A LGPD entrou em vigor em 18/09/2020, trazendo uma disrupção em relação ao tema, e por consequência gerando dúvidas empresariais e necessidade iminente de adaptação aos termos legais.
Breve introdução à LGPD
Em 25 de maio de 2018 entrou em vigor a GDPR (General Data Protection Regulation), abrangendo os Estados-membros da União Europeia, em resposta ao escândalo Facebook-Cambridge Analytica, despertando debate mundial sobre privacidade e proteção de dados e sua fundamentalidade a todos em nível mundial, o que também afetou significativamente as empresas brasileiras que processam dados de indivíduos europeus. A partir de então, estabeleceu-se a necessidade de aplicação de medidas empresariais de compliance relacionadas ao tema, para a plena observância desse novo diploma legal.
O Brasil, como resposta ao clamor mundial plenamente justificado ante à importância do tema, promulgou a notória Lei Geral de Proteção de Dados – LGPD – em 14/08/2018, legislação específica sobre o tratamento de dados pessoais[1] e pessoais-sensíveis[2], com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Com a pandemia do COVID-19, o Poder Executivo editou a Medida Provisória n. 959/2020, postergando, consequentemente, a data inicial de vigência da LGPD para maio/2021 (com exceção das sanções administrativas dos artigos 52 a 54, as quais já tinham vigência estabelecida a partir de 01/08/2021 – conforme Lei n. 14.010/2020).
Contudo, em 26/08/2020 ocorreu a votação da referida MP 959/2020 nas Mesas da Câmara e do Senado, convertendo-se a MP em Lei e rejeitando-se o adiamento da Lei Geral de Proteção de Dados.
Desse modo, após as diversas alterações em relação à data de início da vigência da Lei n. 13.709/2018, ocorreu a entrada em vigor no dia 18/09/2020, a partir da sanção presidencial, com inúmeros impactos empresariais decorrentes de suas disposições.
Frisa-se que o campo de incidência da LGPD é amplo, dispondo sobre o tratamento de dados pessoais e dados pessoais sensíveis nos meios físicos e digitais, por pessoa natural ou por pessoa jurídica (incluídos a União, os Estados, o Distrito Federal e os Municípios), com o intuito de preservar a liberdade, a privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Em síntese, desde o dia 18/09/2020, todas as empresas que fazem o tratamento de dados pessoais e dados pessoais sensíveis para o exercício de suas atividades devem estar de acordo (ou já buscar iniciar o mais rápido possível essas adequações) com a LGPD, uma vez que qualquer operação de tratamento de dados[3] (coleta, uso, armazenamento, compartilhamento e eliminação/exclusão[4]), seja por meio físico ou digital, deverá observar a legislação que já está em vigor.
Dentre o conceito de dados pessoais, insere-se os dados dos clientes, empregados/colaboradores e fornecedores/prestadores de serviços que têm acesso a tais informações tratadas pelas empresas.
Observe-se que a coleta e o tratamento de dados pessoais realizados para fins exclusivamente particulares e não econômicos (somente por pessoa natural), ou para fins jornalísticos, artísticos, acadêmicos ou de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais, não estão sujeitos à LGPD. Em todos os demais casos a LGDP será aplicada!
Das sanções da LGPD
A Lei Geral de Proteção de Dados versa sobre a proteção de dados pessoais, mas seu alcance se dá a qualquer empresa ou pessoa natural (por exemplo profissional liberal) que trate/colete referidos dados pessoais durante a oferta de bens ou serviços, não se limitando, portanto, às empresas de tecnologia da informação e/ou de publicidade e marketing que utilizem banco de dados pessoais, mas a todas aquelas que tiverem empregados, fornecedores e clientes (pessoas físicas).
Dessa forma, a LGPD já repercute diretamente em todo o meio corporativo nacional, em relação a praticamente todas as atividades com fins econômicos.
O artigo 52 da LGPD relaciona as sanções administrativas, que incluem: a aplicação de multa simples ou diária no valor de até 2% do faturamento da empresa no seu último exercício, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por cada infração cometida, podendo ocorrer até a suspensão ou a proibição parcial ou total do exercício de atividades empresariais relacionadas ao tratamento de dados.
Atente-se, ainda, que apesar de as sanções só entrarem em vigor no ano que vem (agosto/2021), desde já (setembro/20) o consumidor/titular[5] dos dados já poderá questionar as empresas por meios legítimos, como o Procon, o Ministério Público e os Juizados Especiais em relação às operações de tratamento de dados, o que já impõe uma atitude imediata das empresas para iniciar ou continuar seus processos de adequação à LGPD, o que não é feito do dia para a noite, conforme se verá mais abaixo.
Reflexos empresariais
A partir de agora (setembro/20), observando-se os princípios da LGPD e considerando-se que os titulares têm direito a ter acesso pleno a todos os seus dados, TODAS AS EMPRESAS brasileiras e todos os órgãos públicos terão de estar preparados para responder a vários questionamentos, tais como:
- Quais dados possuem de cada pessoa?
- Para qual finalidade[6] foram coletados e usados os dados?
- Qual a justificativa para ter cada um dos dados?
- Esses dados foram transferidos para outras pessoas naturais ou jurídicas? Para quais fins?
- Esses dados foram transferidos gratuitamente ou proporcionaram lucro?
- Os dados pessoais estão seguros? Quais as medidas de segurança adotadas?
- Os dados pessoais já sofreram vazamentos ou algum outro incidente de violação?
- Caso haja um incidente de violação de dados (vazamento, compartilhamento indevido, utilização inadequada, dentre outros), quais são as medidas remediativas a serem adotadas?
- Há Políticas de Segurança de Informação e Privacidade de Dados vigentes na empresa?
- Os colaboradores/funcionários são treinados e avaliados em relação à proteção dos dados?
- Dentre outros vários pertinentes ao tema.
Referidas questões poderão ser levantadas por qualquer cidadão (pessoa natural titular do dado) ou pela Autoridade Nacional de Proteção de Dados – ANPD[7] – órgão que fiscaliza a implementação da Lei e aplicação sanções (regulamentado pela própria LGPD e estruturado pelo Decreto n. 10.474/2020), além do Ministério Público, Procon, dentre outros órgãos setoriais (SUSEP, ANS, CVM, BACEN etc.).
No mais, as empresas terão de fundamentar cada tratamento de dados em uma base legal, além de seguir os princípios da lei e atender aos direitos dos titulares.
Além disso, as empresas precisarão ter responsáveis pelo manuseio e pelo controle dos dados pessoais coletados/tratados. O controlador[8] (empresa), que é quem coleta os dados, poderá, inclusive, responder nas esferas civil, administrativa e criminal, caso a empresa trate os dados em contrariedade às disposições legais trazidas pela LGPD.
É de interesse das empresas, ainda, fornecer canais de comunicação para viabilizar o exercício dos direitos dos titulares dos dados, para que realizem a consulta adequada e possam retificar ou solicitar a exclusão de seus dados, que são de sua inteira propriedade pelo Princípio da Autodeterminação Informativa.
Definitivamente, a LGPD não é um programa ou aplicativo que poderá ser implementado de um dia para o outro, observando-se que a empresa deverá aumentar sua maturidade e adotar um verdadeiro processo de Transformação Digital para estar em compliance com a lei, tratando adequadamente os dados pessoais, estando sujeita, caso não o faça, além das sanções aqui já discorridas, a sério risco reputacional que lhe pode ser muito mais prejudicial.
Das boas práticas e da Governança
Importante salientar que, a partir de agora, todo e qualquer produto ou serviço deverá ser pensado, criado e lançado no mercado pela empresa com a plena observância da proteção aos dados pessoais, resguardados pela LGPD.
Não obstante, vale notar que um programa de adequação requer tempo, construção de cultura, maturidade e conhecimento técnico, não só das empresas, mas principalmente das pessoas que compõem as empresas.
Por isso, buscando o afastamento de riscos e visando à conformidade em relação à privacidade e proteção de dados, conforme o art. 50 da LGPD, que dispõe que:
“Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.”
No mais, para quem ainda não começou sua adequação à LGPD, o ponto de partida é o chamado Assessment (Mapeamento/Diagnóstico de Dados) sob o prisma técnico (de Tecnologia da Informação), que tem a capacidade de gerenciar todos os dados coletados, tratados e armazenados pela empresa e sua situação em relação à nova legislação.
Neste momento, será necessária a categorização dos dados, separando os dados pessoais daqueles que são dados pessoais sensíveis, analisando-se o tracking (caminho) desses dados, para analisar quais informações deverão ser coletadas, mantidas e quais são excessivas e deverão ser descartadas, e ainda onde/como armazená-las de forma segura, com quem tais dados podem ser compartilhados, dentre outros vários temas relevantes.
Nesta linha, deverá ainda ser feito o controle do acesso a essas informações, com o condão de proteção da empresa e daqueles que irão manusear as informações, criando controles com o intuito de proteção aos direitos dos titulares. Veja-se que se torna estritamente necessário o uso de tecnologia especializada, tanto para detecção quanto para a prevenção e combate das vulnerabilidades relacionadas à coleta, tratamento e armazenamento de dados pessoais.
Merece destaque a nomeação do profissional que assumirá o papel de EPD (Encarregado de Proteção de Dados[9]), que é a figura equivalente ao DPO (Data Protection Officer), cargo criado pela GDPR na União Europeia, que poderá ser exercido por pessoa física ou jurídica (DPO as a service), atuando como elo de ligação entre a empresa (controlador) e os titulares de dados, ANPD, operadores[10] e demais órgãos, devendo agir no apoio a todas as etapas do processo de adequação, criando relatórios de riscos, atuando no plano de ação em busca à conformidade, auxiliando na montagem de resposta e monitoramento adequados a qualquer hipótese de violação de dados, acompanhando a empresa em todos esses desafios, sendo um profissional que transita um pouco em todas as áreas (tecnológica, jurídico, compliance e recursos humanos).
Afinal, desaguamos na segurança da informação, capitaneada pela área de Tecnologia da Informação, que caminhará junto ao Jurídico na implementação e manutenção do compliance das empresas em relação à Lei Geral de Proteção de Dados.
É preciso criar uma sequência de projetos para adequação, criptografia de dados e acesso seguro ao sistema, infraestrutura, senhas, perfis de acesso, limitação de informações armazenadas em banco de dados e segurança de servidores, além da confecção de Políticas de Segurança da Informação e Proteção de Dados (dentre outras), bem como a revisão de contratos e demais instrumentos para total aderência aos novos conceitos de privacidade e proteção de dados.
Além de todas as obrigações formais e legais acima mencionadas, não se pode perder de vista que ainda todos esses procedimentos caminharão de mãos dadas a um ganho gradativo de maturidade, que avançará na criação de uma cultura cada vez mais crescente com o passar do tempo, tanto das empresas quanto dos titulares dos dados pessoais. Nesse sentido, é de extrema relevância a orientação dos colaboradores, dos fornecedores e dos parceiros empresariais sobre como lidar com o tratamento de dados a partir da Lei, o que poderá ser inserido, a depender da situação, como cláusula contratual.
O importante é ter em mente que a legislação está em vigor e a adequação a seus dispositivos mostra-se premente, a fim de evitar a exposição da empresa às consequências legais.
Sandro Calixto
CLO e co-founder DataDefense
Sócio Calixto & Calixto Soc. Advs.
[1] Art. 5°, I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável.
[2] Art. 5°, II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
[3] Art. 5°, X – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
[4] Art. 5°, XIV – eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.
[5] Art. 5°, V – titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
[6] Art. 6°, I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.
[7] Art. 5°, XIX – autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.
[8] Art. 5°, VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
[9] Art. 5°, VIII – encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
[10] Art. 5°, VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Sinopse Muito boa da matéria LGPD