Lei de Proteção de Dados Pessoais – breve análise

Lei de Proteção de Dados Pessoais – breve análise

Com a sanção da Lei Geral de Proteção de Dados publicada em 15.08.2018 no Diário Oficial da União (Lei 13.709 de 2018) o Brasil segue a tendência mundial e estabelece o marco legal que regulamenta o uso, a proteção e a transferência de dados pessoais.

A exemplo da legislação europeia (General Data Protection Regulation – GPDR), a LGPD promoverá alterações importantes na forma como são capturadas, armazenadas, disponibilizadas e utilizadas as informações pessoais no Brasil.

Em virtude das novas disposições legais brasileiras, somente com o consentimento explícito dos titulares poderá ocorrer coleta e uso de seus dados e os Agentes de Tratamento ficam obrigados a oferecerem alternativas para que os dados coletados sejam visualizados, alterados ou excluídos de suas bases.

As exigências legais começam a vigorar em 2020, quando efetivamente os cidadãos brasileiros passam a ter garantias jurídicas para exercerem maior controle sobre suas informações pessoais.

Todavia, desde já as empresas terão que se estruturar e sistematizar procedimentos, criar mecanismos e capacitar pessoas para cumprirem as novas exigências legais; sob pena desse prazo ser insuficiente.

Visão Geral

Histórico

O  fator determinante para a urgência que caracterizou a tramitação do PLC 53/2018,  origem da lei, foi o escândalo de vazamento de dados envolvendo o Facebook e a empresa Cambridge Analytica.

Notícias amplamente divulgadas na imprensa sobre esse episódio informam que mais de 50 milhões de pessoas teriam tido seus dados coletados e utilizados no marketing político, sem seus consentimentos, fato que violentou direitos e garantias individuais.

O escândalo ganhou maiores proporções na medida em que a Cambridge Analytica esteve ligada ao grupo que atuou durante as eleições americanas de 2016, quando Donald Trump foi eleito e ajudou a promover o Brexit (movimento que determinou a saída do Reino Unido da União Europeia).

Princípios e Fundamentos Legais

Para realizar tratamento de dados pessoais os Agentes deverão demonstrar a observância dos princípios de boa-fé, finalidade, adequação, necessidade, livre acesso, qualidade de dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação e contas.

Como de praxe, alterações no ambiente regulatório resultam em impactos para o mercado e exigem adaptação por parte dos entes regulados.

Nesse caso, exigirá o desenvolvimento de processos e procedimentos internos próprios, bem como alocação de pessoal qualificado para executar os processos de acordo com padrões exigidos.

Além dos princípios gerais mencionados, o texto legal se fundamenta nos preceitos citados em seu art. 2°:

  • o respeito à privacidade
  • a autodeterminação informativa,
  • a liberdade de expressão, de informação, de comunicação e de opinião;
  • a inviolabilidade da intimidade, da honra e da imagem;
  • o desenvolvimento econômico e tecnológico e a inovação; a livre iniciativa,
  • a livre concorrência e a defesa do consumidor; e
  • os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Impactos nas organizações

A lei cuidou de instituir as figuras  do controlador (pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais) e do operador (pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador) atribuindo-lhes obrigações específicas como sigilo, adoção de medidas de segurança além de outras.

Isso significa que os Agentes deverão alocar pessoas especializadas para tratarem o assunto de forma sistematizada (mapear processos, rever sistemas, estabelecer procedimentos de segurança, monitorar riscos, elaborar relatórios de impacto e notificar incidentes relacionados à segurança das informações, etc.).

Dependendo da natureza, do porte e do volume de tratamento de dados da organização, pode ser necessário o estabelecimento de um Encarregado pelo processo que responderá pelas atribuições constantes da lei e por outras a serem definidas pela Autoridade Nacional. Por analogia, esse profissional terá o mesmo papel que o Data Protection Officer (“DPO”) exigido na legislação europeia de Proteção de Dados (GPDR).

Aspectos Gerais

Todas empresas que lidam com dados pessoais em meio físico ou lógico (de funcionários, clientes, parceiros, fornecedores, etc.) independentemente do ramo do porte e segmento deverão se adaptar à nova lei, de acordo com suas peculiaridades e com as orientações da Autoridade Nacional de Proteção de Dados a ser instituída.

A lei reafirma os direitos fundamentais de liberdade, de intimidade e de privacidade dos titulares dos dados, orienta sobre os requisitos para tratamento de dados pessoais, sobre a adoção de boas práticas de segurança e as responsabilidades dos agentes.

Os dados sensíveis, de menores e a transferência internacional, bem como o Tratamento de Dados Pessoais pelo Poder Público, sujeitam-se a regras específicas, algumas ainda a serem definidas.

Importante destacar que a lei reservou o Capítulo VII exclusivamente para tratar da Segurança, do Sigilo dos Dados, das Boas Práticas e da Governança; demonstrando a relevância dos procedimentos de Controles Internos, Compliance e de Gestão para o atingimento dos objetivos a que se propõe.

Aplicação da Lei

O artigo 3° estabelece que a lei segue o princípio da extraterritorialidade, ou seja, a lei se aplica independentemente do país onde estejam localizados os dados, se a sua coleta ou tratamento forem realizados no Brasil ou se visarem a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no país.

As exceções para aplicação da lei estão descritas em seu artigo 4°, dentre as quais destacam-se os tratamentos  realizado por pessoa natural para fins exclusivamente particulares e não econômicos ou realizados para fins exclusivamente jornalísticos, artísticos, de segurança, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais.

O art. 52 trata das sanções administrativas aplicáveis pela autoridade nacional em casos de descumprimento, inclusive das multas que podem atingir   R$50.000.000,00 (cinquenta milhões de reais).

Finalmente, em seu art. 63 o marco regulatório prevê que a autoridade nacional estabelecerá normas para adequação progressiva dos Agentes de Tratamento até a data de sua entrada em vigor, à vista da complexidade da matéria.

Comentários desativados.