Notícias

Nova Lei Geral de Proteção de Dados é desafio para empresas

Nova Lei Geral de Proteção de Dados é desafio para empresas

Alerta às empresas: Nova Lei Geral de Proteção de Dados exige providências imediata

Todas as empresas brasileiras estão diante de um novo desafio de proteger os dados dos seus clientes. A Lei Geral de Proteção de Dados ou simplesmente LGPD (lei 13.709/20180) impactará as empresas como poucas outras. Vazamentos de informações são de responsabilidade das empresas, que ficarão sujeitas a multas pesadas se falharem na proteção às informações dos seus clientes.
A lei foi sancionada em agosto de 2018, com 24 meses para entrar em vigor. Ou seja, importante que as empresas adotem medidas de proteção de dados ate agosto de 2020, evitando surpresas, multas e outras despesas. 

Nova legislação – Os recentes vazamentos de dados da rede social Facebook – liberando informações de milhares de usuários para a empresa britânica de big data e marketing político Cambridge Analytica – levaram diversos países a apressarem leis de proteção de informações pessoais.
Em maio de 2018 a União Europeia publicou o seu Regulamento Geral de Proteção de Dados da União Europeia (GDPR). O Senado Federal brasileiro rapidamente aprovou, no dia 10 de julho de 2018, o PLC 53/18, a Lei Geral de Proteção de Dados brasileira (LGPD).
Em 13 de agosto de 2018 a lei 13.709 foi sancionada, alterando a lei 12.965/2014 (o Marco Civil da Internet). A nova lei começará a vigorar daqui a 18 meses, período em que o governo, empresas e a sociedade deverão realizar as devidas adaptações.
A nova lei coloca o Brasil na lista de mais de 100 países que já podem ser considerados adequados para proteger a privacidade e o uso de dados.
A LGPD cria uma regulamentação para o uso, proteção e transferência de dados pessoais no Brasil, nos âmbitos privado e público, e estabelece de modo bem definido quem são os atores envolvidos e quais são suas atribuições, responsabilidades e penalidades no âmbito civil – que podem chegar a multa de R$ 50 milhões, por incidente.
Os direitos fundamentais de liberdade e de privacidade, como a livre iniciativa e o desenvolvimento econômico e tecnológico do país estão definidos na lei.

Transparência – A LGPD tem, entre seus princípios relevantes o da transparência para o uso de dados pessoais e a respectiva responsabilização das empresas de adequação, ou seja, a compatibilização do uso dos dados pessoais com as finalidades informadas.
Além da utilização limitada aos fins informados aos clientes, a empresa tem a responsabilidade de proteger os usuários em toda arquitetura do negócio (privacy by design). Outro princípio é o da necessidade, que significa limitar o uso dos dados ao mínimo necessário para que se possa atingir a finalidade pretendida, do qual surge ainda a indispensável exclusão imediata de dados, após atingida tal finalidade.

O que são os dados – A regulamentação define como dado pessoal qualquer informação que identifique diretamente ou torne identificável uma pessoa natural e tratamento, como toda operação realizada com dados pessoais, tais como a coleta, utilização, acesso, transmissão, processamento, arquivamento, armazenamento, transferência etc.
Qualquer tipo de operação de tratamento de dados pessoais realizada no território nacional, por pessoa natural ou pessoa jurídica de direito público ou privado, cujos titulares estejam localizados no Brasil, ou que tenha por finalidade a oferta de produtos ou serviços no Brasil, estão sujeitos à LGPD, que passa a exigir o consentimento expresso do usuário para esta operação.
Para uso dos dados, o consentimento deve ocorrer por manifestação livre, informada e inequívoca do titular, expressando sua concordância com o tratamento de seus dados pessoais para uma finalidade determinada, não sendo admitidas autorizações genéricas, sendo vedado o tratamento, caso a autorização tenha sido obtida mediante vício de consentimento.
São exceções únicas à aplicação da lei as hipóteses de tratamento de dados pessoais realizado por pessoa natural para fins exclusivamente particulares e não econômicos, além daqueles realizados exclusivamente para fins jornalístico, artístico ou acadêmico (caso em que não se dispensa o consentimento), de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais ou, ainda, dados em trânsito, ou seja, aqueles que não tem como destino Agentes de Tratamento no Brasil.

Responsáveis – Foi criada a figura dos chamados “Agentes de Tratamento de dados pessoais” – o Controlador e o Operador – que podem ser uma pessoa natural ou jurídica, de direito público ou privado. Ao Controlador competem as decisões referentes ao tratamento de dados pessoais, enquanto ao Operador), a realização do tratamento em nome do primeiro.
Também foi definida a figura do Encarregado, que, na condição de pessoa natural ou jurídica, de direito público ou privado, atuará como canal de comunicação entre o Controlador e os titulares de dados pessoais e a Autoridade Nacional de Proteção de Dados (ANPD).

Diretos dos usuários – Os “direitos dos usuários” estão em capítulo próprio no texto legal, valendo destacar o direito de acesso, que vai garantir a possibilidade de obtenção, mediante requisição, junto aos controladores, de todos os dados pessoais que estão sendo tratados, e como consequência disso, os direitos de retificação e atualização. A empresa é obrigada manter os dados sempre corretos e atualizados.
Em relação ao ”consentimento”, a lei traz vários requisitos para sua validade. As informações sobre o tratamento de dados – as finalidades, forma e duração, identificação do controlador e seus dados de contato, informações sobre uso compartilhado, responsabilidades dos agentes que farão o tratamento –, devem ser de fácil acesso ao usuário. Da mesma forma, o procedimento de retirada ou revogação do consentimento e a mudança de finalidade (finalidade não compatível com a original) devem ser gratuitos e facilitados.
Há outras previsões na lei, como o processo de “anonimização” (técnica que afasta a possibilidade de associação ao indivíduo sem possibilidade de reversão). Esta é uma alternativa que pode ser utilizada para dispensar o consentimento do titular dos dados pessoais objeto de tratamento.

Relatório de Impacto – O cumprimento das obrigações da lei exigirá das empresas, através de seus “agentes de tratamento”, a elaboração do Relatório de Impacto à Proteção de Dados Pessoais, contendo, no mínimo, a descrição dos tipos de dados coletados, o fundamento da coleta e a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação as medidas, salvaguardas e mecanismos de mitigação de risco adotados, no que resulta na importância de se estruturar sistemas de segurança da informação confiáveis que permitam decisões automatizadas nos negócios.

Encarregado – As empresas também terão que nomear seu “Encarregado de Proteção de Dados” (DPO – Data Protection Officer), que terá como principal atividade o monitoramento e disseminação das boas práticas em relação à proteção de dados pessoais perante funcionários e contratados no âmbito da empresa, bem como o relacionamento com a Autoridade Nacional de Proteção de Dados (ANPD).
Os “agentes de tratamento” deverão adotar medidas de segurança habilitadas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Qualquer incidente envolvendo dados pessoais que possam acarretar em risco aos seus titulares deverão ser reportados à ANPD, assim como às próprias vítimas.

Comunicação rápida e eficiente – A comunicação deverá ser feita com agilidade, com a descrição da natureza dos dados pessoais afetados, as informações sobre os titulares envolvidos, a indicação das medidas técnicas e de segurança utilizadas, os riscos relacionados ao incidente, eventuais motivos da demora, no caso de a comunicação não ter sido imediata, bem como as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

Internacional – A lei também estabelece regras para o fluxo de dados para outros países, a chamada transferência internacional de dados, que somente será permitida para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais compatível com a lei brasileira ou mediante oferecimento de garantias do regime de proteção de dados local.

Tempo e ações – As empresas terão até agosto de 2020 para se adequarem. Os principais desafios bem definidos são:
1) Nomeação de um encarregado
2) Realização de uma auditoria de dados
3) Elaboração de mapa de dados
4) Revisão das políticas de segurança
5) Revisão de contratos
6) Elaboração de Relatório de Impacto de Privacidade

Cibersegurança – Com a nova Lei Geral de Proteção de Dados brasileira, todas as empresas de pequeno, médio e grande porte terão que investir em cibersegurança e implementar sistemas de compliance efetivos para prevenir, detectar e remediar violações de dados pessoais, notadamente porque a lei prevê que a adoção de política de boas práticas será considerada como critério atenuante das penas.

Penalidades – Estão previstas penalidades e multas que podem chegar a R$ 50 milhões, por infração:
1) Advertência, com prazo para corrigir falhas.
2) Multa simples de até 2% do faturamento – poderá chegar a até R$ 50 milhões por infração.
3) Multa diária, em casos específicos, até o limite da multa simples.
4) Aspectos públicos – cuidados preventivos e punição do responsável.
5) Bloqueio e exclusão dos dados pessoais.