Lei Geral de Proteção de Dados: o que irá mudar em fevereiro de 2020?

⏰ TEMPO DE LEITURA: 3 MINUTOS |

O recente caso envolvendo o compartilhamento de dados entre o Facebook e a Cambridge Analytica fez com que muitos países acelerassem a aprovação de leis que tratam sobre a proteção de dados pessoais. No Brasil isso não foi diferente e em agosto desse ano foi sancionada a Lei Geral de Proteção de Dados.

Embora só entre em vigor em fevereiro de 2020, a nova lei determina algumas diretrizes que devem ser atendidas pelo governo, empresas e pela sociedade. Além de alterar alguns pontos do Marco Civil da Internet, a lei estabelece atribuições e responsabilidades para todos aqueles que lidam com dados. O objetivo da lei é garantir maior transparência para o uso de dados, penalizando quem utilizá-los de forma a ferir o direito à privacidade.

Quais dados a lei regulamenta?

A Lei Geral de Proteção de Dados atribui um conceito amplo para “dados”. Segundo ela, dados são quaisquer informações que identifiquem diretamente, ou tornem identificável uma pessoa. Exemplo de dados são o CPF, RG, nome e sobrenome. Segundo a lei, dados relativos à raça, religião, sexualidade e opinião política devem ser protegidos, já que podem ser utilizados de forma prejudicial.

Dependendo do contexto, um dado anonimizado, ou seja, um dado que não identifica a pessoa diretamente, também pode receber a proteção da legislação.

Segundo a legislação, o uso de dados só é possível havendo o consentimento do indivíduo. Nos demais casos, a proteção é cabível.

Lei Geral de Proteção de Dados: para quem vale a nova legislação?

Qualquer operação que envolva a coleta e o tratamento de dados no Brasil, independentemente de ser realizada por pessoa física ou jurídica, está sujeita à Lei Geral de Proteção de Dados. Isso significa que, mesmo que os dados sejam coletados no Brasil e transferidos para o exterior, por exemplo, as regras previstas na legislação são válidas.

A nova lei só não se aplica para o tratamento de dados que tem fins particulares e não econômicos, além daqueles utilizados para fins jornalísticos e acadêmicos, segurança pública e defesa nacional, segurança do Estado e investigação e repressão de infrações penais. A lei também não é aplicada aos chamados dados em trânsito, isto é, aqueles que não tem como destino agentes de tratamento que estão no Brasil.

Consentimento e interesse legítimo

Para promover maior transparência no tratamento de dados, a Lei Geral de Proteção de Dados exige que o uso de dados pessoais seja feito apenas com o consentimento do indivíduo. Em outras palavras, ninguém pode utilizar dados pessoais sem que o próprio indivíduo autorize de forma livre, informada e inequívoca. Sempre que uma empresa ou uma pessoa fizer uso dos dados pessoais de alguém, é fundamental deixar clara a finalidade.

A Lei Geral de Proteção de Dados também fala em interesse legítimo, que nada mais é do que a possibilidade de utilizar os dados pessoais, com a autorização do indivíduo, mas sem ferir outros direitos, além de claro, a privacidade.

Agentes de tratamento de dados pessoais

Uma das principais inovações da lei foi criar a figura dos chamados agentes de tratamento de dados pessoais.  São eles o operador, o controlador e o encarregado.

O operador e o controlador são pessoas físicas ou jurídicas que mantém o registro das operações de tratamento de dados que realizarem. O controlador é a quem compete as decisões referentes ao tratamento de dados pessoais. Já o operador é quem realiza o tratamento de dados em nome do operador.

Por fim, a lei também fala do encarregado, que é a pessoa responsável por fazer a comunicação entre o controlador e os titulares dos dados.

Agentes na prática

Embora as nomeações pareçam um pouco confusas, o que a lei quer dizer na prática é que qualquer empresa ou entidade (controlador) tem responsabilidade pelos dados que coleta e utiliza. Essas, portanto, devem contar com um encarregado, que é responsável por esclarecer, adotar providencias e fazer a comunicação entre a empresa e os titulares dos dados os quais ela coleta.

Na prática, isso implica que, empresas que lidam com um grande volume de dados criem esse cargo para os seus quadros, a fim de atender a legislação.

A figura do encarregado também é importante no caso de vazamento de informações, em que cabe a ele informar aos órgãos competentes sobre o incidente. Com a lei, o ideal é que as empresas assumam o vazamento, em vez de omiti-lo.

A princípio, a lei previa a criação de um órgão da administração pública indireta que ficaria responsável por implementar e fiscalizar a lei. A ANPD (Autoridade Nacional de Proteção de Dados), no entanto, foi vetada pelo Poder Executivo por uma questão de inconstitucionalidade do poder legislativo. No entanto, é possível que um novo projeto de lei seja lançado com o objetivo de criar esse órgão.

Penalidades

O descumprimento da legislação pode acarretar sanções, como advertências e multas. No último caso, as multas podem ser de 2% do faturamento da empresa ou multa diária, limitada à R$ 50 milhões.

As empresas e a Lei Geral de Proteção de Dados

A nova lei só entra em vigor em fevereiro de 2020, mas, mesmo assim, é importante que as empresas já comecem a realizar medidas de adequação. A primeira, naturalmente, é a criação do cargo do encarregado. É importante não apenas criar esse tipo de cargo, como também pensar suas atribuições considerando a lei.

Além disso, o mapeamento de dados, a revisão de políticas de segurança de dados e até a revisão de contratos devem ser feitas com base na nova legislação.

Você já conhecia a nova Lei Geral de Proteção de Dados? Confira também o que diz a lei no caso das fake news! Clique aqui e saiba mais!