A LGPD vai pegar?
O título é curioso, mas a LGPD já pegou. As empresas e aqueles que utilizam dados pessoais já estão se movimentando para não deixar para a última hora a adequação, que leva em torno de 180 dias para ser implementada.
Você já está preparado para a Lei Geral de Proteção de Dados?
Por Flávio Schumacher - advogado
Promulgada em 14 de agosto de 2018, a lei entra em vigor ano que vem e obriga empresas de todos os portes e setores a garantirem direitos e deveres em relação ao tratamento de dados pessoais. Desde sempre me preocupo com a prevenção de demandas jurídicas. Por isso bato muito na tecla da prevenção e da conformidade com a legislação. Agora, mais do que nunca teremos de ser proativos em relação aos dados pessoais de nossos clientes, parceiros e fornecedores. O que antes eram boas práticas agora será uma obrigação. Tenho perguntado a diversos empresários e gerentes sobre o conhecimento a respeito da nova legislação e se estão tomando alguma resolução ativa em relação a adequação. O que tenho ouvido é que poucos sabem da sua existência. O que ocorre é um hábito do brasileiro, de negar a existência de determinadas legislações achando que o Estado tem uma fiscalização ineficiente. Mas, talvez não estejam dando a devida atenção para a Lei Geral de Proteção de Dados (LGPD). A Lei de nº 13.709/2018 regula as atividades de tratamento de dados pessoais de clientes e usuários e entrará em vigor a partir de agosto de 2020. Agora as empresas têm praticamente 9 meses para se adequarem, já que o descumprimento pode render multa de até 2% do faturamento, com limite máximo de R$ 50 milhões, por infração. Toda empresa que trata dados pessoais, seja em meio físico ou digital, deve se adequar. Por isso o alcance a todas as empresas e setores, pois são os dados pessoais, desde os seus colaboradores, fornecedores ou prestadores de serviços, até os que são tratados em processos de negócios. Portanto, mandatória a revisão de todos os processos, contratos, documentos e políticas das empresas para que se tenha uma noção da dimensão de alcance da lei. Precisamos entender o que é o tratamento de dados. A LGPD, em seu artigo 5º, inciso X diz: Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração; Enfim, tratamento é tudo que os controladores e operadores fazem com os dados, inclusive o mero armazenamento deles em sua base de dados. Os Tipos de dados, segundo a lei: Dados pessoais: qualquer informação relacionada à pessoa natural identificada ou identificável. (por exemplo: nome, endereço, CPF, geolocalização através dos dispositivos móveis, endereço IP, cookies, etc). Dados sensíveis: de origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, além de dados referentes à saúde ou à vida sexual, genéticos ou biométricos. Dados anonimizados: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. Outros artigos importantes da LGPD: Os 10 princípios que devem ser observados: Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades; II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento; III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados; IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais; V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento; VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial; VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas. As 10 bases legais que justificam o tratamento dos dados pessoais. Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: I – mediante o fornecimento de consentimento pelo titular; II – para o cumprimento de obrigação legal ou regulatória pelo controlador; III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei; IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem); VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro; VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente. Art. 18º O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: II – acesso aos dados; III – correção de dados incompletos, inexatos ou desatualizados; V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial; VI – eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei; VII – informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; IX – revogação do consentimento. Portanto, em primeiro lugar devemos conhecer a lei. Com base neste conhecimento buscar assessoria para uma correta adequação, já que ela envolve diversas etapas e é complexa. Além disso, a adequação leva em média 180 dias e dependerá do porte da empresa. Porém o mais importante inicialmente é a alta direção estar consciente e determinada a se adequar as exigências da lei e em um segundo passo informar seus colaboradores para que haja o devido engajamento aos processos de adequação. Enfim, é um caminho sem volta que envolve uma mudança de cultura em privacidade e proteção de dados. Num mundo globalizado, digital e hiperconectado é fundamental estar adequado e preparado para esta nova era. É uma questão de sobrevivência no mercado.
Artigos
Em 2020 artigos relacionados à LGPD com análise mais aprofundada de nossos colaboradores estarão disponíveis para ampliação do conhecimento.