Fase de adaptação na Lei Geral de Proteção de Dados

Por Andréia Santos

Faltam praticamente 16 meses para entrar em vigor a Lei Geral de Proteção de Dados (Lei nº 13.709/2018), conhecida também como LGPD. Embora o prazo pareça distante, após uma breve análise, é possível constatar que a adaptação pode exigir um pouco mais de atenção do que o imaginado. Isto porque, nem todas as empresas tinham em seu radar a proteção de dados pessoais ou, ao menos, uma cultura voltada às boas práticas de segurança da informação.

Primeiramente, a LGPD é aplicável a todas as empresas que tratem dados pessoais, seja em meio físico ou digital, independentemente do porte ou segmento. Ou seja, não se aplica somente às empresas de tecnologia ou voltadas ao comércio digital. Todas as companhias que coletam dados de seus funcionários ou de consumidores em um formulário físico ou mesmo em um sistema também deverão atentar à legislação.

Entre os principais pontos da nova lei estão a definição do que são os dados pessoais (toda e qualquer informação relacionada à pessoa física identificada ou identificável), tais como nome, RG, CPF, endereço, geolocalização, identificação de dispositivos móveis e respectivos sistemas operacionais, cookies, endereços IP e demais identificadores eletrônicos. Os dados sensíveis receberam uma proteção maior, já que envolvem informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual e dados genéticos ou biométricos. Via de regra, essas informações só podem ser tratadas mediante consentimento específico em cláusulas contratuais separadas.

A LGPD institui a Informação e a Transparência como pilares centrais no tratamento de dados pessoais: sempre que possível, o titular dos dados deve ser informado sobre que tipos de dados são coletados, para que finalidades, os responsáveis pelo seu tratamento e as formas de contatar o encarregado de sua proteção em caso de dúvida ou para exercício de seus direitos.

Contudo, para disponibilizar essas informações de forma correta, objetiva e estruturada aos usuários, a empresa deve, sobretudo, saber exatamente quais as categorias de dados pessoais definidas em lei, seu respectivo fluxo e finalidades. Por exemplo, ela deve saber exatamente como a coleta de dados é feita, por que canais, com quem compartilha tais dados, quais funcionários têm acesso a eles, quais os mecanismos de segurança utilizados internamente, como estão os contratos com as empresas terceirizadas, principalmente em relação à responsabilidade pela segurança dos dados, quais as finalidades das coletas e em quais fundamentos legais se pode enquadrá-las, dentre outros pontos de atenção.

Um mecanismo previsto na lei que contribui bastante para este mapeamento de dados é o Relatório de Impacto à Proteção de Dados Pessoais – que é a documentação a ser realizada pelo controlador contendo a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta, bem como as medidas técnicas e organizacionais adotadas para garantir a segurança da informação e mitigar eventuais riscos.

Por meio deste mapeamento, a empresa pode antever eventuais incidentes de segurança, como vazamento de dados, ou em ocorrendo tais incidentes, demonstrar perante a Autoridade Nacional de Proteção de Dados sua boa-fé e que tentou de todas as maneiras evitar o vazamento. Essas ações proativas e bem estruturadas das empresas servem como objeto de provas para amenizar eventuais sanções a serem aplicadas em sede administrativa.

A LGPD é resultado de aproximadamente oito anos de discussão colaborativa e foi impulsionada por alguns acontecimentos globais, como a aprovação do Regulamento Geral de Proteção de Dados da União Europeia (GDPR) e sua aplicação extraterritorial, o vazamento de dados envolvendo o Cambridge Analytica, a vontade do Brasil de integrar a Organização para a Cooperação e Desenvolvimento Econômico (OCDE), bem como a necessidade de alguns setores de regular a proteção de dados pessoais.

O cenário europeu de proteção de dados influenciou muito a elaboração da lei nacional. No Brasil, três projetos de lei foram essenciais para a concretização da nossa lei geral de proteção de dados: 4.060/2012, 330/2013 e 5.276/2016, este último muito semelhante ao GDPR. Os debates públicos advindos desses projetos deram ensejo ao Projeto de Lei nº 53/2018, que foi aprovado e sancionado na Lei nº 13.709/2018.

Sendo assim, a lei é essencial para a segurança jurídica das relações comerciais. Primeiro, porque unifica as normas relacionadas a dados já existentes – no Brasil, a proteção de dados era fragmentada – como Código de Defesa do Consumidor, Código Civil, Lei do Habeas Data, normas de setores específicos, por exemplo, de telecomunicações e financeiro. Segundo, coloca o Brasil no patamar de um país adequado para a transferência internacional de dados.

Infelizmente, o presidente Michel Temer vetou, por uma questão formal de constitucionalidade, a criação da Autoridade Nacional de Proteção de Dados Pessoais, que teria como função fiscalizar o cumprimento da legislação; assegurar os direitos dos titulares dos dados pessoais; editar normas e diretrizes que complementem e esclareçam disposições da lei, como, por exemplo, sobre a indicação de prazos para a notificação da ANDP em caso de incidentes, os padrões mínimos de segurança a serem adotados pelas instituições e os requisitos para a interoperabilidade dos sistemas, bem como realizar auditorias e aplicar eventuais sanções administrativas.

É essencial que, até fevereiro de 2020, a ANDP seja criada, visto que a devida aplicação e sua eficácia dependerá da fiscalização e da elaboração de diretrizes pela Autoridade Nacional, a fim de complementar a LGPD, como por exemplo, na indicação de um prazo para a notificação de eventual incidente à Autoridade Nacional, os procedimentos mínimos a serem adotados pelas empresas para assegurar o exercício do direito à portabilidade pelos titulares, padrões mínimos de segurança etc.

 

Artigo publicado na Gazeta do Povo. Leia em https://www.gazetadopovo.com.br/opiniao/artigos/fase-de-adaptacao-na-lei-geral-de-protecao-de-dados-2hsxiqdlpnpk5081ujypzoun3/

Voltar


Telefones

Rio de Janeiro
(55 21) 2102 4212

São Paulo
(55 11) 2103 9107

Escreva para nós