A lei nº 13.709/2018, mais conhecida como Lei geral de proteção de dados e especialmente pela sigla ‘LGPD’ – está em vigor desde o dia 18 de setembro de 2020 – tem o objetivo de regulamentar o tratamento de dados pessoais que circulem em território nacional, sendo que o tratamento dos dados pode acontecer na forma física ou digital. Por tratamento entendam qualquer tipo de utilização das informações: coleta, acesso, reprodução, armazenamento, processamento, edição, etc.
Dados pessoais são aqueles que permitem identificar de maneira direta ou indireta um indivíduo vivo: nome, RG, CPF, gênero, data de nascimento e afins. A lei também classifica como dados pessoais o endereço de IP do usuário, assim como cookies e informações sobre o hábito de consumo vinculado aos perfis online, já que existem softwares que registram o histórico de buscas, por exemplo.
Além disso, ganham proteção específica e mais severa os dados sensíveis, que exigem ainda mais cuidado em sua manipulação, já que representam conteúdo sobre crianças e adolescentes, materiais que revelam origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, questões genéticas, sobre saúde ou vida sexual de uma pessoa.
A falta de conhecimento a respeito da lei tem causado pânico (que até se justifica em razão de sua complexidade) e também a divulgação de notícias equivocadas que mais confundem do que orientam os passos a serem seguidos para adequação das empresas.
Assim, conhecer a lei é o passo inicial para o processo de adequação, possibilitando assim assertividade nas medidas que serão tomadas, evitando assim o desperdício na contratação de serviços desnecessários.
Vale mencionar que a lei é multidisciplinar sendo que o papel do advogado conhecedor do assunto é importante no direcionamento das medidas de adequação que deverão contar com o envolvimento e conhecimento de diversas áreas da empresa como Projetos, RH, Tecnologia da Informação, Compliance, entre outras conforme a estrutura do detentor dos dados pessoais, que poderá ser uma empresa pública, privada ou pessoa física.
Especialmente em relação aos ramos do direito, diversas áreas de atuação serão importantes tendo em vista que a destinação dos dados é um dos itens essenciais para se definir a necessidade de coleta de dados, a obrigatoriedade de consentimento do titular e a forma que deverão ser tratados.
Apesar das notícias focarem nas relações de consumos eletrônicos, todo tipo de dado pessoal deverá ser submetido à lei. E ainda que o possuidor dos dados possa ser uma pessoa física, imaginando os dados pessoais que trafegam em uma empresa, destacamos alguns para ilustrar o tema:
– Dados armazenados física ou digitalmente,
– Dados de consumidores/clientes/pacientes,
– Dados dos empregados/contratados/terceirizados,
– Dados compartilhados com outros fornecedores da cadeia de tratamento,
– Dados compartilhados com parceiros comerciais.
Algumas empresas que já possuam boas práticas implementadas ou que estejam submetidas a regras de outros países, já que a possiblidade de tráfego eletrônico de dados, mitiga a existência das fronteiras, certamente estarão em grau mais avançado de adequação à lei brasileira.
No caso da GDPR (lei de proteção de dados da União Europeia) na qual a lei brasileira foi fortemente inspirada, organizações do mundo todo estarão sujeitas à lei, caso façam a coleta de dados de cidadãos europeus.
Portanto, fica claro que a Lei Geral de Proteção de Dados trará mudanças, mas essas irão variar de empresa para empresa, de acordo com o grau de governança, regras de compliance e relacionamento com países estrangeiros que estas empresas possuírem, sendo que em linhas gerais o processo de adequação deverá considerar os seguintes passos:
- Conhecimento. A empresa precisa conhecer/entender a lei. Não há efetividade plena na terceirização deste assunto, especialmente porque se trata de um processo vivo e contínuo em que a implantação dependerá do conhecimento da sistemática anteriormente utilizada e deverá continuar em prática de forma permanente. As empresas precisarão criar meios de informar às pessoas sobre o tratamento de dados, todos precisam entender como os dados serão tratados para poderem ter autodeterminação e respeitarem o princípio da transparência que é um dos pilares da coleta de dados;
- Designação de um encarregado de proteção de dados. A empresa deverá eleger uma pessoa física ou jurídica para fazer a ponte entre todos os envolvidos no tratamento de dados. O ideal é que seja uma pessoa interna na empresa, entretanto, sabemos que de acordo com o tamanho de dados que utiliza esta necessidade pode ser atendida pela contratação de empresa especializada;
- Mapeamento. Conhecimento sobre os dados armazenados na empresa, dividindo por áreas e finalidade da coleta dos dados. A lei exige um inventário atualizado das atividades para a finalidade de atribuição de base legal, bem como a adequação aos princípios da lei;
- Adoção de medidas técnicas de minimização de riscos. Organização de fluxos/procedimentos, criação ou revisão da política de privacidade e adequação de contratos para cumprimento de transparência e coleta de consentimento nos casos em que este se mostrar obrigatório.
Em relação às sanções, a lei entrará em vigor somente em um ano (agosto de 2021), o que dependerá ainda da estruturação da ANPD (Autoridade Nacional de Proteção de Dados), o órgão será responsável por regular a lei, elaborar instruções para o cumprimento de suas normas e fiscalizar o cumprimento[i].
Isso porque já há penalidades estabelecidas em outras leis e aplicáveis por órgãos como Ministério do trabalho, Ministério Público e Procons. Além disso ações de reponsabilidade civil que ensejam a condenação ao ressarcimento de dano moral ou material já estão acontecendo e gerando jurisprudência.
Assim, concluímos que o tratamento correto de dados pessoais hoje não é apenas em respeito a boas práticas, mas passa a ser uma obrigação legal ostensiva, cabendo a todos estarem preparados de acordo com esta máxima.
Nós, da Advocacia Portugal Gouvêa, acompanhamos de perto a evolução desse debate e estamos prontos para fazer os esclarecimentos necessários.
Bruna Velasques Arce
[i] Sobre a ANPD, vale dizer que no mesmo dia em que o Senado aprovou o texto da medida provisória que definiria o início imediato da vigência da LGPD, foi editado pelo Presidente da República o decreto que estabeleceu a estrutura da ANPD, porém o início de sua vigência está condicionado à publicação da nomeação do presidente do órgão, o que ainda não aconteceu.