Lei Geral de Proteção de Dados: comece a se adequar ao futuro hoje

Lei Geral de Proteção de Dados

A Lei Geral de Proteção de Dados, sancionada em 14 de agosto de 2018, reflete a necessidade social de constante evolução e adaptação legislativa. Isso porque regula pontos importantes da privacidade e da proteção dos dados do cidadão, coibindo excessos e levando, sobretudo, transparência ao tratamento de dados pessoais. A medida não é nova e deriva de outras propostas já analisadas, mas surge agora em um cenário preocupado em acompanhar os avanços internacionais sobre o tema. Antes dela, o Marco Civil da Internet já endereçou pontos críticos relativos ao emprego de dados dos usuários da internet. Inclusive, previa a reparação em caso de vazamento de dados dos provedores. No entanto, não havia nenhuma previsão legislativa no âmbito nacional para regulamentar a comercialização de dados.

Lei Geral de Proteção de Dados no Brasil e no mundo

A própria Lei Geral de Proteção de Dados é consequência de um intenso debate e de inúmeros outros projetos de lei que buscaram regular o tratamento de dados pessoais. As discussões sobre os mais diversos temas no cenário tecnológico vêm ganhando força à medida que seu consumo cresce exponencialmente. Desde o Marco Civil, outras importantes deliberações foram tomadas. Por exemplo, o intenso debate abordado pelo Superior Tribunal de Justiça (STJ) em 2018 a respeito do direito ao esquecimento. Assim como a preocupação sobre o uso indevido de dados coletados, a discussão não nasceu no Brasil, mas agora atravessa o Atlântico para somar ao quadro de novas regulamentações digitais.

Por outro lado, na Europa o tema não é recente. Lá, o assunto “proteção de dados” já é regulado desde 1995, o que permitiu um amplo debate e amadurecimento de suas condições e, sobretudo, de sua aplicação. Este resultou em um passo adicional da União Europeia, que a levou ao regulamento geral de proteção de dados europeu, em vigor desde 25 de maio de 2018, e cujas consequências afetaram diretamente o Brasil. Em primeiro lugar, porque a norma europeia impõe aos países que tratam dados de seus cidadãos a aplicação de regulação similar. Em segundo, pois alcança empresas de outros países que tratam dados de um cidadão europeu.

Inspirada nessa regulamentação, a medida aprovada em terras nacionais abrange todos os dados tratados no Brasil ou no exterior. A condição é que digam respeito à pessoa natural com nacionalidade brasileira. Além disso, é necessário que a empresa responsável pelo tratamento dos dados comunique objetiva e expressamente ao consumidor sobre a utilização das informações obtidas. Inclusive, quanto mais detalhes, melhor. A finalidade deve ser, ainda, rigorosamente observada, de forma que os dados devem ser descartados após sua utilização na ausência de outra justificativa aplicável.

Quem é afetado pela Lei Geral de Proteção de Dados

A nova lei não contempla apenas a esfera privada. Isso porque órgãos governamentais também foram parte da motivação sobre o tema, pois não eram incomuns casos de abusos de poder. Em 2018, a análise de aplicativos governamentais como CNH digital, DETRAN e Bolsa-Família revelou o acesso a informações como GPS, lista de contatos ou a câmera do aparelho sem a devida autorização do usuário.

Agora, a novidade está na previsão legal de tratamento de dados, com atenção especial aos digitais, além das punições previstas para seu descumprimento. Serão considerados dados pessoais quaisquer informações sobre a pessoa natural identificada ou identificável. Por exemplo, dados como origem racial ou étnica, religiosidade, opinião política, vida sexual, dados genéticos ou biométricos, estão previstos como sensíveis e recebem especial atenção legislativa. No caso de menores, a coleta só pode ser realizada com consentimento dos pais ou responsáveis.

O setor privado deve estar atento às mudanças. Afinal, a lei contempla todos os setores que em algum momento fazem utilização de dados privados, seja de colaboradores, fornecedores, clientes ou representantes legais. Número de documentos, endereços, telefones ou e-mails são protegidos pela nova lei, sendo um direito do cidadão saber como, onde e para que finalidade os dados foram coletados. Na possibilidade de transferência de informações para sedes estrangeiras, é necessário observar se o país, assim como o Brasil, conta com leis de proteção equivalentes.

Não incomum, as empresas que já possuem um banco de dados pessoal devem fazer uma revisão minuciosa e adequar os antigos hábitos à nova lei. Necessariamente, a proteção de dados levará à revisão de dados armazenados em recursos humanos, marketing, financeiro, área de vendas. Enfim, em todos os demais locais em que dados pessoais façam parte do cotidiano corporativo. Aliás, as empresas devem identificar um profissional, que será o responsável pela proteção de dados pessoais e por se relacionar com a Autoridade Nacional, dentre outros.

Contudo, a lei traz exceções ao uso de dados públicos como os de viés acadêmico, artístico ou jornalístico. Dados que envolvam a defesa nacional, proteção à vida e políticas governamentais também fogem do escopo legislativo, devendo ser regulados através de leis específicas.

Consequências do descumprimento

No caso de descumprimento da Lei Geral de Proteção de Dados, a punição deve acompanhar a gravidade do problema enfrentado. Isto é, variará entre advertência simples até a multa de 2% no valor do faturamento, limitado ao máximo de R$ 50 milhões. Além disso, as empresas também poderão sofrer restrições nas atividades de coleta e tratamento de dados, que podem variar entre a suspensão total ou parcial, até processo judicial quando cabível.

Sua fiscalização, vetada pelo Presidente da República à época da sanção, foi posteriormente delegada à Autoridade Nacional de Proteção de Dados (ANPD). Esta será composta por um Conselho Diretor e o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. Esse último conta com 23 representantes de diversas esferas, desde os membros do Poder Executivo até entidades civis de instituições científicas, incluindo ainda quatro representantes de empresas.

Para que os efeitos da transição sejam sentidos em doses homeopáticas pelos mais diversos setores atingidos, a Lei só entrará em vigor em agosto de 2020. Contudo, é necessário planejar antecipadamente as mudanças exigidas pela lei brasileira. Isso porque ela transformará a privacidade de dados em algo recorrente e aplicável, se não em todas, na maior parte das decisões estratégicas das empresas.