This post is also available in: Português English Español
A publicação da Lei 13.709 em agosto de 2018 poderia ter sido apenas mais uma das centenas de leis aprovadas todos os anos sem grande publicidade, ou nem mesmo chegam ao conhecimento da população. Mas não foi e não será o caso da LGPD!
A aprovação da Lei Geral de Proteção de Dados Pessoais (LGPD) ganhou a atenção nacional, tanto pela importância da regulamentação, quanto pelo alcance de praticamente todas as empresas e serviços no país. Por isso é vital entender melhor sua importância e a necessidade da adequação.
A leitura deste blog post trará maior clareza sobre aspectos gerais da lei de proteção de dados, incluindo: detalhamento sobre o que é a Lei, quais dados ela se propõe a proteger, quem deverá buscar conformidade com a mesma e o que mudará quando esta entrar em vigor.
O que é a LGPD?
Embora no Brasil já existissem diversos artigos e leis que direta ou indiretamente regulamentavam a proteção à privacidade e aos dados pessoais, a LGPD unificou importantes conceitos, obrigações, direitos e consequências pelo seu descumprimento.
Muito além da instituição de obrigações e deveres, a lei também visa fomentar o desenvolvimento econômico, especialmente para empresas que negociam com países que já possuem legislação específica para proteção dos dados pessoais e exigem a mesma equiparação de legislação nacional. É o caso da União Europeia desde a entrada em vigor da GDPR (General Data Protection Regulation) em maio de 2018.
A LGPD foi aprovada em agosto de 2018 e previa o período de 18 meses para entrada em vigor, ou seja, fevereiro de 2020. Contudo, com a aprovação da Medida Provisória 869/2018 em dezembro de 2018, esse prazo foi majorado para 24 meses. Assim, salvo nova modificação legislativa, a lei entrará em vigor em agosto de 2020. Essa ampliação causou alívio aos empresários, pois o prazo de 18 meses era apertado para adequação de muitos modelos de negócios às conformidades do novo regramento.
Quais dados que estão protegidos pela lei?
A lei tem como principais fundamentos a proteção à privacidade, a liberdade de expressão e a inviolabilidade da intimidade, honra e imagem. Estes alicerces merecem elevada atenção, especialmente considerando que vivemos em uma sociedade cada vez mais movida por dados. Tendo isso em mente, a lei protege todo e qualquer dado que identifica, ou a partir do qual possa ser identificada, uma pessoa natural (física). CPF, RG, endereço, IP, tipo sanguíneo, são exemplos destes tipos de dados.
A lei também regulamentou a proteção dos chamados dados sensíveis, aqueles que dizem respeito à raça, religião, filosofia, política e orientação sexual.
Mas o que representa essa proteção, afinal? Significa que os titulares passam a ter direitos mais claros sobre os seus dados, como por exemplo, saber para qual finalidade os dados estão sendo capturados e processados, a forma e a duração do processamento dos dados, quem é o controlador (pessoa responsável) e o meio para contatá-lo.
E mais, a obtenção dos dados pelas empresas vai depender do consentimento expresso do titular, de forma clara e objetiva, indicando também a finalidade para qual o dado está sendo capturado.
Quem deverá estar em conformidade com a LGPD?
Como mencionado acima, todo e qualquer dado que identifique ou possa identificar uma pessoa natural passa a estar protegido pela lei a partir da sua entrada em vigor. Engana-se quem pensa que somente empresas que se utilizam da captura de dados por meio online (marketing, conteúdo, etc.) é que vão precisar se adequar à Lei de Proteção de Dados. O que já se pode afirmar é que todas as empresas do país terão de realizar consideráveis ajustes em suas rotinas para obedecer a nova regulamentação.
Veja-se que não apenas os dados de clientes estarão sob a proteção da nova lei, mas também as informações arquivadas sobre funcionários e terceirizados deverão ser adequadas. Até mesmo registros de ex-colaboradores, como por exemplo uma prova de seleção para emprego, ou informação sobre o seu plano de saúde, serão abarcadas pela lei.
A lei deve ser observada tanto por entes públicos quanto privados, ainda que tenha feito algumas distinções entre ambos. E os dados protegidos podem estar online ou offline, mesmo que de forma escrita/impressa.
Na prática, o que muda quando a lei entrar em vigor?
Importante ressaltar que muitas das alterações a serem promovidas pelas empresas quando da entrada em vigor da lei não são rápidas e tampouco simples.
Elas vão desde o momento do levantamento do passivo de dados, revisão de cláusulas e até mesmo contratos, revisão de termos de consentimento, inclusão de políticas rigorosas de segurança de dados, treinamentos, criação de políticas de compliance em segurança de dados, até a adequação de sistemas para permitir portabilidade de dados e a preparação de relatórios exigidos pela lei.
Além disso, a Medida Provisória assinada em dezembro criou a Autoridade Nacional de Proteção de dados, que terá a função de nortear a implementação da lei e fiscalizar casos de vazamento de dados e descumprimento das obrigações. As multas que poderão ser aplicadas por esse Órgão, vinculado ao Gabinete da Presidência, são altas, podendo atingir até 2% da receita da empresa para cada incidente, além da imposição de multas diárias e outras penalidades.
Enquanto esse Órgão não alcança abrangência nacional, outros Entes como o Ministério Público e o Procon (em defesa do consumidor) também estarão de olho no cumprimento das obrigações. Mesmo antes da entrada em vigor da lei, em alguns Estados, o Ministério Público já está aplicando multas ainda com base em outros regulamentos, como o Marco Civil da Internet.
Assim, considerando a repercussão social e os riscos econômicos ligados ao assunto, as empresas, nas pessoas dos responsáveis, precisam compreender que é indispensável implementar uma nova cultura com maior responsabilidade sobre o tratamento dos dados, tornando esse investimento uma importante vantagem competitiva.
This post is also available in: Português English Español