Nicya Pita Lessa, advogada e sócia de Cleto Gomes-Advogados Associados, pós-graduanda em Direito Societário pela Faculdade Brasileira de Tributação/RS.
Atualmente, as pessoas jurídicas podem solicitar às pessoas físicas, no momento do seu cadastro para compras ou quaisquer outras finalidades, uma série de dados que muitas vezes não tem relação direta com a própria finalidade da empresa. Estes dados geralmente são utilizados para envio de correspondências, campanhas publicitárias, promoções e etc.
A partir do advento da nova legislação o cenário mudará, já que o titular dos dados deverá sinalizar o seu consentimento de forma clara, precisa e objetiva autorizando o tratamento de seus dados pessoais pela empresa coletora.
A Lei Geral de Proteção de Dados – Lei 13.709/2018 (LGPD), sancionada em 14.08.2018 e que entrará em vigor a partir de agosto/2020, tem o objetivo de aumentar a privacidade dos dados pessoais e o poder das entidades reguladoras para fiscalizar as organizações. Visa garantir a transparência no uso dos dados das pessoas físicas em quaisquer meios. Esta lei altera o Marco Civil da Internet e chega em uma época propícia, marcada por grandes vazamentos de informações e escândalos que envolvem justamente o uso indevido de informações pessoais.
Isso quer dizer que qualquer instituição (pública ou privada) que armazenar dados de seus clientes ou usuários, mesmo informações simples como nome e e-mail, deve seguir os procedimentos previstos na nova lei.
O tema da proteção dos dados pessoais nunca esteve tão em voga. O cotidiano das empresas está prestes a sofrer um impacto que poucas leis antes fizeram.
São inúmeras as inovações e responsabilidades atribuídas às empresas que se não observadas podem sofrer sanções que variam desde uma simples advertência até multas milionárias que podem alcançar a cifra de 50 milhões de reais.
Eis aí um bom motivo para a empresa ficar atenta aos novos procedimentos.
A LGPD cria uma regulamentação para o uso, proteção e transferência de dados pessoais no Brasil, nos âmbitos privado e público, e estabelece de modo claro quem são as figuras envolvidas e quais são suas atribuições, responsabilidades e penalidades no âmbito civil.
Estabelece que dado pessoal é toda informação relacionada a pessoa natural “identificada” ou “identificável” e determina que o tratamento desses dados deve considerar os dez princípios de privacidade descritos no corpo da lei. Estes princípios devem nortear o tratamento de dados pessoais e são a espinha dorsal da LGPD: (i) Princípio da Finalidade, (ii) Princípios da Transparência, (iii) Princípio da Qualidade, (iv) Princípio da Segurança, (v) Princípio da Prevenção, (vi) Princípio da Não-discriminação, (vii) Princípio do Livre Acesso, (viii) Responsabilização, (ix) Princípio da Adequação e (x) Princípio da Necessidade
Ao segui-los as organizações demonstrarão que os dados pessoais coletados são necessários, mínimos, corretos, de qualidade, atendem a uma finalidade de negócio válida dentre outras características.
Posteriormente a edição da LGPD, foi publicado no Diário Oficial da União, em 09.07.2019, a Lei 13.853/2019 que criou a Autoridade Nacional de Proteção de Dados (ANPD), órgão federal que vai editar normas e fiscalizar procedimentos sobre proteção de dados pessoais. A nova lei tem origem na Medida Provisória 869/2018 e foi sancionada pelo Presidente Jair Bolsonaro com nove vetos.
Outro grande impacto às empresas já surge da criação dos chamados Agentes de Tratamento de Dados Pessoais – nas figuras do Controlador e do Operador – que podem ser pessoa natural ou jurídica, de direito público ou privado. Ao primeiro (controlador) competem as decisões referentes ao tratamento de dados pessoais, enquanto ao segundo (operador), a realização do tratamento em nome do primeiro. Foi definida também a figura do Encarregado, que também na condição de pessoa natural ou jurídica, de direito público ou privado, atuará como canal de comunicação entre o Controlador e os titulares de dados pessoais e a Autoridade Nacional de Proteção de Dados (ANPD). Em relação aos Agentes de Tratamento, a principal obrigação que se estabeleceu foi a de manter registros de todas as operações de tratamento, decorrência do princípio de prestação de contas incorporado pela LGPD.
Com base no espectro coberto pela LGPD, é de se assustar que tanta atribuição fique sob responsabilidade das empresas. Mesmo as empresas avessas à tecnologia e que ainda mantenham seus registros em papel estão sujeitas ao rigor da nova lei. São dados, afinal, independente do formato em que eles são resguardados.
Ademais, o tratamento online ou off-line deverá seguir as mesmas regras. Assim, mesmo em caso de dados em papel, a empresa deverá obter consentimento do titular do dado, com a devida explicação sobre como ele será empregado, por exemplo.
Por estes motivos, as empresas devem começar, o quanto antes, a revisar seus procedimentos a fim de assegurar o que já está em conformidade com a legislação e corrigir o que eventualmente está desconforme, em tempo hábil. Isso envolve todo um trabalho de levantar e identificar os dados pessoais que já possui, conhecimento dos fluxos de informação na empresa e que também envolve terceiros com os quais a empresa tem que dividir esses dados, revisão de medidas de segurança de informação adotadas e de contratos com terceiros, bem como a adoção de políticas corporativas de proteção de dados e de avisos de privacidade para informar as pessoas afetadas sobre o que está sendo feito e o será feito com seus dados.
Feito isso, o resultado é a garantia de que a empresa tem o controle dos dados que coleta e processa desde o momento em que eles chegam na empresa até o momento em que são efetivamente apagados.