Lei Estabelece Nova Cultura sobre o uso e a proteção de dados pessoais
Na tentativa de garantir um maior controle do cidadão brasileiro sobre as suas informações pessoais, em 14 de agosto de 2018, foi sancionada a Lei 13.709, a Lei Geral de Proteção de Dados, ou LGPD, que chegou para regulamentar o uso, proteção e transferência de dados pessoais no Brasil, exigindo das empresas que se adaptem às novas regras.
Conhecida como Lei Geral de Proteção de Dados (LGPD), referida norma vem regular a coleta e o tratamento de dados pessoais, inclusive por meios digitais, por pessoas naturais ou jurídicas de direito público ou privado, tendo como objetivo a proteção dos direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Em linhas gerais a LGPD brasileira segue as diretrizes e guarda grande semelhança com o Regulamento Geral sobre a Proteção de Dados (GPDR) – norma europeia que entrou em vigor em maio – tendo como objetivo a proteção de dados como um direito fundamental; a definição e a regulamentação do direito de consentimento ao uso dos dados pessoais; a incorporação de normas de prestação de contas e de fiscalização das empresas que manipulam os dados das pessoas; e a regulação do direito ao esquecimento.
O texto legal brasileiro também prevê a aplicação das regras mesmo para empresas sediadas no exterior, mas desde que a operação de tratamento dos dados tenha sido realizada no Brasil.
Alguns artigos da legislação, no entanto, foram vetados pelo presidente da República, o que foi alvo de polêmica. O primeiro deles dizia respeito à criação da Autoridade Nacional de Proteção de Dados (ANPD), vinculada ao Ministério da Justiça e com a função de fiscalizar o cumprimento das normas e aplicar sanções. A alegação é que a criação da agência é competência exclusiva da União. Mesmo argumento para vetar a implantação do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade.
Foram vetadas ainda a obrigatoriedade a publicidade de dados pessoais compartilhados com entidades públicas, a suspensão do funcionamento de banco de dados e a proibição do exercício de atividades em razão de infrações à lei.
A nova lei concede o prazo de 18 meses para que as empresas brasileiras criem mecanismos para implementação das novas regras. O primeiro passo para atingir a meta é estabelecer uma espécie de Comitê de Segurança da Informação para analisar os procedimentos internos, com um profissional voltado para a proteção de dados.
É preciso também, fazer um levantamento de situações a serem corrigidas para evitar riscos e a implementação das medidas necessárias para a proteção dos dados – incluindo segurança técnica e administrativa para evitar, combater ou minimizar ameaças sobre possíveis vulnerabilidades.
Além disso, as empresas agora deverão contar com um Encarregado de Proteção de Dados, que ficará responsável, dentre outras atividades, por criar a cultura de proteção de dados dentro das companhias e atuar como canal de comunicação entre o controlador – que é a pessoa a quem competem as decisões referentes ao tratamento dos dados pessoais – e os titulares dos referidos dados.
Vale lembrar que a nova legislação constitui verdadeiro incentivo às boas práticas e de governança ao prever que os controladores e os operadores de dados pessoais poderão, no âmbito de suas competências, formular regras que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
A não observância das obrigações trazidas pela nova Lei Geral de Proteção de Dados pode acarretar a penalização da empresa: advertência, multa (que pode chegar a 2% do faturamento do ano anterior, limitado a R$ 50 milhões), ou ainda, a proibição total ou parcial de atividades relacionadas ao tratamento de dados.
Em suma, a nova lei de proteção de dados brasileira traz mudanças impactantes, para empresas de todos os setores, exigindo que se crie, num curto período de tempo, uma nova cultura sobre o uso adequado e a proteção de dados pessoais.
Fernanda Araújo C. M. Nogueira * Advogada do JBL Advocacia e Consultoria
Acompanhe o site da Bitcointoyou para ficar de olho em Artigos como este.
