Com previsão de entrar em vigor a partir de agosto de 2020, a LGPD mudará o que entendemos hoje como privacidade.
Com inspiração na lei geral de proteção de dados da União Europeia – GDPR (General Data Protection Regulation), a Lei 13.709/2018 também conhecida como Lei Geral de Proteção de Dados (LGPD) tem como finalidade regulamentar e garantir o devido tratamento dos dados pessoais pelas empresas tais como nome, e-mail, telefone, endereço, números de documentos de identificação, geolocalização, hábitos de consumo, dados referentes à saúde, biometria e até mesmo o perfil cultural de um indivíduo.
De certo modo, no mundo em que atualmente vivemos, os dados pessoais permitem que empresas possam fazer análises de perfil de consumo, opinião, entre outros. Estes dados já são considerados como o novo petróleo.
Atualmente, diversos países possuem leis para proteção de dados pessoais, visando sempre resguardar este tratamento de dados pelas empresas, evitando assim o mau uso destes, bem como responsabilizar as empresas por esse mau uso.
Cabe ressaltar que a LGPD não se enquadra para dados provenientes e destinados a outros países, que apenas transitam pelo território nacional, sejam de uso pessoal, não comercial, fins jornalísticos, acadêmicos e relativos à segurança pública.
Segundo a LGPD, os agentes de tratamento são o Controlador e o Operador dos dados pessoais, onde o Controlador pode ser pessoa física ou jurídica, de direito público ou privado e a quem compete as decisões referentes ao tratamento de dados pessoais. Já o Operador pode também ser pessoa jurídica ou física, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador.
Ambos podem responder diretamente, de forma subjetiva e solidária com a empresa para quem venha a atuar, em caso de violação aos termos da LGPD.
Além destes agentes, a Lei prevê a criação do cargo de encarregado ou DPO – Data Protection Officer, que poderá ser pessoa física ou jurídica, cujas atividades serão aceitar reclamações, prestar esclarecimentos aos titulares e às autoridades, orientar as respectivas empresas e executar as diretrizes do diretor.
Em termos de documentação, a empresa para estar em conformidade com a LGPD necessitará de diversos documentos, dentre eles podemos citar o relatório de impacto à proteção de dados pessoais e de um documento emitido pelo Controlador que contenha a descrição dos processos de tratamento dos dados. Além disso, deverá prover meios específicos para as ocorrências que podem ser geradas sob a ótica dos riscos às liberdades civis e aos direitos fundamentais, mitigando assim tais riscos. Deverá também promover treinamentos, auditorias, alterações de contrato e a criação de políticas de proteção de dados dentro da empresa.
Com a esperada entrada em vigor, em agosto de 2020, a LGPD fará com que todas as empresas adotem o princípio de governança previsto no artigo 46, que determina que todas as empresas devem incorporar a privacidade a todos os níveis, sejam elas a modelagem, operação e gerenciamento, além do encerramento de um determinado sistema, projeto ou negócio.
O tratamento de dados deverá estar justificado em umas das bases prevista no artigo 7° da LGPD para cada finalidade, onde podemos citar como exemplos o consentimento pelo titular e o cumprimento da obrigação legal ou regulatória pelo controlador.
Amparado nesta lei também foi criada a Autoridade Nacional de Proteção de Dados – ANPD, sendo um órgão federal e vinculado à Presidência da República nos primeiros 2 (dois) anos de sua implementação e tendo por finalidade a fiscalização e aplicação de sanções, além de editar normas e procedimentos, requisitar informações, promover ações de cooperação com a autoridade de proteção de dados pessoais de outros países.
Em relação as sanções sobre incidentes com o uso de dados pessoais, a ANPD poderá aplicar advertência, com indicação de prazo para adoção de medidas corretivas, além de uma multa simples de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado sediado no Brasil, tendo como base o seu último exercício, excluindo-se os tributos, limitada no total de R$ 50.000.000,00 (cinquenta milhões de reais) por infração, multa diária observando o limite total já informado e a publicização da infração após devidamente apurada e confirmada a sua ocorrência.
A LGPD também fixou, em seu artigo 45, a aplicação do código de defesa do consumidor para os casos em que ocorrerem incidentes, garantindo aos consumidores a presunção de hipossuficiência, a inversão do ônus da prova e o direito à informação e explicação, entre outros.
Por fim, é importante destacarmos que a LGPD mudará a maneira que hoje tratamos nossos dados, sejam eles provenientes de pessoa física ou jurídica e que possíveis vazamentos de informações poderão acarretar em graves multas para as empresas. Não obstante, na União Europeia com a GDPR, já há conhecimento de casos em que determinada pessoa física está respondendo a processo judicial por violação de princípios enquadrados na Lei Geral de Proteção de Dados, com decisão desfavorável já emanada e certamente isso ocorrerá aqui no Brasil.
Fato é que, tal Lei no Brasil encontrará um campo vasto e ainda não preenchido de casos que deverão passar a ser enquadrados na nossa Lei Geral de Proteção de Dados.