Empresas têm 18 meses para se adaptar às regras da LGDP

Em cerimônia realizada na tarde de hoje (14/8) no Palácio do Planalto, o presidente Michel Temer sancionou o PLC 53/2018, texto que regulamenta o tratamento de dados pessoais no Brasil, tanto pelo poder público quanto pela iniciativa privada. Conhecida como Lei Geral de Proteção de Dados Pessoais (LGDP), as normas criadas como meio de fortalecer a proteção da privacidade dos usuários e de seus dados pessoais passam a valer daqui a 18 meses, período no qual as empresas terão para se adaptar às novas regras.

Apesar da aprovação representar um importante avanço nas boas práticas e governança na gestão dos dados, por regular a coleta, uso, compartilhamento e descarte dos dados pessoais, o veto à criação da Autoridade Nacional de Proteção de Dados (ANDP) gera uma lacuna na estrutura do projeto e dificulta a aplicação e fiscalização das medidas propostas, que pode ser um entrave nas relações comerciais para o país.

“O órgão foi pensado para garantir o cumprimento e o melhor proveito da regulamentação, seja por meio de normas complementares, pareceres técnicos e procedimentos de inspeção”, explica a Dra. Patricia Peck, advogada especialista em Direito Digital. “A falta de alinhamento no mesmo grau de proteção de dados em nível internacional gera impactos econômicos para o país, pois contribui para aumentar o custo Brasil. É fundamental ter uma autoridade nacional independente, com meios de alcançar eficiência e sustentabilidade, para inclusive estarmos de acordo com o General Data Protection Regulation (GDPR).”

A necessidade de se ter uma lei específica sobre proteção dos dados pessoais decorre devido à forma como está sustentado o modelo atual de negócios da Sociedade Digital, onde a informação passou a ser a principal moeda de troca utilizada pelos usuários para ter acesso a determinados bens, serviços ou conveniências. Na medida em que a economia digital gira em torno dos dados pessoais, é preciso delimitar alguns limites e melhores práticas, para proteção do consumidor e evitar inclusive concorrência desleal.

Assim, a regulamentação traz obrigações às empresas como permitir que o usuário tenha a possibilidade de acesso ao dado que está sendo tratado, de retificação, portabilidade dos dados para outra empresa, até oposição ao tratamento realizado. “Um exemplo é a necessidade de usar criptografia em dispositivos que armazenam dados como fotografias, números de documentos, telefone e e-mail. Exige ferramentas, processo de governança, atualização de políticas e normas e camada de gestão, já que é preciso nomear uma pessoa que será responsável pela relação com as autoridades”, explica a Dra. Patricia.

As organizações devem estar prontas para cumprir essas adequações, com um canal apropriado para receber e dar andamento às solicitações de modo que alcance todos os seus sistemas e empresas para as quais os dados foram compartilhados. Ou seja, precisam avaliar seu ambiente e verificar se está preparada para estar aderente à legislação. 

No País, foram elaborados três projetos de leis tratando do tema, sendo que dois deles tramitavam pela Câmara (5.276/2016 e 4060/2012) e um pelo Senado (PLS 330/2013). Vingou o projeto da Câmara 4060/2012, após audiências públicas e consultas aos interessados com alterações, tornando-se o PLC 53/2018.

Ø    Objetivo: fortalecer a proteção da privacidade do titular dos dados, a liberdade de expressão, de informação, de opinião e de comunicação, a inviolabilidade da intimidade, da honra e da imagem, o desenvolvimento econômico e tecnológico, além da livre iniciativa, livre concorrência e inovação.

Ø    Estrutura: disposições preliminares, requisitos para tratamento de dados, direitos dos titulares, tratamento de dados pessoais pelo poder público, transferência internacional de dados, agentes de tratamento dos dados (controlador e operador), segurança e boas práticas na proteção dos dados pessoais, e fiscalização.

Ø    Princípios: as atividades de tratamento de dados pessoais devem seguir os princípios da finalidade, adequação, necessidade, livre acesso, transparência, segurança, responsabilização e prestação de contas. Devem servir para um proposito legítimo, específico e explícito, informado ao titular. Não é permitido que o tratamento seja realizado posteriormente de forma adversa da finalidade para a qual ele foi coletado.

Ø    Direitos: os titulares têm direito de correção, eliminação, transmissão segura e portabilidade dos dados, de ser informado sobre as consequências do não consentimento no uso dos dados, e de ter os dados descartados de forma segura sempre que terminar o tratamento.

Ø    Obrigações: as empresas terão que apresentar ao titular a finalidade da coleta e do uso dos dados, além de comprovar que obtiveram o consentimento dos usuários para esse tratamento – que pode ser revogado a qualquer momento. Também será preciso garantir aos titulares o acesso gratuito às informações (que devem ser claras, precisas e ostensivas) e incluem a forma e duração do tratamento, e a limitação do tratamento dos dados ao mínimo necessário para a realização de suas finalidades.

Ø    Agentes de tratamento: controlador e o operador – devem pensar em regras e meios técnicos para proteger os dados pessoais e comprovar sua efetividade nas empresas. Seja por criptografia, anonimização dos dados, controle de acesso, procedimentos, políticas de gestão de dados pessoais e treinamentos para equipes que garantam a governança dos dados pessoais e boas práticas.

Ø    Setores impactados: todos aqueles que trata de dados, como bancos, corretoras, seguradoras, clínicas médicas, hospitais, varejo, hotéis, companhias aéreas.

Ø    Exceções: a lei não se aplica quando o tratamento dos dados é realizado por uma pessoa física, para fins exclusivamente particulares e não econômicos, para fins exclusivamente jornalísticos e artísticos, e para tratamentos realizados para fins de segurança pública e defesa nacional.