20 Sep INTRODUÇÃO À LEI GERAL DE PROTEÇÃO DE DADOS (“LGPD”)

O que é?

Com a entrada em vigor do General Data Protection Regulation (“GDPR”) na União Europeia em maio de 2018 e devido aos escândalos internacionais sobre manipulação indevida de dados pessoais, o Brasil promulgou, em 14.8.2018, a LGPD: uma lei que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, cujo objetivo é proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

A LGPD tem como fundamento, de um lado, o respeito à privacidade e a inviolabilidade da intimidade, da honra e da imagem, enquanto, de outro lado, o desenvolvimento econômico e tecnológico, a inovação, a livre iniciativa e a livre concorrência.

É levando em consideração esses fundamentos que a LGPD deve ser aplicada, analisada e estudada, sob pena de esvair-se do território brasileiro os investimentos necessários para que o país alcance os avanços tecnológicos necessários – i.e. com o uso de Inteligência Artificial – para seu desenvolvimento integral.

De acordo com a LGPD, dado pessoal significa qualquer informação relacionada a pessoa natural identificada ou identificável. São exemplos de dado pessoal: nome, sobrenome, idade, endereço residencial, endereço eletrônico, RG, CPF/MF, dados de localização (tais como, GPS), número do internet protocol (IP) e até alguns dados de coletados por meio de cookies ou ferramentas similares.

A LGPD também define dados pessoais sensíveis como qualquer dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Apesar de ter sido sancionada em 14.8.2018, a LGPD entrará em vigor somente em agosto de 2020. Quando entrar em vigor, a LGPD se juntará a uma variedade enorme de leis em território brasileiro que tratam de proteção de dados, tais como, a Constituição Federal, Código de Defesa do Consumidor, Lei Geral de Telecomunicação, Marco Civil da Internet, Lei de Acesso à Informação, dentre outros.

A quem se aplica a LGPD?

Aplica-se a LGPD a qualquer pessoa natural ou pessoa jurídica de direito público ou privado que realiza qualquer operação de tratamento, independente do meio, desde que: (a) a operação de tratamento seja realizada no Brasil; (b) a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no Brasil; ou (c) os dados pessoais objeto do tratamento tenham sido coletados no Brasil.

A LGPD não faz distinção a quem ela se aplica, isto é, toda e qualquer empresa, seja ela de grande ou pequeno porte, microempresa, startups ou até empresário individual, estão sujeitos à LGPD.

Lembrando que tratamento se refere a toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

O que eu devo fazer?

Para responder essa questão é necessário atentar-se para 2 aspectos: (a) qual o risco que Você está disposto a correr em vista do tipo de dado que Você trata?; e (b) qual será o seu papel em relação ao tratamento dos dados envolvidos?

Com relação ao item (b) acima, a LGPD determina que existem dois agentes de tratamento de dados: o controlador, pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; e o operador, pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

De acordo com a LGPD, o controlador terá várias responsabilidades, dentre elas, a de elaborar o relatório de impacto à proteção de dados e o ônus da prova de que o consentimento do titular foi obtido, bem como comunicar o titular nos casos de alteração da finalidade no tratamento de seus dados.

Apesar disso, tanto o controlador quanto o operador são obrigados a manter registro das operações de tratamento, apontando finalidade, tempo e prazo de processamento, segurança, sigilo e privacidade, consentimento dado, ou hipótese de exclusão de consentimento.

Por tais motivos, algumas dicas práticas, sobre o que fazer e o que não fazer durante a implementação de programas de compliance em proteção de dados, são importantes: (a) adotar um comitê multidisciplinar para o acompanhamento do projeto, uma vez que o projeto de adequação envolve todas as áreas de uma empresa; (b) ter um líder in-house para a coordenação do projeto; (c) garantir apoio jurídico e de profissionais de tecnologia e segurança da informação; (d) garantir um budget específico para esse projeto; (e) observar aspectos setoriais, isto é, normas regulamentares que poderão auxiliar na identificação das bases para tratamento; (f) definir um cronograma; e (g) realizar treinamentos para que todos os integrantes estejam conscientizados.

O que acontece se eu não me adequar à LGPD?

Os agentes de tratamento estão sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: (a) advertência, com indicação de prazo para adoção de medidas corretivas; (b) multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; (c) multa diária, limitado ao valor do item (b) acima, (d) publicização da infração após devidamente apurada e confirmada a sua ocorrência; (e) bloqueio dos dados pessoais a que se refere a infração até a sua regularização; (f) eliminação dos dados pessoais a que se refere a infração.

Além da sanção administrativa, também Você poderá deixar de fechar uma transação de M&A, uma oportunidade de investimento ou deixar de participar em um processo licitatório, simplesmente porque Você não está em conformidade com a LGPD.

Todas as empresas enfrentarão seus próprios desafios na hora da implementação deste projeto. Por isso, a equipe de Proteção de Dados e Privacidade do Kestener, Granja & Vieira Advogados permanece à disposição para fornecer os esclarecimentos adicionais julgados necessários.

Este material tem caráter meramente informativo e não deve ser utilizado isoladamente para a tomada de decisões. Aconselhamento legal específico poderá ser prestado por um dos nossos advogados. Direitos autorais são reservados ao Kestener, Granja & Vieira Advogados.