LGPD - Como as empresas devem agir após as mudanças da nova lei

A preocupação dos países quanto à proteção dos dados de seus cidadãos é há tempos discutida, principalmente após vazamentos de informações ocorridos nas mídias sociais, do comércio e compartilhamento de dados pessoais - muitas vezes sem o consentimento do usuário. Nesse sentido, foi editada a Lei Geral de Proteção de Dados Pessoais (LGPD), que surgiu da necessidade, cada vez mais constante, de proteger os dados pessoais e a privacidade do indivíduo, em meio eletrônico ou não.

Entretanto, embora a LGPD tenha sido publicada em 2018, sua vigência é repleta de incertezas e insegurança jurídica, mas ao que tudo indica, as empresas que não estão preparadas para essa nova realidade devem apressar.

1. Histórico

A legislação Brasileira foi inspirada nas legislações estrangeiras, tanto no Regulamento Geral sobre a Proteção de Dados (RGPD) criado em 2016 pela União Europeia, sendo implementado em 2018, como na legislação dos Estados Unidos, a Lei de Privacidade do Consumidor da Califórnia que surgiu em 2018 e que passou a viger agora em 2020.

A base de toda a discussão sobre a proteção de dados advêm não só dos princípios Constitucionais, como a dignidade da pessoa humana (art. 1°, III), a proteção da intimidade, vida privada, honra e imagem (art. 5°, X), mas também estão em outros ordenamentos, como o Código Civil e Código de Defesa do Consumidor.

Podemos dizer que no Brasil, o início da regulamentação se deu através da Lei 12.965/14, conhecida como Marco Civil da Internet. Nela foram estabelecidos princípios, garantias, direitos e deveres para o uso da internet, sendo que no art. 7° já tratava sobre o direito do usuário à inviolabilidade de sua intimidade, proteção e indenização por eventuais danos sofridos.

Os debates quanto à LGPD se iniciaram através do Projeto de Lei 4.060/12. Após discussões, pareceres, emendas, apensos e votações, o projeto foi transformado na Lei 13.709, publicada com vetos pelo Presidente da época, Michel Temer.

Assim, a lei foi publicada ainda em 2018, alterando partes do Marco Civil da Internet e criando o regulamento específico da proteção e do tratamento de dados. Entretanto, a vigência está sendo em partes, conforme veremos adiante.

2. O que é a LGPD?

A LGPD, basicamente, é a legislação que estabelece as diretrizes sobre o tratamento que deve ser dispensado pelas pessoas físicas ou jurídicas, seja de direito público ou privado, com relação aos dados fornecidos pelos indivíduos.

Nela estão previstos os fundamentos, a quem se aplica ou não, conceitos básicos, requisitos, responsabilidades e penalidades por descumprimento, bem como sua vigência.

Qualquer operação de tratamento e coleta de dados realizada em território nacional, mesmo que a empresa tenha sede no exterior, ou quando a atividade de tratamento seja destinada ao oferecimento de bens e serviços, estará sujeita à observância da LGPD.

Em outras palavras, quando as informações brasileiras estejam ou sejam coletadas no País, além de possuir o consentimento do titular, deverá cumprir as regulamentações determinadas.

No entanto, o tratamento de dados não será aplicado quando houver fim exclusivamente particular e não econômico. Fins jornalísticos, artísticos, acadêmicos (nos termos do art. 7° e 11 da Lei), ou que tenham relação à segurança pública e do Estado, defesa nacional ou atividades de investigação e infrações penais, também não estarão sujeitos à LGPD.

A Lei conceitua que dados pessoais são as informações relacionadas à pessoa natural que permitam a sua identificação, ou tornem o sujeito identificável, tais como o número do Cadastro de Pessoas Físicas (CPF) ou Registro Geral (RG), e até mesmo seu endereço.

Dados sensíveis, por sua vez, são dados pessoais que estão ligados a outros fatores, como à origem racial, étnica, religião ou organizações religiosas, opinião política, filiação a sindicatos, posições filosóficas, ou ainda referentes à vida sexual, genético ou biométrico.

Entretanto, ao conceituar o tratamento de dados especificamente, no art. 5°, inciso X, o fez de maneira muito ampla e genérica, considerando-os como: “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.”

Ainda, através da Lei 13.709/18, houve a criação da Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública, que tem como objetivo zelar, fiscalizar e aplicar sanções em caso de descumprimento da legislação. Possuindo também competência para editar regulamentos e procedimentos, bem como realizar estudos sobre práticas nacionais e internacionais visando o aprimoramento do tratamento de dados.

Contudo, muito embora em vigência desde 2018, a estrutura da ANPD foi regulamentada somente em 2020, através do Decreto 10.474, ou seja, dois anos após sua criação, o que prejudicou o desenvolvimento da área, tendo em vista que é órgão competente para regulamentá-la.

3. Vigência da LGPD

Na redação original a vigência da Lei 13.709/18 se daria após 18 meses da publicação oficial, garantindo tempo para que todos se adequassem. Contudo, houve tantas alterações que paira sob a legislação incertezas e insegurança jurídica, o que justifica a preocupação das empresas.

A Medida Provisória 869/18, que posteriormente foi convertida na Lei 13.853/19, estabeleceu que a ANPD (arts. 55-A a 55-L, 58-A e 58-B) passaria a vigorar a partir de 28/12/18, e os demais artigos 24 meses depois da data de publicação.

Contudo, através da publicação da Lei n. 14.010/20, o prazo foi adiado novamente. A legislação estabeleceu no art. 20 que as punições (arts. 52, 53 e 54 da LGPD) passarão a vigorar somente em 1°/08/21, de forma que as demais disposições entrariam em vigor efetivamente em agosto de 2020.

Mas infelizmente as incertezas não pararam por aí.

Em 29/08/20 foi publicada a Medida Provisória 959/20, prorrogando novamente o prazo de vigência da LGPD para 03/05/21. Na exposição de motivos da medida consta que a pandemia e seus impactos causados impediram que grande parcela da sociedade conseguisse se adequar à lei, sendo que sua prorrogação garantiria uma aplicação mais ordenada e segura.

Ocorre que as medidas provisórias têm prazo de 60 dias, prorrogáveis por mais 60, para que sejam convertidas em lei. Entretanto, ao ser apreciada a MP não foi aprovada, de forma que as normas gerais referentes à LGPD já estão em vigor.

Para facilitar, quanto à vigência da LGPD até o momento, temos:

4. Aplicação da LGPD nas empresas

De início, importante mencionar que não serão somente as empresas privadas que estão sujeitas à observância da legislação. O tratamento dos dados pelo poder público possui um capítulo específico na LGPD para que também promova sua adequação.

Além disso, podemos notar que as informações coletadas dos clientes ou usuários geralmente não estão concentradas em um único lugar. Isto significa que, para efetivar aplicação da Lei, as empresas deverão, primeiramente, mapear os dados pessoais utilizados na sua atividade: desde a entrada das informações até o fim da utilização dos dados.

Assim, a recomendação é centralizar e proteger as informações por sistemas ou bancos de dados, o que facilita, inclusive, a gestão das informações.

Depois desse filtro, as empresas deverão observar os princípios legais estabelecidos no art. 6° da LGPD, sendo eles: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, garantia, transparência, segurança, prevenção, não discriminação e responsabilização.

Dos princípios podemos concluir que entre as finalidades legais está o fornecimento somente dos dados que sejam necessários para que as empresas ou entidades atuem ou prestem seu serviço, proporcionando ao usuário transparência e conhecimento de quais dados serão utilizados e com qual finalidade.

Alguns conceitos também são relevantes para a adequação das empresas. Será considerado como controlador o encarregado pela tomada de decisões referentes ao tratamento de dados. Operador será quem realiza o tratamento em nome do controlador. Ambos serão chamados de agentes de tratamento.

E por fim, será considerado como encarregado a pessoa indicada pelos agentes de tratamento, como canal de comunicação entre o controlador, os titulares dos dados e a ANPD.

Caso exista a necessidade de compartilhar os dados coletados com outras empresas, ou organizações, os agentes deverão deixar isso claro ao usuário. É importante que as companhias atualizem seus termos de uso e políticas de privacidade, para que forneçam as informações necessárias ao titular dos dados, sob pena de responsabilização.

Se a empresa necessitar de dados de crianças ou adolescentes, ou ainda dados sensíveis, elas devem tomar ainda mais precaução quanto ao armazenamento dessas informações, tendo em vista que necessita de consentimento expresso pelo usuário.

5. Penalidades

Os que não se adequarem ou descumprirem a LGPD estarão sujeitas às penalidades estabelecidas a partir do art. 52 da lei, aplicáveis aos órgãos públicos e empresas privadas.

São previstas sanções administrativas, como advertência e multas que variam entre 2% do faturamento e 50 milhões de reais (limite).

Além disso, os estabelecimentos estarão sujeitos a publicidade da infração, ou até mesmo o bloqueio e exclusão direta dos dados irregulares. As penalidades são aplicáveis desde órgãos públicos à empresas privadas.

Por fim, ainda estarão sujeitas às penalidades civis e criminais que decorrerem do prejuízo ou dano causado pela falta de tratamento das informações.

Diante de todo exposto, nota-se que a adequação e observância das empresas em relação à LGPD deve ser realizada no período mais breve possível.

Se você tiver dúvidas ou deseja fazer suas considerações, comente abaixo ou escreva diretamente para a autora: andressasehn@vamosescrever.com.br .