Com o intuito de assegurar aos indivíduos a proteção aos seus direitos fundamentais definidos na Constituição Federal, evitar o uso desenfreado e abusivo de dados pessoais e uniformizar as tratativas no uso de tais dados, foi aprovada no dia 13 de agosto a Lei de 2018, a Lei Geral de Proteção de Dados (LGPD).
O tema que já tirava o sono de muitos profissionais da área de tecnologia da informação, graças aos seguidos casos de vazamentos de dados ao redor do planeta, foi fortemente impulsionado após o escândalo envolvendo a utilização de dados do Facebook durante o
processo eleitoral norte-americano de 2016..
Além das multas multimilionárias aplicadas nos Estados Unidos e Europa, a empresa amargou uma perda em valor de mercado superior a US$120 bilhões em julho de 2018, a maior queda diária no valor de uma empresa já registrada nas bolsas americanas, quando seus executivos anunciaram que o crescimento da receita iria diminuir na medida em que a empresa desenvolvesse esforços na proteção de dados dos usuários.
A legislação brasileira, inspirada em grande parte no regulamento europeu sobre o tema, estabelece um conjunto de dispositivos que oferece maior qualidade e proteção no uso dos dados, viabilizando sua utilização pelas organizações de forma segura, em um ambiente fortemente marcado por inovações nos âmbitos econômico e tecnológico.
A LGPD deve também contribuir para melhorar a visibilidade do Brasil no cenário internacional, já que éramos um dos poucos países com potencial econômico relevante que ainda não havia definido um marco legal para o assunto, o que se traduzia em uma insegurança jurídica que incomodava investidores locais e estrangeiros. Este material tem o intuito de introduzir os principais aspectos da LGPD de uma forma didática, explicitar alguns pontos importantes e apontar os maiores impactos e desafios que as empresas brasileiras
deverão observar em seus processos de negócio. Esperamos que o material seja útil a você e nos colocamos à disposição para esclarecer eventuais dúvidas que possam surgir durante a leitura.
ESCOPO E ABRANGÊNCIA
A Lei regulamenta o uso, a proteção e a transferência de dados pessoais no Brasil, e terá aplicação a todos os setores da economia, online e offline, atingindo qualquer prática desempenhada por pessoas físicas ou jurídicas, de direito público e privado, que se
valerem do uso de dados pessoais.
RESUMO DOS PRINCIPAIS ASPECTOS DA NOVA LEI
ENTENDENDO A LÓGICA DA LEI...
(quadro 1)
INTRODUZINDO O TEMA
Vivemos em plena era da revolução digital. Grande parte dos serviços ofertados pelas empresas são consumidos exclusivamente através de plataformas eletrônicas que, por necessidade ou conveniência, coletam e armazenam um vasto conjunto de dados a respeito dos usuários.
Isso vale tanto para empresas mais tradicionais, como bancos, seguradoras e/ou lojas de departamentos, quanto para empresas prestadoras de serviços baseados exclusivamente em informações, como Google, Facebook, AirBnb e Waze, para citar algumas.
O grande problema que se desenvolveu nos últimos anos é que, de forma geral, os usuários têm pouco ou nenhum conhecimento sobre quais dados a seu respeito são armazenados, para quais finalidades são utilizados, e tampouco dispõem de meios adequados para retificar ou eliminar tais informações, que, nessas condições, podem, inclusive, ser utilizadas de forma indevida.
Diante dessa situação, há alguns anos legisladores de diversos países vêm se dedicando a disciplinar as relações entre as empresas e seus usuários, de forma a oferecer maior transparência e segurança a ambas as partes, como é o caso brasileiro, cuja legislação chega com algum atraso em relação a outros países, principalmente os mais desenvolvidos.
CONCEITOS IMPORTANTES
Em seu artigo 5º, a lei estabelece diversos conceitos que são utilizados ao longo de todo o texto. Listamos abaixo aqueles que consideramos mais relevantes para um bom entendimento:
(quadro 2)
DA ESTRUTURA DA LEI
A lei 13.709 está dividida em 10 capítulos, conforme detalhado na figura a seguir. Todavia, o capítulo IX, que trata da Autoridade Nacional de Proteção de Dados e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, foi integralmente vetado pela Presidência da República antes da publicação, uma vez que a criação de tais entidades
é uma iniciativa exclusiva do Poder Executivo, que, espera-se, deve enviar brevemente um Projeto de Lei tratando do tema.
O QUE MUDA EM RELAÇÃO ÀS PRÁTICAS ATUAIS
Em termos práticos, a LGPD estabelece um conjunto de exigências aos quais as empresas brasileiras precisarão se empenhar para se adequar. O titular dos dados, i.e., a pessoa natural que os dados coletados se referem, terá autodeterminação informativa que implica um desmembramento do direito à privacidade, ou seja, o controle da informação cabe ao titular do dado. Com isso, a utilização e o tratamento do dado pessoal somente poder ser realizados por terceiro mediante consentimento do titular. Este passa a contar com uma série de direitos, conforme pode ser observado na figura a seguir:
(quadro 3)
Para assegurar tais direitos, é fundamental que as empresas implementem um processo de gestão do ciclo dos dados, contemplando estratégias de governança que controlem a coleta, a utilização, o compartilhamento e o descarte, garantindo a proteção e confidencialidade de todas as informações.
(quadro 4)
APLICAÇÃO
Para assegurarem plena aderência às novas determinações, as empresas necessitarão desenvolver um esforço considerável na adaptação de seus processos de negócio, sob pena de serem responsabilizadas civil, criminal e administrativamente.
Embora o legislador tenha definido um prazo de 18 meses para que as empresas se adequem, o fato é que os esforços para empreender as mudanças necessárias precisam começar rapidamente, pois envolvem questões complexas relacionadas a aspectos culturais, de educação dos agentes envolvidos, adaptações de produtos e serviços, procedimentos
internos e implementação de tecnologia de ponta, dentre outras.
ALGUNS DOS PROCESSOS IMPACTADOS DIRETAMENTE PELA LGPD
(quadro 5)
Numa etapa inicial, a adoção de algumas precauções pelas empresas como a de criar espécies de “cadastros limpos”, poderá ser uma alternativa significativa para a efetividade do que se busca. As empresas que verificarem todos os dados já existentes, utilizados e/ou armazenados, realizando análises de possíveis violações na lei, terão dado um importante primeiro passo no sentido da adequação e conformidade à lei quando as medidas começarem a vigorar.
Durante o processo de adaptação às novas exigências, as empresas poderão aplicar também regulamentos especificando sua atuação na intenção de atingir a efetividade e demonstrar seu comprometimento, de maneira a detalhar todo o processo de acordo com a LGPD, incluindo a adoção de novas políticas de privacidade que demonstrem total respeito aos direitos do titular e que gerem maior segurança e credibilidade de tratamento.
Outro aspecto a se considerar são os impactos em termos de arquitetura de dados e de acesso aos sistemas em que as informações estão armazenadas, identificando todos os pontos onde as mesmas são coletadas e armazenadas, bem como mecanismos e ferramentas utilizadas no seu tratamento.
(quadro 6)
A nomeação de encarregado na proteção de dados, a iniciação de auditorias de segurança e comprometimento da alta administração com a transparência e clareza no tratamento dos dados, são também medidas essenciais para a demonstração de esforços na finalidade de
atingir o propósito legal e manter uma imagem positiva para o mercado e, principalmente, para o titular dos dados, que adquirirá bens ou serviços com maior segurança e garantia.
Como se vê, a lei traz muitos aspectos desafiadores. Esperamos que este material seja útil na sua preparação para se adequar.
Por Alecssandra de Brito (Sócia MoveOn) e Thais de Pauli (Advogada OAB 415.372)