Lei Geral de Proteção de Dados entrou em vigor no Brasil em setembro de 2020 e previu punições que podem chegar até 2% do faturamento a partir de agosto do ano passado.
A Lei Geral de Proteção de Dados (LGPD) já é uma realidade e está em vigor no país desde setembro de 2020. Apesar de ter entrado em vigor em setembro de 2020, as multas só passaram a serem aplicadas a partir de agosto de 2021.
É de suma importância entender que hoje ao entrar em sites e aplicativos é preciso responder se concorda ou não que o portal ou app utilize seus dados pessoais ou a localização de onde está, por exemplo.
Lei Geral de Proteção de Dados na prática
Afinal, quais são os reais impactos para indivíduos e as empresas?
A seguir, os advogados Dr. Marcio Miranda Maia e Dr. Vinícius Machado, especialistas em direito empresarial no escritório Maia&Anjos Sociedade de Advogados vão elencar e esclarecer nove perguntas e respostas para entender a LGPD e seu impacto no universo corporativo de forma prática e objetiva.
1 – Quando a LGPD entrou em vigor?
O texto da lei entrou em vigor em 18 de setembro de 2020. Entretanto, as sanções entram em vigor apenas em 1º de agosto de 2021, para quem desrespeitar as regras de tratamento de dados pessoais. As punições podem chegar até 2% do faturamento e limitadas a 50 milhões de reais.
2 – A LGPD é válida para todos?
Marcio Miranda e Vinícius Machado explicam que a LGPD se aplica a qualquer operação de tratamento realizada por pessoa física ou por pessoa jurídica de direito público ou privado. Eles acrescentam que “No entanto, existem algumas hipóteses onde a Lei não se aplica, como, por exemplo, em tratamento de dados realizado por pessoa física para fins exclusivamente particulares e não econômicos; realizado para fins exclusivos de segurança pública, entre outros. Sobre isso, vale a pena a leitura dos artigos 3º e 4º da LGPD para conferir essas exceções.”
3 – O que seria a LGPD e a que se propõe a lei?
A LGPD consiste numa regulamentação que tem como objetivo garantir a transparência no uso dos dados das pessoas físicas em quaisquer meios, proporcionando a proteção desses dados e o direito à liberdade, privacidade e livre desenvolvimento dos cidadãos, contando com a aplicação de multas para incentivar o cumprimento da Lei por parte das empresas.
Marcio Miranda Maia revela também que a lei serve justamente para regulamentar o tratamento de dados principalmente das pessoas físicas, que muitas vezes é feito até mesmo sem o conhecimento do titular.
Contudo, é preciso ter claro que o ponto central da Lei é que nenhuma instituição pode utilizar os dados de nenhum cidadão sem o seu consentimento explícito. Portanto, a pessoa deve claramente ser informada dos termos de uso e extensão da autorização e precisa concedê-la livre e claramente. Além disso, o titular dos dados poderá revogar essa cessão a qualquer momento. É permitido ainda solicitar informações a respeito da privacidade dos seus dados sempre que desejar e deverá ser respondido obrigatoriamente.
4 – No que consiste o tratamento de dados?
Conforme prevê o artigo 5º da LGPD, quando se fala em tratamento de dados, essa definição significa toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração destes dados, explica Maia.
5 – O que são ‘dados pessoais’ e ‘dados pessoais sensíveis’?
Segundo Marcio Miranda Maia e Vinícius Machado, dados pessoais são informações relacionadas à pessoa natural identificada ou identificável. Pode-se citar como exemplo neste caso: dados cadastrais, RG, CPF, data de nascimento, profissão, nacionalidade, gostos, interesses, hábitos de consumo, entre outros.
Por outro lado, os dados pessoais sensíveis dizem respeito à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual e dado genético ou biométrico, todos quando vinculados a uma pessoa física. Eles são denominados a parte. Isso porque configuram informações passíveis de discriminação. Sendo assim, há uma proteção mais rígida a esses dados.
Há também o dado anonimizado, relativo ao titular que não pode ser identificado, considerando o uso de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
6 – O que significa consentimento para a lei?
Segundo Marcio Maia, para a LGPD, consentimento é a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. Um exemplo na prática é quando o titular assina um contrato que possui uma cláusula sobre este tópico e que autoriza a cessão de dados. Miranda ainda ressalta que este termo específico pode discorrer sobre essa autorização e qual a sua finalidade na empresa ao receber esses dados.
No caso de ter um tratamento de dados mediante o fornecimento de consentimento pelo titular, o artigo 8º diz que deve ser fornecido por escrito, e que esse deverá constar de cláusula destacada das demais cláusulas contratuais. Em suma, se a autorização for inserida em uma cláusula genérica, mesmo que o titular dos dados assine o contrato, resulta em um vício de consentimento, uma vez que não ficou explícito e inequívoco.
7 – O que diz a LGPD sobre direitos do titular dos dados?
Os advogados esclarecem antes que quanto mais dados forem tratados, maior será a responsabilidade, inclusive em casos de vazamentos e incidentes de segurança. Já em relação aos direitos do titular dos dados, a LGPD prevê uma série de atos que podem ser desempenhados por ele. Isso inclui a confirmação com uma empresa se esta trata ou não de seus dados, direito que pode ser efetivado de modo simplificado com um mero “sim” ou “não” por parte da empresa, de modo imediato; ou em formato completo, mas deve ser respeitado o prazo de até 15 dias para a resposta.
Todavia, é direito do titular também: acesso aos dados; correção de dados incompletos, inexatos ou desatualizados; anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade; portabilidade dos dados a outro fornecedor de serviço ou produto; eliminação dos dados pessoais tratados e revogação do consentimento; informação das entidades públicas e privadas com as quais a empresa realizou uso compartilhado de dados; e informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; entre outros.
8 – Qual o impacto real e efetivo dessa lei em empresas em geral?
O impacto real e efetivo da Lei em empresas diz respeito especialmente à adequação de todo o sistema à nova legislação, explica Marcio. Para isso, em 2019, foi criada a Autoridade Nacional de Proteção de Dados (ANPD). Ele é quem será o órgão responsável pela fiscalização da proteção de dados por parte das pessoas jurídicas. A ANPD poderá solicitar a qualquer tempo relatórios de riscos de privacidade às empresas. O intuito é se certificar de que as organizações estão tratando o tema internamente e dentro do que determina a LGPD.
Comitê de Segurança da Informação
Porém, no que tange a área de recursos humanos, e-commerce e demais setores, mais importante é criar dentro da empresa um Comitê de Segurança da Informação. Este será responsável por analisar a atual situação dos procedimentos internos quanto aos dados recebidos. Vale destacar que dentro deste processo deve-se fazer um mapeamento bem detalhado sobre como os dados pessoais são tratados e todo o seu ciclo de vida dentro da empresa. Ou seja, saber para onde vão, onde ficam armazenados, quem possui acesso e se são compartilhados com terceiros. Ao concluir esta análise é que é possível avaliar de fato o nível de maturidade dos processos dentro da organização e os riscos envolvidos. Após detectar estas deficiências chega o momento de começar os procedimentos para tornar a transação de dados completamente segura tanto para a empresa quanto para os titulares.
9 – Essa lei não é relevante para quem atua no B2B?
Marcio Miranda Maia comenta que a lei é relevante para todos, o que inclui os atuantes em B2B. Ele disse também que é improvável que o impacto da LGPD seja suficiente para afetar as operações B2B e a prospecção ativa. Mas, o advogado pondera que é importante reiterar que por conta das empresas não terem tanta facilidade em obter os dados pessoais dos usuários, o resultado disso é a necessidade de fazer mais pesquisas para conseguir o contato de leads e começar uma prospecção, por exemplo.
E em decorrência dessas responsabilidades paralelas referentes à RH, dados de clientes, ao Comitê de Segurança da Informação, entre outros, todos estão sujeitos a serem membros destes comitês e a fazerem parte dos profissionais que participarão ativamente da proteção dos dados em cada empresa.
Envolvidos no processo de proteção de dados
Por fim, Dr. Maia comenta é relevante saber quem são os envolvidos nesse processo de proteção de dados: o titular, pessoa física proprietária dos dados; o controlador, representado pelo tomador dos dados (pessoas jurídicas); o operador, que é a empresa responsável pela coleta de dados e sua efetiva segurança através de soluções automatizadas; e o encarregado, profissional que responde pela proteção dos dados da empresa. Neste caso, é o seu representante que fará contato com a ANPD quando necessário, e pode até ser responsabilizado junto com a pessoa jurídica no caso de mau uso dos dados ou seu vazamento por qualquer motivo.
Foto: Reprodução/Unsplash e DepositPhotos