Em agosto de 2018 foi editada a Lei Geral de Proteção de Dados – LGPD, por intermédio da Lei n.º 13.709/2018, que trouxe um novo paradigma cultural relacionado ao tratamento de dados pessoais e dados pessoais sensíveis.
A Lei, contudo, teve sua vigência prorrogada, e somente em agosto de 2021 as sanções trazidas por este novo regramento se tornaram aplicáveis, razão pela qual o tema ganhou maior repercussão há pouco tempo.
Mas afinal, quais as modificações trazidas pela Lei e quem precisa se adequar às suas exigências?
A ORIGEM E FINALIDADE DA LEI
A LGPD tem inspiração da legislação europeia, a General Data Protection Regulation – GDPR, criada em 2016. Esta legislação europeia, da mesma forma que a brasileira, tem a finalidade de estabelecer normas e regras que devem ser seguidas no tratamento de dados pessoais, a fim de garantir maior proteção a estas informações.
No Brasil, a LGPD foi editada em 2018, mas sua vigência foi postergada para 18 de setembro de 2020, e as penalidades por vazamento de dados e desrespeito às exigências legais entraram em vigor apenas em 1º de agosto de 2021.
O objetivo dessa Lei é fortalecer o direito à privacidade e intimidade dos titulares de dados, exigindo daqueles que tratam dados pessoais condutas e adequações que visem a segurança das informações coletadas, que respeitem a privacidade e liberdade individual, bem como garantam a transparência dos dados tratados.
MAS AFINAL, QUEM DEVE SE ADEQUAR?
A LGPD determina no seu art. 1º, que todos aqueles que realizam tratamentos de dados, sejam Pessoas Naturais ou Empresas Públicas ou Privadas, devem se adequar às exigências legais.
Assim, toda pessoa, empresário ou até órgão do Poder Público que realize tratamento de dados pessoais, ou seja, que coleta, armazena e/ou compartilha esse tipo de informação sensível com alguma finalidade econômica, deve respeitar as obrigações impostas pela Legislação de Proteção de Dados.
Mas são apenas dados digitais que devem ser protegidos e tratados adequadamente?
Não, a Lei impõe que todos os dados tratados, por qualquer meio – digital ou físico – devem ser tratados de forma adequada para segurança da privacidade e intimidade dos titulares de dados.
Logo, toda pessoa ou empresa pública ou privada que trata dados com alguma finalidade econômica, por qualquer meio – digital ou físico – deve se adequar às exigências da Lei.
MAS QUAIS SÃO OS DADOS QUE EXIGEM TRATAMENTO ADEQUADO?
A Lei Geral de Proteção de Dados, estabelece no art. 4º um conjunto de dados que não exigem tratamento específico, como o caso de dados pessoais para fins meramente particulares e não econômicos, como é o caso, por exemplo, uma agenda pessoal de contatos do celular com fins particulares, ou dados utilizados para fins exclusivamente jornalísticos, artísticos e acadêmicos.
Via de regra, portanto, os dados que exigem tratamento específico devem possuir uma finalidade econômica.
Verificado eventual conteúdo econômico, a Lei exige que os (I) Dados Pessoais e (II) Dados Pessoais Sensíveis respeitem determinadas exigências no processo de tratamento que envolve a coleta, armazenamento, utilização e eventual descarte.
A LGPD considera Dados Pessoais como aqueles de identificação do titular de dados, compreendem, portanto, o nome, CPF, RG, o endereço, ou seja, dados que permitem identificar quem é o titular dos dados.
Já os Dados Pessoais Sensíveis, são aqueles que envolvem informações relacionadas à intimidade do indivíduo, como suas crenças, origem étnica ou racial, opinião política, orientação sexual, convicção religiosa, ou seja, dados mais pessoais e reservados do indivíduo.
Para cada tipo de dado a Lei traz determinados requisitos de tratamento. Os dados pessoais sensíveis, por exemplo, possuem regras mais rigorosas que os dados pessoais convencionais, notadamente porque envolvem informações mais íntimas do titular.
Desta forma, toda pessoa física, empresa pública ou privada, que coleta, armazena ou compartilha alguns destes tipos de dados – dados pessoais ou dados pessoais sensíveis – precisa respeitar os regramentos trazidos pela LGPD.
O QUE ACONTECE SE EU NÃO ME ADEQUAR À LGPD? HÁ TAMBÉM ALGUM BENEFÍCIO?
Aqueles que não respeitarem às exigências da LGPD, estarão sujeitos às penalidades administrativas que serão impostas pela Agência Nacional de Proteção de Dados – ANPD, dentre as quais, destaca-se:
– Multa simples, de até 2% do faturamento da empresa ou grupo empresarial do último exercício, limitada à 50 milhões de reais;
– Publicização da infração;
– Bloqueio dos dados até regularização;
– Eliminação compulsória dos dados.
As penalidades, portanto, são elevados, e a Lei traz formas e critérios específicos para aplicação destas sanções.
E há algum benefício em se adequar às exigências legais, além de se evitar a aplicação das penalidades?
Estar adequado à LGPD (I) melhora o relacionamento com o cliente, pois transmite confiança e respeito à privacidade de dados; (II) pode ser crucial em determinadas atividades, em especial porque eventuais parceiros, fornecedores, clientes, nacionais ou internacionais, podem exigir que o seu negócio esteja adequado à LGPD; (III) pode valorizar o marketing do seu negócio e melhorar a sua produtividade, permitindo a padronização de determinados procedimentos; e, ainda, traz (IV) segurança interna em relação aos dados que são tratados.
A LGPD, portanto, possui inúmeros benefícios que podem melhorar o desempenho do seu negócio ou até garantir a sobrevivência dele a longo prazo.
MAS COMO FAÇO PARA ME ADEQUAR ÀS EXIGÊNCIAS DA LGPD?
Primeiramente, o ideal é procurar profissionais que sejam especializados no assunto, para que possam realizar um programa de adequação que efetivamente respeite, tanto às determinações legais, como o tamanho/porte e operacional do seu negócio.
A Lei possui, em linhas gerais, dois escopos de análise, um relacionado à (I) Privacidade, que compreende identificar como os dados são coletados, utilizados, armazenados e descartados, e adequar todos estes procedimentos às exigências legais; e outro viés de análise relacionado à (II) Segurança dos Dados, que envolve a proteção dos dados de maneira geral, a fim de mitigar possíveis ataques internos ou externos.
Com base nesses pilares de análise, é necessário realizar um programa que:
1. Crie e incentive uma cultura de proteção de dados;
2. Realize um overview (análise global e profunda) sobre os processos e procedimentos de tratamentos de dados realizados;
3. Identifique quais os riscos existentes na forma como os dados estão sendo tratados;
4. Promova as adequações efetivamente necessárias, de acordo com as exigências legais e nuances de cada negócio;
Sugere-se sempre, ainda, que periodicamente estas adequações promovidas em tratamento de dados sejam reanalisadas, sobretudo porque o tema ainda é novo e constantemente os órgãos reguladores promovem alterações e definem novos entendimentos sobre o tema, de modo que é importante estar atento a cada modificação, a fim de se evitar problemas no tratamento de dados.
No BRG Advogados, o programa de adequação é realizado de forma extremamente flexível, adequado a cada empresa, tipo e porte de negócio, sempre atento às modificações e orientações expedidas pelos órgãos reguladores, em especial a Agência Nacional de Proteção de Dados – ANPD.
Ficou com alguma dúvida sobre a LGPD? Quer entender mais sobre o assunto? Deixe seu comentário! Caso seja necessário, estamos à disposição através de nossas redes sociais e demais canais de comunicação.
