A Lei Geral de Proteção de Dados (LGPD), lei 13.709/18, sancionada pelo presidente Michel Temer em agosto de 2018, tem como objetivo aumentar a privacidade de dados pessoais e o poder das entidades reguladoras para fiscalizar organizações nesse tema.

A legislação adequa o Brasil às melhores práticas globais de gestão de dados e abrange todas as empresas estabelecidas em território nacional, bem como as organizações com sede no exterior que ofereçam serviços ou tenham operações no País envolvendo tratamento de dados.

O documento altera o Marco Civil da Internet (Lei 12.965/14) e chega em uma época marcada por grandes vazamentos de informações que envolvem o uso indevido de informações pessoais.

O processo de elaboração da lei começou em 2010, com a abertura de uma consulta pública sobre o tema, promovida pelo Ministério da Justiça, que resultou no PL 5276/2016, anexado ao PL 4060/2012, perante a Câmara dos Deputados. Após 2 anos de trâmite no Congresso Nacional, duas consultas públicas, mais de 2500 contribuições de diversos os setores e inúmeros eventos, obteve a sanção presidencial em 13/08/2018, data em que entrou em vigor, com um período de adaptação de 18 meses. Ou seja, a partir de fevereiro de 2020 as empresas estarão sujeitas as sanções e multas previstas na lei.

O texto estabelece bases legais para legitimação do tratamento de dados pessoais e garante direitos aos titulares dos dados como: acesso, correção, eliminação, portabilidade e revogação do consentimento. Desta forma, traz poder ao consumidor e garante a indenização na ocorrência de danos causados ao titular.

A lei estabelece que o dado pessoal é toda informação relacionada a pessoa natural “identificada” ou “identificável” e determina que o tratamento desses dados deve considerar os 10 princípios de privacidade descritos na lei:

I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Ao seguir estes princípios as empresas demonstrarão que os dados pessoais coletados são necessários, mínimos, corretos, de qualidade e atendem a uma finalidade de negócio válida, entre outras características.

Além disso, as empresas deverão garantir a segurança dos dados pessoais tratados e comunicar incidentes de segurança da informação ao órgão regulador. Em algumas situações, o titular dos dados também deverá ser comunicado.

A lei estabelece condições específicas para tratamento de dados pessoais “sensíveis” que abrangem registros sobre raça, opiniões políticas, crenças, dados de saúde e características genéticas e biométricas.  Dados pessoais de crianças e adolescentes também exigirão atenção especial, como por exemplo, a obtenção de consentimento de um dos pais antes da coleta dos dados.

A LGPD estabelece de modo claro quem são as figuras envolvidas e quais são suas atribuições, responsabilidades e penalidades no âmbito civil. As multas previstas para o descumprimento variam de 2% do faturamento bruto até R$ 50 milhões (por infração).

As únicas exceções à aplicação da lei são as hipóteses de tratamento de dados pessoais realizado por pessoa natural para fins exclusivamente particulares e não econômicos, além daqueles realizados exclusivamente para:

– Fins jornalísticos, artísticos ou acadêmicos (entretanto, não se dispensa o consentimento);

– Fins de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais;

– Dados em trânsito, ou seja, aqueles que não tem como destino Agentes de Tratamento no Brasil.

De forma geral, muitas organizações já possuem processos implementados para atendimento de outras regulamentações, como a GDPR, que poderão ser adaptados para a LGPD. Todavia, inúmeras empresas deverão estruturar novos programas de implementação para garantir a conformidade dentro do prazo estabelecido.

O primeiro passo para adequação é realizar um mapeamento dos dados pessoais tratados e o seu ciclo de vida. Saber onde estão, como estão armazenados, quem tem acesso, se os dados são compartilhados com terceiros no Brasil ou exterior e quais riscos associados ao ciclo de vida, são algumas perguntas essenciais que todas as organizações devem responder antes estabelecer o programa de implementação.

As tecnologias também são um dos componentes importantes, uma vez que a lei traz desafios de gestão e governança de privacidade tais como: a gestão de consentimentos (e respectivas revogações), gestão das petições abertas por titulares (que, em alguns casos, devem ser respondidas imediatamente), gestão do ciclo de vida dos dados pessoais, implementação de técnicas de anonimização, etc.

O recente escândalo envolvendo a empresa Cambridge Analytica demonstrou as graves consequências que podem advir do uso não autorizado e indevido de dados pessoais, ao ponto de repercutir nos rumos democráticas de uma nação, como se suspeita que tenha acontecido com a eleição do Presidente Donald Trump nos EUA e com a saída do Reino Unido da União Europeia.

No Brasil, onde a empresa já pretendia atuar no pleito eleitoral para a presidência da república por meio de oferecimento de conteúdos e propagandas direcionadas à eleitores, baseadas nos interesses inferidos dos seus dados pessoais, o escândalo teve tal repercussão que uma investigação foi aberta pelo Ministério Público para averiguar se realmente houve coleta e uso não autorizado de dados pessoais. Na ausência de uma lei geral, uma zona interpretativa cinzenta prevalece quanto à ilegalidade no uso dos dados, uma vez que inexistiria, em alguns contextos, limitações claras ao tratamento destes. Com a chegada da LGPD, esta dúvida passa a ser endereçada e punida em caso de infração.

Com a nova Lei Geral de Proteção de Dados brasileira, todas as empresas de todos os portes terão que investir em segurança e implementar processos e tecnologias efetivos para prevenir, detectar e remediar violações de dados pessoais, notadamente porque a lei prevê que a adoção de política de boas práticas será considerada como critério atenuante em caso de penalidades.

Quer saber mais sobre a LGPD? Baixe o nosso Whitepaper exclusivo, e entenda os principais pontos da nova lei de proteção de dados brasileira e o como o senhasegura pode ajudar a sua empresa.

Baixar o Whitepaper LGPD.