A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei n° 13.709/2018, foi promulgada para proteger os direitos fundamentais de liberdade e de privacidade e a livre formação da personalidade de cada indivíduo.
Englobando um amplo conjunto de operações que podem ocorrer em meios manuais ou digitais, a Lei fala sobre o tratamento de dados pessoais, dispostos em meio físico ou digital, feito por pessoa física ou jurídica de direito público ou privado.
Em 2018, o caso envolvendo o compartilhamento de dados entre o Facebook e a Cambridge Analytica, fez com que muitos países acelerassem a aprovação de leis que tratam sobre a proteção de dados pessoais. No Brasil isso não foi diferente.
A nova Lei determina algumas diretrizes que devem ser atendidas pelo governo, empresas e pela sociedade, além de alterar alguns pontos do Marco Civil da Internet, estabelecendo atribuições e responsabilidades para todos aqueles que lidam com dados.
Os princípios que estruturam a Lei Geral de Proteção de Dados são: Finalidade, Adequação, Necessidade, Livre Acesso, Qualidade dos Dados, Transparência, Segurança, Prevenção, Não Discriminação, Responsabilização e Prestação de Contas.
Quais dados a lei regulamenta?
A Lei Geral de Proteção de Dados atribui um conceito amplo para “dados”. Segundo ela, dados são quaisquer informações que identifiquem diretamente – ou tornem identificável – uma pessoa.
Exemplo de dados são o CPF, RG, nome e sobrenome. Segundo a Lei, dados relativos à raça, religião, sexualidade e opinião política devem ser protegidos, já que podem ser utilizados de forma prejudicial.
Dependendo do contexto, um dado “anonimizado”, ou seja, um dado que não identifica a pessoa diretamente, também pode receber a proteção da legislação.
Segundo a legislação, o uso de dados só é possível havendo o consentimento do indivíduo. Nos demais casos, a proteção é cabível.
Lei Geral de Proteção de Dados: para quem vale a nova legislação?
Qualquer operação que envolva a coleta e o tratamento de dados no Brasil, independentemente de ser realizada por pessoa física ou jurídica, está sujeita à Lei Geral de Proteção de Dados. Isso significa que, mesmo que os dados sejam coletados no Brasil e transferidos para o exterior, por exemplo, as regras previstas na legislação são válidas.
A nova Lei só não se aplica para o tratamento de dados que tem fins particulares e não econômicos, além daqueles utilizados para fins jornalísticos e acadêmicos, segurança pública e defesa nacional, segurança do Estado e investigação e repressão de infrações penais.
A Lei também não é aplicada aos chamados dados em trânsito, isto é, aqueles que não tem como destino agentes de tratamento que estão no Brasil.
Consentimento e interesse legítimo.
Para promover maior transparência no tratamento de dados, a Lei Geral de Proteção de Dados exige que o uso de dados pessoais seja feito apenas com o consentimento do indivíduo. Em outras palavras, ninguém pode utilizar dados pessoais sem que o próprio indivíduo autorize de forma livre, informada e inequívoca.
Sempre que uma empresa ou uma pessoa fizer uso dos dados pessoais de alguém, é fundamental deixar clara a finalidade. A Lei Geral de Proteção de Dados também fala em interesse legítimo, que nada mais é do que a possibilidade de utilizar os dados pessoais, com a autorização do indivíduo, mas sem ferir outros direitos, além de claro, a privacidade.
Agentes de tratamento de dados pessoais.
Uma das principais inovações da Lei foi criar a figura dos chamados agentes de tratamento de dados pessoais. São eles o operador, o controlador e o encarregado.
O operador e o controlador são pessoas físicas ou jurídicas que mantém o registro das operações de tratamento de dados que realizarem. O controlador é a quem compete as decisões referentes ao tratamento de dados pessoais. Já o operador é quem realiza o tratamento de dados em nome do operador.
Por fim, a Lei também fala do encarregado, que é a pessoa responsável por fazer a comunicação entre o controlador e os titulares dos dados.
Agentes na prática.
Embora as nomeações pareçam um pouco confusas, o que a Lei quer dizer na prática é que qualquer empresa ou entidade (controlador) tem responsabilidade pelos dados que coleta e utiliza. Essas, portanto, devem contar com um encarregado, que é responsável por esclarecer, adotar providencias e fazer a comunicação entre a empresa e os titulares dos dados coletados.
Na prática, isso implica que, empresas que lidam com um grande volume de dados criem esse cargo para os seus quadros, a fim de atender a legislação.
A figura do encarregado também é importante no caso de vazamento de informações, já que caberá a ele informar aos órgãos competentes sobre o incidente. Com a Lei, o ideal é que as empresas assumam o vazamento, em vez de omiti-lo.
Criada em 2018 e sancionada em 2019, a ANPD (Autoridade Nacional de Proteção de Dados) é o órgão federal responsável por fiscalizar e aplicar a LGPD. A criação de uma autoridade independente é necessária para que empresas que têm acesso às informações pessoais cumpram a legislação e possam ser auditadas nos casos em que não forem observados o devido tratamento destes dados.
Penalidades.
O descumprimento da legislação pode acarretar sanções, como advertências e multas. No último caso, as multas podem ser de 2% do faturamento da empresa ou multa diária, limitada à R$ 50 milhões.
Caberá à ANPD (Autoridade Nacional de Proteção de Dados) a aplicação das penalidades.
As empresas e a Lei Geral de Proteção de Dados.
É importante que as empresas realizem medidas de adequação. A primeira, naturalmente, é a criação do cargo do encarregado. É importante não apenas criar esse tipo de cargo, como também pensar nas suas atribuições considerando a Lei.
Além disso, o mapeamento de dados, a revisão de políticas de segurança de dados e até a revisão de contratos devem ser feitas com base na nova legislação.
Como vimos, a Lei Geral de Proteção de Dados está em vigor desde 2019, com punições aplicadas desde agosto de 2021, mas algumas empresas ainda não se adequaram totalmente às regras para preservar a privacidade dos dados de seus consumidores.
Com as mudanças anunciadas recentemente, tanto na fiscalização quanto na tecnologia, cumprir a regulamentação torna-se ainda mais urgente. Por um lado, há a consolidação das diretrizes, e agora a possibilidade de a Autoridade Nacional de Proteção de Dados (ANPD) aplicar multas retroativas para incidentes ocorridos a partir de agosto de 2021. Por outro, temos o avanço da Internet 5G e as empresas que quiserem investir nesse mercado também deverão adaptar sua proteção de dados a esse sistema.
No caso das empresas de pequeno porte, que enfrentam maiores dificuldades para se adaptarem à Lei por falta de pessoal qualificado e treinamento, há boas notícias: a partir da Resolução CD/ANPD nº 2/2022, as microempresas podem adotar procedimentos mais simples para seguirem a lei e contam com maior prazo para atender solicitações de titulares em incidentes de segurança das informações.
Uma última dica para os advogados: estejam sempre atentos ao Código de Ética da OAB e as suas restrições para a prática do marketing jurídico .
A equipe de Marketing Jurídico do PROMAD, por exemplo, conta com designers especializados no universo jurídico, pautados pelo Estatuto da OAB, e está sempre pronta para conversar com os advogados sobre o papel do marketing jurídico nos escritórios de advocacia.
Acesse www.promad.adv.br e conheça melhor essa poderosa ferramenta.
Fonte: Governo Federal.
