A Lei Geral de Proteção de Dados (Lei nº 13.709/2018), também chamada de LGPD, foi promulgada em 2018 e, de forma geral, passou a vigorar alguns meses depois, embora o capítulo relacionado às sanções aplicáveis em caso de descumprimento tenha sido implementado, efetivamente, apenas a partir de agosto de 2021.
O objetivo dessa norma é devolver ao titular o controle sobre o tratamento (conceituado como “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”) de seus dados, ou seja, protege a sua liberdade e privacidade, especialmente, mas não apenas, na Internet.
Portanto, é uma norma que se alinha à outras como o Marco Civil da Internet e o próprio Código de Defesa do Consumidor.
A LGPD conceitua como dado pessoal toda a informação relacionada a pessoa natural identificada ou identificável e por dado pessoal sensível aquele sobre origem racial/étnica, convicção religiosa, opinião política ou filiação a sindicato ou organização de caráter religioso, filosófico ou político. Também se incluem na categoria de dados pessoais sensíveis aqueles referentes à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Para ajudar na compreensão da implementação da LGPD, separamos algumas informações importantes e que dão um panorama básico da implementação dessa normativa e como ela pode impactar a sua empresa. Confira!
Antes da entrada em vigor da LGPD, os titulares não conheciam bem onde estavam armazenados seus dados pessoais e dados pessoais sensíveis, e tampouco com quem eram compartilhadas essas informações.
Contudo, essa importante lei promoveu uma verdadeira mudança de paradigma, ao passo que as empresas (de todos os portes) e órgãos públicos estão tendo que implementar significativas mudanças na coleta, armazenamento, utilização e compartilhamento de informações pessoais (tais como aquelas reunidas por meio de cadastros, compras online, entrevistas de emprego, etc.).
Esse novo cenário ficou ainda mais claro a partir do momento em que as sanções entraram em vigor, inclusive com o monitoramento de atividades e vazamento de dados pela Autoridade Nacional de Proteção de Dados – ANPD.
E, em decorrência, considerando que as empresas passaram a ser obrigadas a dar ciência à ANPD e aos titulares de dados acerca de eventual invasão aos seus sistemas (o que conhecemos popularmente como “ataque hacker”) que possa implicar em vazamento de dados pessoais, as manchetes têm dedicado especial atenção a noticiar situações como essa, algo que vem ocorrendo com certa frequência.
As sanções previstas na LGPD, a serem aplicadas pela Autoridade Nacional de Proteção de Dados e que entraram em vigor em agosto de 2021 podem ser a advertência (neste caso com indicação de prazo para adoção de medidas corretivas, a multa limitada a 2% do faturamento da empresa (limitada a R$ 50 milhões por infração), o dever de eliminação dos dados armazenados, a suspensão parcial do funcionamento do banco de dados (até 6 meses, prorrogáveis por uma vez), a suspensão do exercício da atividade de tratamento dos dados pessoais (também até 6 meses e prorrogáveis por uma vez) e, finalmente, a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Além da gravidade como critério de punição, a LGPD prevê outras situações que serão consideradas, tais como a boa-fé do infrator, a vantagem auferida ou pretendida pelo infrator, a condição econômica do infrator, a reincidência, o grau do dano, a cooperação do infrator, a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano (voltados ao tratamento seguro e adequado de dados), a adoção de política de boas práticas e governança, a pronta adoção de medidas corretivas; e a proporcionalidade entre a gravidade da falta e a intensidade da sanção.
Como se vê, as sanções administrativas são severas, inclusive porque, além delas, podem haver outras de cunho judiciais pautadas por normas diversas (como, por exemplo, o pleito de uma indenização por danos morais contra uma empresa que tratou os dados do titular de maneira diversa do que foi por ele autorizado).
O primeiro passo é conhecer o que se chama de “ciclo de vida” do dado pessoal (conceito que também contempla o dado pessoal sensível) que é tratado pela empresa, ou seja, identificar de que forma e em qual momento ele é coletado, qual é a finalidade de coleta e o que é feito com ele, se há compartilhamento com terceiros e, finalmente, como e por quanto tempo ele é armazenado.
Depois disso, todos os processos e documentos precisam ser revistos para verificar se estão em conformidade com as hipóteses previstas na LGPD para se proceder o tratamento de dados, inclusive colhendo autorização do titular (novos e antigos clientes) para tratar tais dados (neste caso evidenciando claramente a finalidade do tratamento de dados, as hipóteses de compartilhamento, etc.).
Importante, também, voltar atenção à segurança no armazenamento de todas essas informações, investindo em profissionais e em ferramentas capazes de impedir ou diminuir as chances de um vazamento de dados.
Outro ponto necessário é a elaboração e disponibilização ao público da política de privacidade, documento que contempla diversas informações importantes acerca dos pontos acima destacados.
Também é preciso disponibilizar uma forma de comunicação eficaz e rápida do titular com a empresa (que se dará pelo DPO ou encarregado, que é a pessoa nomeada pela empresa ou órgão público para tal função, e que também será o contato junto à ANPD).
Os especialistas dizem que os dados pessoais podem representar, se já não representam, o novo petróleo que move a nossa sociedade.
O olhar que passamos a adotar durante a pandemia causada pelo Coronavírus, fez com que buscássemos, cada vez mais, serviços online que facilitassem o cotidiano e diminuíssem os riscos à saúde. Ou seja, optamos em fazer compras pela Internet, ao invés de ir até o supermercado. Da mesma forma, escolhemos utilizar um serviço à distância ao invés de se deslocar até o estabelecimento.
Tudo isso gera um enorme banco de dados, especialmente contendo informações acerca de nosso perfil de consumo, dados de valor inimaginável para o alinhamento de campanhas de marketing dirigidas, por exemplo.
Por isso, além dos aspectos apontados anteriormente, não há dúvidas que a LGPD pode implementar uma nova conduta das empresas, que precisarão manter o titular de dados em primeiro plano, coletando sua autorização para coleta, tratamento, armazenamento e compartilhamento de tais informações. Até mesmo conceder-lhe a oportunidade de excluir seus dados, ou torna-los anônimos para que se desvinculem do titular.
Marlus Eduardo F. Losso, Advogado e DPO do CIEE/PR.
Fonte: CIEE-PR