Desde 2018, o Brasil tem uma lei específica para a proteção de dados pessoais. A legislação busca garantir a privacidade e a segurança na gestão das informações, aproximando o país ao movimento global de regulamentação de tratamento de dados. Em breve, empresas de todos os portes vão precisar se adequar aos procedimentos.
Mas há muita dúvida a respeito desse assunto, tanto quanto a responsabilidade de governos e empresas que vão colher e usar os dados, quanto aos direitos dos cidadãos.
Então, pedimos ao Fabiano Barreto, especialista no tema pela Confederação Nacional da Indústria (CNI), para responder a algumas das dúvidas mais frequentes a respeito da nova lei.
O que é a Lei de Proteção de Dados?
É a lei nº 13.709, de 14 de agosto de 2018, que dispõe sobre a proteção de dados pessoais e altera o Marco Civil da Internet (a Lei nº 12.965, de 23 de abril de 2014). Ficou conhecida como Lei Geral de Proteção de Dados ou LGPD, por influência da norma europeia sobre dados pessoais, General Data Protection Regulation, conhecida como GDPR.
Por que precisamos de uma Lei de Proteção de Dados?
Para proteger os direitos fundamentais de liberdade e de privacidade dos indivíduos e, ao mesmo tempo, promover desenvolvimento econômico e tecnológico. Aos indivíduos é garantida a transparência no uso de seus dados, por meio de informações claras, precisas e facilmente acessíveis, disponibilizadas pelos responsáveis pelo tratamento das informações pessoais. Às empresas é estimulada a livre iniciativa, a livre concorrência e a inovação, com o estabelecimento de regras equilibradas, previsíveis e em harmonia com os principais mercados externos.
Como as empresas usam os dados?
Os dados são utilizados em diversas atividades, tanto pelo setor privado quanto pelo público, que se valem de informações pessoais para operar com mais eficiência. A utilização de dados pessoais pode tornar a atividade empresarial mais segura e previsível. Dados pessoais coletados por meio da utilização de produtos podem facilitar manutenções preventivas, reduzindo riscos de saúde decorrentes de defeitos nos produtos (por exemplo, convocação de recalls). O relacionamento com os clientes também pode se beneficiar do tratamento de dados. O modelo de abordagem em massa pode ser substituído por um contato customizado de acordo com as reais necessidades do consumidor.
Como consumidor, quais são os meus direitos?
A LGPD garante ao indivíduo a titularidade sobre suas informações pessoais. Como titular dos dados, você tem direito à correção de dados incompletos, inexatos ou desatualizados; à anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD; à informação sobre as entidades públicas e privadas com as quais o controlador (empresa ou governo) realizou uso compartilhado de dados; à revogação do consentimento; etc.
Qual é a relação da Lei de Proteção de Dados com o Marco Civil da Internet?
A preocupação em evitar a violação da privacidade dos indivíduos em função da utilização indevida de informações pessoais não é recente. Desde a década de 1970, quando a web sequer havia sido criada, há leis que tratam do tema. Obviamente, ao mesmo tempo em que permitiu a criação de novos produtos e serviços, a disseminação das tecnologias digitais potencializou os riscos de danos à privacidade dos indivíduos. O Marco Civil da Internet foi criado nesse contexto. A LGPD estabelece as condições para o tratamento de dados pessoais em qualquer meio, analógico ou digital. Portanto, é uma lei mais ampla, para além dos limites digitais. É por isso que a LGPD revogou os artigos do Marco Civil que tratavam sobre a proteção de dados pessoais.
O que as empresas precisarão fazer para se adaptar à nova lei?
A adequação à LGPD depende de vários fatores: o volume de dados tratados pela empresa, como é feito o armazenamento dessas informações, o nível de conhecimento da equipe sobre o tema, a necessidade de contratar profissionais especializados, etc. Como regras básicas, as empresas deverão tornar transparentes os usos de dados pessoais e identificar qual é a base legal para o uso das informações. Segundo a nova lei, é possível tratar os dados em condições específicas, desde que o titular dê o consentimento ou para o cumprimento de obrigações legais, como, por exemplo, o controle de horas trabalhadas pelo empregador.
A regra é a mesma para todas as empresas?
A lei vale igualmente para todos, mas há um tratamento diferenciado para empresas de pequeno porte, conforme determina a Constituição. Em geral, as empresas com operação internacional já estão familiarizadas com esse tipo de legislação. No exterior, as primeiras leis sobre proteção de dados surgiram há décadas. Mas as micros e pequenas empresas (MPEs) enfrentarão um processo mais longo de aprendizagem. A lei estabelece a possibilidade de procedimentos simplificados e diferenciados, inclusive quanto aos prazos para adequação para empresas de menor porte.
O que acontece se as empresas não se adequarem? Há sanções? Multas?
A lei prevê diferentes tipos de sanções, que serão aplicadas após procedimento administrativo, que levará em conta a gravidade e a natureza das infrações e dos direitos pessoais afetados, a condição econômica do infrator, entre outros. As sanções vão de advertência, publicização da infração, bloqueio do tratamento de dados, até multa de até 2% (dois por cento) do faturamento da pessoa jurídica, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.
O que as empresas precisam começar a fazer hoje?
O primeiro passo é mapear os processos que utilizam dados pessoais, (clientes, fornecedores, colaboradores, etc). Há vários corriqueiros: o cadastro do CPF para acesso à empresa; o disparo de e-mails marketing para uma base de clientes; as informações sobre histórico profissional utilizadas pelo RH da empresa; etc. Na sequência, é importante identificar a base legal para o tratamento. Há consentimento dos titulares? Há uma obrigação legal para o tratamento? Há uma obrigação contratual? Por fim, elaborar um plano de adequação, para os casos de não conformidade com a LGPD.
Quem garante o cumprimento das normas?
A fiscalização administrativa será feita pela Autoridade Nacional de Proteção de Dados (ANPD), cuja criação ainda está pendente, em discussão no âmbito do Poder Executivo. Além disso, o Poder Judiciário continua sendo responsável por analisar questões relacionadas a eventuais danos sofridos ou descumprimento de leis.
Para que serve a Autoridade Nacional de Proteção de Dados?
Além de fiscalizar administrativamente o cumprimento da LGPD, a Autoridade deverá promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança; promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade; editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte; deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação desta Lei; etc.