A Lei 13.709/18, mais conhecida como Lei Geral de Proteção de Dados ou somente LGPD, que entrou em vigor em 18 de setembro de 2020 dispõe sobre o tratamento de dados pessoais, nos meios físicos e digitais, por pessoa jurídica de direito privado e público, com o objetivo de proteger os direitos fundamentais da liberdade e de privacidade e o livre desenvolvimento da personalidade natural.
A LGPD que além de tratar da política de proteção de dados e da privacidade, regulamentou e alterou alguns artigos do Marco Civil da Internet – MCI [1], alterando de forma substancial a maneira como empresas deverão tratar a questão da privacidade e segurança das informações existentes em seus bancos de dados.
A LGPD se inspirou na lei da comunidade europeia, General Data Protection Regulation – GDPR, que está em vigor desde maio de 2018, regulando as empresas pertencentes aos países do Espaço Económico Europeu que compreende os países da União Europeia, mais a Noruega, o Liechtenstein e a Islândia, além das empresas estrangeiras que atuam ou fazem negócios com esse bloco de países.
A LGPD, no entanto, não se comunica somente com o Marco Civil da Internet, pois claramente seus regramentos irão refletir em diversos ramos do direito, como o Direito Civil, do Consumidor, Administrativo e, inclusive, o Trabalhista.
A primeira pergunta que nós podemos fazer é: o que são dados pessoais?
Dados pessoais são quaisquer informações que permitam a identificação direta ou indireta de um indivíduo, tais como o nome, alcunha, registros (RG, CPF, etc), classificações (gênero, cútis, etc) e muito mais, como data e local de nascimento, telefone, endereço residencial, retrato em fotografia, prontuário de saúde, cartão bancário, renda, histórico de pagamentos, hábitos de consumo, preferências de lazer; IP (Internet Protocol) e cookies, entre outros, ou seja, qualquer informação relacionada a pessoa natural identificada ou identificável.
A LGPD ainda traz uma separação entre dados pessoais que exigem um pouco mais de atenção, ou seja, dados pessoais sobre crianças e adolescentes e os denominados sensíveis (orientação política, filiação sindical e partidária, raça ou etnia, convicção religiosa ou filosófica, questões genéticas, biométricas além da orientação sexual de um indivíduo).
Assim, por exemplo, no caso de informações sobre menores, a LGPD exige o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal, sendo vedado ainda o repasse destas informações a terceiros sem o consentimento das pessoas acima mencionadas.
A LGPD fala ainda em dados públicos e anonimizados, sendo os primeiros aqueles em que o titular deu publicidade por livre e espontânea vontade [2], assim uma empresa não precisa pedir novo consentimento para tratar dados tornados anterior e manifestamente públicos pelo indivíduo. No entanto, se essa organização for compartilhar esses dados com terceiros, aí sim deverá obter novo consentimento para esse fim. Já dados anonimizados são aqueles que não permite através de meios técnicos que se reconstrua o caminho para encontrar quem é o indivíduo titular do dado.
Como a LGPD regula o tratamento de dados pessoais, esse tratamento deve ser feito tendo como base a boa-fé, além de alguns princípios como a finalidade, transparência e segurança. Esse tratamento deve estar sempre amparado em uma das dez bases legais, sendo uma delas o consentimento, que sempre deve ser utilizado com parcimônia, principalmente pelo fato do titular poder requisitar sua revogação a qualquer momento, isto é, deverá ser criado uma “gestão de consentimentos”.
Dessa forma temos que a LGPD vai impactar diretamente serviços e negócios, sejam indivíduos, sejam empresas (lojas on-line, redes sociais, prestadores de serviços, escolas, hospitais, instituições financeiras, etc) ou órgãos públicos.
Para a LGPD, assim como GDPR europeia, não importa se a empresa possui sede no Brasil ou no exterior, pois basta que atue no território nacional, para que a sua adequação e sua obrigatoriedade seja exigida.
Para fiscalizar o cumprimento da lei foi criada a Autoridade Nacional de Proteção de Dados Pessoais, a ANPD, com a missão de regular e de orientar acerca da aplicação da lei.
A ANPD poderá aplicar a título de sanção:
- Advertência indicando prazo para adoção das medidas corretivas;
- Multa de até 2% do faturamento do último exercício, limitada a 50 milhões. A multa é aplicada por infração;
- Publicidade na mídia sobre a infração cometida;
- Bloqueio dos dados pessoais relativos à infração até sua regularização;
- Eliminação dos dados pessoais relativos à infração;
E o que devo fazer então para evitar essas sanções?
Estabelecer regras de governança e compliance no tratamento de dados é fundamental para sua empresa ou negócio, assim, você deve buscar por profissionais treinados e capacitados para ajudar nessa adequação.
Esses profissionais, através de uma equipe multidisciplinar irão analisar as estruturas de Tecnologia da Informação – TI: firewall, estrutura de arquivos por departamento ou função, com permissões especificas de uso, ferramenta de endpoint, rotinas de Backup, atualizações de patches de correção de sistemas operacionais, gestão da Infraestrutura, além da existência ou não de soluções de desaster recovery e a exposição de aplicações em nuvem (cloud).
Assim em resumo esses profissionais formados por técnicos e advogados deverão proceder com a análise e o mapeamento de processo internos, levantamento e análise de riscos na coleta de dados, apresentação de relatórios, ajustes tecnológicos, criação de planos para proteção dos dados e armazenamento consciente, criação de comitê LGPD para aprovação de políticas e normas, treinamentos, avaliação e adequação dos atuais contratos com fornecedores, clientes e colaboradores.
[1] Enquanto o Marco Civil da Internet – MCI (Lei n. 12.965/14), prevê a segurança de dados apenas em ambiente online, a LGPD cria diretrizes mais específicas de aplicação e segurança, detalhando os tipos de dados existentes e assegurando toda a movimentação de dados (inclusive offline). O art. 60 da LGPD alterou expressamente 2 artigos do MCI.
[2] Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: I - mediante o fornecimento de consentimento pelo titular; § 4º É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta lei.
