Não raramente são divulgados na mídia inconvenientes episódios decorrentes da divulgação – não autorizada – de dados pessoais ou de uso indevido de informações disponibilizadas pelos cidadãos brasileiros. Quem nunca preencheu um formulário para efetuar uma compra ou realizou um cadastro para ter acesso a um site na internet sem saber o destino de tais informações?
Em virtude dos frequentes eventos de exposição irregular de dados pessoais e desvio de finalidade das informações disponibilizadas por clientes e usuários, fez-se necessária, no mundo inteiro, a elaboração de um dispositivo normativo que regulamentasse a forma com que as empresas devem utilizar, armazenar e prover os dados dos clientes, funcionários e usuários. Nesse cenário, foi instituída, no Brasil, a Lei Geral de Proteção de Dados Pessoais.
Alicerçada nos direitos fundamentais de liberdade e de privacidade e no livre desenvolvimento da personalidade da pessoa natural, a Lei Geral de Proteção de Dados Pessoais (LGPD) foi sancionada por Michel Temer e passará a viger em agosto de 2020. A mesma estratégia foi adotada por países da Europa, por meio da implementação do Regulamento Geral sobre a Proteção de Dados (RGPD) (tradução em português).
A nova lei brasileira alterou o Marco Civil da Internet (Lei nº 12.965/14) e dita a forma como se deve dar o tratamento de dados pessoais disponibilizados por clientes e usuários, inclusive nos meios digitais, impondo um padrão mais elevado de proteção e estabelecendo penalidades diante do seu não cumprimento.
Dessa forma, todas as empresas, sejam elas públicas ou privadas, que possuem em seus sistemas informações dos clientes e/ou consumidores devem respeitar os procedimentos e critérios previstos pela nova lei. Estão incluídos na categoria “dados” quaisquer elementos que permitam identificar ou descrever uma pessoa, de maneira direta ou indireta, inclusive as mais básicas informações dos usuários.
A lei distingue os dados em duas categorias, os “pessoais” e os “sensíveis”. Os dados pessoais consistem nas informações que possibilitam o reconhecimento de uma pessoa ou retrate o seu comportamento como, a título de exemplo, o nome, a idade, o endereço eletrônico (e-mail), etc. Lado outro, os dados sensíveis abarcam características que possam levar à eventual discriminação daqueles que as carregam, tais como raça, religião, opção sexual, dentre outros.
O “tratamento de dados”, a que se refere a nova lei, é entendido como todo e qualquer procedimento cujo trâmite envolva a utilização de dados próprios da pessoa, seja para coleta, classificação, uso, processamento, armazenamento, compartilhamento, transferência, eliminação ou outras atividades.
A nova norma jurídica aplica-se às pessoas jurídicas de direito público ou privado que se enquadram nos requisitos nela estabelecidos, quais sejam ter estabelecimento no Brasil, oferecer serviços ao consumidor brasileiro e tratar de dados localizados no país.
Para se amoldarem às exigências legais, as empresas deverão investir na estrutura digital do negócio, a fim de aprimorar o sistema informático de tratamento dos dados de seus clientes, evitando, assim, os riscos de exposição das informações. Uma estratégia interessante é a elaboração de relatórios de análise de risco, pontuando os componentes mais sensíveis e vulneráveis, os quais demandarão maior cuidado dos especialistas.
Com a vigência da nova lei, passará a ser obrigatória a formação de uma equipe responsável pelo tratamento de dados nas empresas, constituída pelo controlador, pelo operador e pelo encarregado, os quais podem ser funcionários da própria companhia ou terceirizados.
As empresas devem se adaptar até o segundo semestre de 2020 e o descumprimento das exigências legais poderá ensejar a aplicação de penalidades e multas ao agente infrator. O valor da multa pode atingir até 2% do faturamento da empresa, a depender do grau e da modalidade da violação, sendo a quantia máxima da sanção R$ 50 milhões.
A fiscalização do cumprimento da LGPD ficará a cargo da Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública responsável por zelar, implementar e averiguar os procedimentos adotados pelas empresas, verificando a observância das exigências legais. A ANPD foi criada pela Lei nº 13.853 (publicada em 09/07/19), sancionada pelo atual Presidente, Jair Bolsonaro, e possui natureza transitória. Em até dois anos, o órgão poderá ser transformado pelo Poder Executivo em entidade da administração pública federal indireta, submetida ao regime autárquico especial e vinculada à Presidência da República.
Portanto, verifica-se que há uma série de medidas a serem adotadas pelas empresas, dentre elas, a busca pelo conhecimento das exigências impostas pela LGDP, o aprimoramento da sua estrutura digital e a formação de uma equipe especializada na área, a fim de garantir o regular cumprimento dos requisitos legais. Recomenda-se, ainda, que as empresas se empenhem na elaboração de políticas internas, estratégias de proteção dos dados e adoção de planos de ação, inclusive em âmbito jurídico, para gestão de eventuais crises envolvendo segurança e privacidade dos usuários, mediante assessoria de competentes profissionais.
Artigo escrito pela advogada Patrícia de Castro Ciarelli, integrante do escritório Pazzoto, Pisciotta & Belo Sociedade de Advogados.
Veja todas as publicações