A importância da LGPD no Brasil

DA LEI GERAL DE PROTEÇÃO DE DADOS E DOS PROGRAMAS DE COMPLIANCE

A proteção da privacidade de dados pessoais no Brasil está passando por uma verdadeira quebra de paradigma em razão da aprovação da Lei Geral de Proteção de Dados (Lei Federal nº 13.709/18). É uma legislação que reúne uma série de itens de controle para assegurar o cumprimento das garantias previstas cujo lastro se funda na proteção dos direitos humanos. Conhecida pela sigla LGPD, foi promulgada pelo presidente Michel Temer no dia 14 de agosto de 2018 e o prazo para adaptação às novas regras é de 18 meses, tanto para empresas públicas como para empresas privadas, considerando qualquer porte e segmento de mercado. A LGPD é fruto de uma crescente evolução no tratamento de dados. Neste cenário, temos também a General Data Protection Regulation (GDPR) da União Europeia. Com o período de vacatio legis, em fevereiro de 2020 a lei passará a ter eficácia plena em todo território nacional, assim, qualquer um que não cumprir as normas ditadas poderá pagar multas que podem variar entre R$ 50 milhões e 2% do faturamento total da empresa, como previsto no artigo 52 da Lei. Desta forma, observa-se que a LGPD busca estimular a aplicação de seus dispositivos em caráter preventivo. A promulgação da lei coloca o Brasil no rol de mais de 100 países que hoje podem ser considerados adequados para proteger a privacidade e o uso de dados. Talvez uma das maiores mudanças e um dos fundamentos da Lei Geral de Proteção de Dados é a autorização do cidadão para divulgação e disponibilização de seus dados. Cuida-se, também, de primeiro requisito autorizador para o tratamento de dados (artigo 7º, inciso I da nova Lei), sendo necessário que se colha a manifestação livre, informada e inequívoca do titular. Toda empresa que realiza o tratamento de dados (qualquer operação realizada com dados pessoais), tais como a coleta, utilização, acesso, transmissão, processamento, arquivamento, armazenamento, transferência etc. se enquadram nesta Lei e terão a obrigatoriedade de se adequar.   É muito importante observar que o que acontecia até a promulgação da lei era que muitas empresas realizavam o uso indiscriminado de informações confidenciais de clientes, existindo, até mesmo, um comércio de dados. Organizações especializadas em coletar informações buscavam reunir o máximo de elementos em um determinado mercado e, depois, vendiam toda essa massa de dados a outras empresas para que pudessem aplicar em suas estratégias de marketing. Na maioria das vezes, o proprietário da informação, o usuário, não tinha conhecimento do que era realizado com seus dados ou do que estava sendo coletado a seu respeito. Vale ressaltar que a LGPD em seu artigo 11, teve um cuidado especial em relação aos dados pessoais sensíveis, que são dados considerados totalmente confidenciais. Entre eles podemos destacar o número do CPF ou RG, informações bancárias, número de cartão de crédito, e-mail, informações de funcionários, os de origem racial ou étnica, convicção religiosa, opinião política, dado referente à saúde ou à vida sexual e os dados genéticos ou biométricos. Estas empresas que coletam dados pessoais sensíveis, como por exemplo, clínicas médicas, hospitais, laboratórios de análises clínicas, colégios, universidades, clubes recreativos, escritórios de contabilidade, escritórios de advocacia, hotéis, academias, enfim, toda e qualquer empresa que faça a coleta ou tratamento de dados sensíveis precisa ter um cuidado maior, haja vista que, seja por sua natureza, seja por suas características, a sua violação desses dados pode implicar riscos significativos em relação aos direitos e às liberdades fundamentais da pessoa. O artigo 14 da Lei sugere ainda maior atenção das empresas, por se tratar de dados pessoais de crianças e adolescentes. Os dados relacionados a menores de idade estão classificados em uma categoria de dados especiais e exigem um tratamento diferenciado em termos de cuidado. As informações relacionadas a menores de idade devem ter o consentimento de pelo menos um dos pais ou responsáveis legais. Outra imposição da LGPD conforme seu artigo 16 é que as empresas deverão eliminar (apagar) os dados após o término de seu tratamento e, ainda, deverão disponibilizar um canal de comunicação gratuita, que pode ser um e-mail ou um 0800, no qual o titular poderá pedir a exclusão de seus dados. O descarte pode e deve ocorrer, já que é um direito do titular, mas será observado se recairá alguma previsão de justificativa legal de retenção que permita a manutenção do dado por um prazo até a sua eliminação definitiva. O titular dos dados tem o direito ao livre acesso às informações relativas ao tratamento, reiterado de maneira enumerativa no artigo 18 da Lei, cuja preocupação é garantir que o titular possa assegurar que seus dados estão sendo tratados de forma segura. A LGPD criou os chamados Agentes de Tratamento de dados pessoais – nas figuras do Controlador e do Operador – que podem ser uma pessoa natural ou jurídica, de direito público ou privado.

Ao primeiro (controlador) competem as decisões referentes ao tratamento de dados pessoais, enquanto ao segundo (operador), a realização do tratamento em nome do primeiro. Foi definida também a figura do Encarregado, que também na condição de pessoa natural ou jurídica, de direito público ou privado, atuará como canal de comunicação entre o Controlador e os titulares de dados pessoais e a Autoridade Nacional de Proteção de Dados (ANPD) que é o órgão da administração pública indireta que ficará responsável por zelar e fiscalizar o cumprimento da LGPD. E o que a política de Compliance tem a ver com tudo isso? Diria que tudo. Isso porque com a chegada da nova Lei de Proteção de Dados, muito da política já implementada nas empresas deve ser atualizada e padronizada de acordo com esta novidade legislativa. Para tanto, faz-se necessária a criação de novas regras e de procedimentos consignados, tanto no código de conduta quanto em normatização interna, no sentido de que sejam feitos monitoramentos periódicos e atualizados para fins de garantir que as normas de Compliance sejam atualizadas com os parâmetros definidos na Lei Geral de Proteção de Dados. Não apenas os dados dos colaboradores, mas todos àqueles que as empresas têm acesso. As empresas necessitam de um profissional responsável para atuar junto ao Comitê de Compliance. Ele será o responsável por cuidar de todos os procedimentos internos relacionados ao tratamento de dados e segurança das informações, tanto com os colaboradores, como os fornecedores. Seja o Compliance ou a Lei Geral de Proteção de Dados, o importante é que no cenário global, principalmente com as novas leis de segurança da informação, as empresas que apresentam um setor de Compliance ativo, independente e bem estruturado, têm se colocado em um patamar diferenciado de competição. As consequências do não Compliance na Lei Geral de Proteção de Dados, são, dentre outras, a publicização da infração, com dano à imagem da empresa e sua reputação, o bloqueio no tratamento de dados, sanções a serem definidas pela autoridade governamental da LGPD e multas de até 50 milhões. Na prática, a consequência é a perda de clientes e perda de contratos da cadeia de LGPD e GDPR. Além disso, com a entrada da LGPD em vigor, é necessário que as empresas atualizem seus códigos de conduta, de modo que tanto os procedimentos internos, como as normas de segurança da informação, devem estar alinhados. As empresas devem ficar atentas ao contratar profissionais, pois nem todos que se dizem capacitados realmente estão aptos a implementar efetivamente o Compliance e a LGPD. Essa adequação e implementação deve ser feita por profissionais com prática comprovada, que tenham atestados de capacidade técnica, principalmente na parte operacional. Esta área não admite profissionais que tenham apenas o conhecimento teórico, pois a efetividade e conhecimento aplicado é um fator decisivo para segurança da empresa. Por fim, espera-se que muito em breve todas as empresas venham a adotar um modelo de coleta, armazenamento e descarte de dados que seja ao mesmo tempo inteligente e eficiente, assim como efetue o devido tratamento àquilo que seja estritamente necessário à realização de suas atividades para que haja considerável mudança cultural e comportamental das empresas, principalmente em relação à coleta indiscriminada de dados.

Susana Azevedo de França Guimarães OAB/SP 169.159