outras penalidades previstas no texto, a uma multa de até 2% de seu faturamento, dependendo do grau e tipo de violação. O valor máximo da sanção é de R$ 50 milhões.
O que muda, na prática, com a nova Lei Geral de Proteção de Dados?
A principal premissa da lei é a proteção de dados e garantia de um tratamento diferenciado de informações pessoais consideradas sensíveis. O texto da lei explicita quais informações são consideradas sensíveis: “sobre origem racial ou étnica, convicção religiosa, opinião politica, dado referente à saúde ou à vida sexual, dado genético ou biométrico”.
Basicamente, a lei coíbe o uso indiscriminado de dados pessoais informados por meio de cadastros e garante ao cidadão o direito de estar ciente sobre como será feito o tratamento de suas informações e para qual finalidade específica elas serão usadas. A lei determina que a empresa deve explicar ao proprietário da informação a razão pela qual vai usar algum dado seu e deve haver um consentimento prévio expresso da pessoa antes da utilização, assim como transferência de informação para outras empresas.
Com isso, o cidadão passa a ter maior controle de fiscalização, com possibilidade de pedido de descarte de uma informação que é enviada à empresa, que tem que comprovar como o dado é armazenado, onde é armazenado.
A lei também exige uma notável atenção das empresas quanto ao direcionamento com seus clientes ou usuários, uma vez que a nova legislação garante novos direitos para o cidadão exigir a devida proteção e privacidade de seus dados. As pessoas poderão exigir que uma empresa informe se possui algum dados seu, assim como exigir que a empresa apague todos os seus dados que estão armazenados ali.
Alguns especialistas apontam que a abrangência da lei para qualquer tipo de empresa pode causar uma dificuldade ou até mesmo inviabilizar o negócio de pequenas empresas. Há o argumento de que não se deve dar o mesmo tratamento e rigor a grandes empresas multibilionária e pequenas empresas, como ONGs, consultórios médicos e escolas particulares, uma vez que os potenciais danos do uso indevido de dados pessoais por multinacionais e grandes empresas de tecnologia não pode ser comparado ao cadastro de alunos de uma escola particular, por exemplo.
Quem fiscalizará a Lei quando começar a vigorar?
Uma MP aprovada no dia 29 de maio no Senado e agora segue para uma sanção do presidente da República alterou a lei de 2018 a fim de determinar a criação da Autoridade Nacional de Proteção de Dados (ANPD). O órgão será responsável por zelar e fiscalizar o cumprimento da LGPD, elaborar diretrizes para a lei e aplicar as sanções previstas para as empresas, públicas ou privadas, descumprirem as exigências.
No texto original sancionado em 2018, o trecho que previa a criação do órgão regulador foi excluído por ter sido considerado inconstitucional, já que, de acordo com a constituição, o Legislativo não pode criar leis que gerem custos ao Executivo.
Com isso, criou-se uma nova movimentação no Congresso para que a instituição fosse criada por meio de uma MP (Medida Provisória)869/2018 foi discutida em comissão mista composta por deputados e senadores, foi aprovada no plenário da Câmara e, agora o texto segue para sanção presidencial.
A ANPD nada mais é que uma agência reguladora. A agência será composta por um quadro técnico de 23 profissionais, sendo cinco deles membros do Conselho Diretor do órgão, que serão escolhidos e nomeados pelo presidente da Republica, após a aprovação pelo Senado Federal, e a ocuparão cargos comissionados.
A ANPD ficará subordinada diretamente à presidência da Republica nos dois primeiros anos de sua implementação e depois será transformada numa autarquia, com independência de atuação.
