Com a sanção presidencial, o marco legal sobre o tratamento de dados pessoais, inclusive nos meios digitais, estabelece a aplicação de detalhada política de compliance que visa proteger o direito à privacidade. O principal veto, já previsto, é em relação à criação da autoridade fiscalizadora da lei, chamada ANPD (Agência Nacional de Proteção de Dados).
Na prática, a pergunta que se coloca é: sem a autoridade, qual será o efeito prático da lei? A esperança é que uma agência seja criada por ato de Poder Executivo até o final desse ano, mas, caso não venha a acontecer até o final do período de adaptação (de 18 meses), será preciso buscar o Judiciário ou aguardar a manifestação do Ministério Público.
Apesar das incertezas, a aprovação da medida é um grande passo e, mais do que uma mera opção legislativa, trata-se de uma necessidade inafastável.
Um dos aspectos mais importantes dessa medida é colocar o Brasil no mapa dos mais de 100 países que contam com uma legislação específica para proteção da privacidade e, a partir de sua entrada em vigor (e até mesmo antes disso) significará uma grande mudança em relação ao tratamento dispensado aos dados pessoais, que têm sido, em regra geral, negligenciado.
No Brasil permaneciam frouxas as normas referentes a operações realizadas com dados pessoais, como as que se referem ao tratamento (coleta, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, arquivamento, armazenamento, eliminação, etc), à possibilidade de acessar os dados ou corrigi-los ou à portabilidade dos dados a outro fornecedor. O novo texto legal estabelece de modo claro quem são as figuras envolvidas e quais são suas atribuições, responsabilidades e penalidades no âmbito civil – que podem chegar a multa de R$ 50 milhões por incidente – as quais não entram na seara criminal, a ser apurada conforme a aplicação dada à informação.
A nova legislação abrange quaisquer informações relacionadas à pessoa identificada ou identificável, obtidas em qualquer tipo de suporte (seja papel, eletrônico, informático, som, imagem etc.) e o tratamento de tais dados (incluindo a coleta, recepção, utilização, acesso, reprodução, armazenamento, etc.) deverá se dar sob bases legais que estabelecem, dentre outras hipóteses, o consentimento livre, informado e inequívoco do titular dos dados.
As hipóteses para tratamento dos dados pessoais sem o consentimento do titular se resumem a apenas nove casos, incluindo o cumprimento de obrigação legal ou regulatória, a proteção da vida ou da incolumidade física do titular ou de terceiros, a tutela da saúde e a proteção do crédito, dentre outros.
Agora, muito importante, a utilização de dados pessoais de menores de idade exigirá, via de regra, consentimento específico e em destaque por parte dos responsáveis legais e será regido por procedimentos especiais quanto à forma de tratamento e fornecimento de informações.
A legislação também define o conceito de dados pessoais sensíveis, que recebem tratamento diferenciado, como aqueles passíveis de maior potencial discriminatório em relação ao seu titular, quais sejam, dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, saúde, vida sexual, genética ou biométrica de uma pessoa física. Assim como o tratamento de dados pessoais de crianças e adolescentes, os dados sensíveis são objeto de tratamento diferenciado.
A norma deverá entrar em vigor nos próximos 18 meses. De forma geral, a LGPD representa o fim de uma desvantagem competitiva do Brasil ditada pela ausência de um marco legal, sólido e específico, que regulasse a proteção de dados pessoais, sobretudo nos meios digitais. Ela estabelece de forma clara o que compreende o consentimento por parte do cidadão e como este pode, a qualquer tempo, revogar a autorização para o uso de seus dados. Trata-se de um instrumento com potencial para dirimir inúmeras dúvidas, resolver e prevenir conflitos.
Hoje, os dados pessoais, além de um direito fundamental dos cidadãos, são considerados um insumo econômico valioso em todos os setores da sociedade e fundamentais para implementação de políticas públicas. Ao dispor de uma lei específica para regular a coleta, tratamento e transferência de tais dados, com base no consentimento do titular, o Brasil pode passar a aproveitar investimentos estrangeiros antes descartados pela inadequação do ordenamento jurídico, fomentar (e valorizar) o ecossistema de dados e fiscalizar vazamentos e casos de uso ou acesso indevido, reduzindo eventuais riscos e transtornos para o titular.
É certo que um marco legal demandará das empresas um aumento significativo do nível de compliance em matéria de privacidade e proteção de dados pessoais. O maior desafio, no entanto, é a mudança na mentalidade corporativa, isto é, uma nova abordagem que incorpore na espinha dorsal da sociedade a importância de adotar uma maior abertura e transparência na coleta, uso e tratamento de dados pessoais.
Trata-se de enxergar além das multas e demais sanções e entender que a conformidade a tais regras extrapola as perdas financeiras para alcançar outros valores, como reputação e confiança do consumidor. Não é apenas uma questão de segurança de dados, de leis ou de progresso tecnológico, mas uma questão empresarial que deve ser tratada de forma holística e comprometida, inserida nas estratégias de cada negócio.
