Com a entrada em vigor da Lei Geral de Proteção de Dados – LGPD (13.709/18) nesta sexta-feira (18), é imprescindível que as empresas que realizam o tratamento de dados pessoais formulem regras de boas práticas e de governança que estabeleçam as condições de organização. Quem ainda não se preparou para atender a referida lei, deve começar a pensar em alguns aspectos relevantes, como: regime de funcionamento, procedimentos adotados, incluindo, as normas de segurança, padrões técnicos, obrigações específicas para os diversos envolvidos no tratamento, ações educativas, mecanismos internos de supervisão e de mitigação de riscos entre outros aspectos relacionados ao tratamento de dados.
A Assessoria Jurídica da ABAD e a área executiva da entidade já estão elaborando um material sobre a LGPD com vistas à adequação. Em breve, disponibilizaremos aos associados. Por enquanto, acompanhem algumas informações para começar o processo de ajuste.
Histórico
Após quase uma década de concepção e disputas em Brasília, a LGPD finalmente começou a vigorar. Inspirada na legislação europeia, ela regulamenta o tratamento de dados pessoais por parte de empresas públicas e privadas. Com isso, qualquer empresa que incluir em sua base informações de seus clientes, por mais básicas que sejam —como nome e email—, deve seguir os procedimentos da nova lei.
A LGPD representa uma mudança de mentalidade tão importante quanto a entrada em vigor do Código de Defesa do Consumidor, em 1990. De lá para cá, o brasileiro entendeu que, como consumidor, ele possui direitos. Concebida durante os governos Lula e Dilma e aprovada na gestão Michel Temer, a Lei de Proteção de Dados foi parte de uma disputa legislativa nos últimos meses. Deveria ter entrado em vigor em agosto, mas as regras quase mudaram em abril, após o governo editar uma medida provisória que tentava adiar a vigência para maio de 2021 —o objetivo era atender a pedidos de pequenas e médias empresas que não teriam tempo de se adequar às regras em meio à pandemia do coronavírus.
Depois disso, a Câmara aprovou o texto com um prazo menor, com vigência para o fim de 2020, mas o Senado rejeitou o dispositivo. No fim das contas, o presidente sancionou o texto da medida provisória da forma como ele saiu do Senado, sem adiamento.
Punições ainda não estão valendo
Além da adequação pelas empresas, a novela da LGPD ainda tem outros capítulos previstos antes de acabar. Isso porque punições em caso de desrespeito à lei não estão valendo ainda e o órgão responsável por fiscalizar as regras não foi plenamente estabelecido. Como forma de atender aos pedidos das empresas, as punições por desobediência à LGPD só serão aplicadas a partir de agosto de 2021. Até lá, espera-se que a Autoridade Nacional de Proteção de Dados (ANPD) já esteja estruturada —o órgão será responsável por regular a lei, elaborar instruções para o cumprimento de suas normas e fiscalizar o cumprimento.
Depois de muita expectativa, Bolsonaro editou em agosto um decreto que estabelece a estrutura e os cargos do órgão. Agora, além de indicar cinco conselheiros, que terão de ser aprovados pelo Senado, o governo precisa responder ainda a outras questões: onde a ANPD será sediada, como será seu expediente e quem serão seus servidores. Também não se sabe até o momento qual será o orçamento da ANPD – algo que deve ser definido no Orçamento Geral da União.
Pontos para ficar de olho
A LGPD (Lei No 13.709) disciplina um conjunto de aspectos: define categorias de dados, circunscreve para quem valem seus ditames, fixa as hipóteses de coleta e tratamento de dados, traz os direitos dos titulares de dados, detalha condições especiais para dados sensíveis e segmentos (como crianças), estabelece obrigações às empresas, institui um regime diferenciado para o Poder Público, coloca sanções em caso de violações e prevê a criação de uma autoridade nacional
Definições e aplicação
Segundo a norma, dados pessoais são informações que podem identificar alguém. Dentro do conceito, foi criada a categoria “dado sensível”, com informações sobre origem racial ou étnica, convicções religiosas, opiniões políticas, saúde ou vida sexual. Registros como esses passam a ter nível maior de proteção, para evitar formas de discriminação.
Quem fica sujeito à lei? Todas as atividades realizadas ou pessoas que estão no Brasil. A norma vale para coletas operadas em outro país, desde que estejam relacionadas a bens ou serviços ofertados a brasileiros, ou que tenham sido realizadas no país.
Mas há exceções. É o caso da obtenção de informações pelo Estado para segurança pública, defesa nacional e investigação e repressão de infrações penais. Essa temática deverá ser objeto de uma legislação específica. A lei também não se aplica a coletas para fins exclusivamente particulares e não econômicos, jornalísticos, artísticos e acadêmicos.
Tratamento
O tratamento de dados é caracterizado na LGPD como “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.
Esse só pode ocorrer em determinadas hipóteses. A principal é por meio da obtenção do consentimento do titular, mas não é a única. A ação é autorizada na lei para cumprimento de obrigação legal, estudos por órgão de pesquisa, proteção da vida do titular ou de terceiro, tutela da saúde por profissionais ou autoridades da área. A administração pública pode coletar e tratar dados para a consecução de políticas públicas previstas em leis e regulamentos ou respaldadas em convênios. Também fica desobrigado do consentimento a prática de “proteção do crédito”, como o cadastro positivo.
A obtenção do consentimento envolve um conjunto de requisitos, como ocorrer por escrito ou por outro meio que mostre claramente a vontade do titular e ser ofertado em uma cláusula destacada. O consentimento deve ser relacionado a uma finalidade determinada. Ou seja, não se pode solicitar o consentimento para a posse simplesmente de uma informação, mas deve ser indicado para que ela será utilizada.
Contudo, o Artigo 10 da lei garante a possibilidade de um uso distinto daquele informado na coleta, situação denominada de “legítimo interesse”. É um caso muito usado pelas empresas, no qual a norma exige a adoção de medidas de transparência e que nessa finalidade adicional sejam utilizados os dados estritamente necessários.
Os dados sensíveis têm regras específicas de tratamento. A Autoridade Nacional pode regulamentar ou vetar o emprego destes para vantagem econômica. No caso da saúde, tal finalidade é proibida, mas com diversas exceções, como prestação de serviços, assistência farmacêutica e assistência à saúde.
Direitos
A LGPD lista os direitos dos titulares. É possível, por exemplo, revogar a qualquer momento o consentimento fornecido. Quando há uso dos dados para uma nova finalidade (na situação de “legítimo interesse”), o controlador deve informar o titular sobre esse novo tratamento, podendo o titular revogar o consentimento. Também é previsto a este acesso facilitado a informações sobre o tratamento, como finalidade, duração, identificação do controlador (incluindo informações de contato) e responsabilidade de cada agente na cadeia de tratamento.
A pessoa pode requisitar da empresa a confirmação da existência do tratamento, o acesso aos dados (saber o que uma companhia tem sobre ela), correção de registros errados ou incompletos, eliminação de dados desnecessários, portabilidade de dados a outro fornecedor, informação sobre com qual entidade pública aquela firma compartilhou as informações (com um ente governamental, polícia, ou Ministério Público, por exemplo).
A coleta e o tratamento de dados de crianças têm garantias e normas próprias. Nesse caso, é preciso obter o consentimento de um dos pais. A única exceção é quando a coleta em o intuito de contatar os pais. Os controladores precisam dar transparência ao que fazem com as informações. A obtenção de dados além do necessário não poderá ser condicionada ao uso de jogos ou aplicações de Internet. As informações sobre o tratamento devem ser apresentadas de forma compreensível pelas crianças.
O titular dos dados pode também solicitar a revisão de uma decisão com base em tratamento automatizado. Estas podem ser a concessão de crédito, a autorização para contratação de um serviço (como um pacote de telefonia), a escolha em um processo seletivo ou a disponibilização de conteúdos em redes sociais. O controlador deve, neste caso, indicar os critérios e procedimentos adotados.
Papeis
A LGPD elenca o papel dos agentes das cadeias de tratamento de dados. O titular é aquele a quem o dado está relacionado, o controlador é o agente a quem competem as decisões sobre o tratamento, e o operador, o que realiza o tratamento. Por exemplo, uma cadeia de supermercados pode coletar e analisar dados de seus clientes (controladora), mas pode contratar uma empresa para fazer isso (o operador).
Obrigações das empresas
Ao coletar dados, as empresas devem informar a finalidade. A lei previu uma série de obrigações para elas, que têm de manter registro sobre as atividades de tratamento, de modo que possam ser conhecidas mediante requerimento pelos titulares ou analisadas em caso de indício de irregularidade pela Autoridade Nacional. Quando receberem um requerimento do titular, a resposta às demandas tem de ser dada em até 15 dias.
Cabe aos controladores indicar um encarregado pelo tratamento. As informações sobre este deverão ser disponibilizadas de forma clara, como nos sites das companhias. Caso a Autoridade determine, a controladora deve elaborar relatório de impacto à proteção de dados pessoais das suas atividades de tratamento.
Esses entes devem adotar medidas para assegurar a segurança das informações e a notificação do titular em caso de um incidente de segurança. Tal exigência vale para todos os agentes da cadeia de tratamento. Se um controlador causar dano a alguém por causa de uma atividade de tratamento, poderá ser responsabilizado e deverá reparar o prejuízo.
Poder Público
No caso do Poder Público, a lei dispensa o consentimento no tratamento de dados para políticas públicas previstas em leis, regulamentos e contratos. É permitido também o uso compartilhado de dados por entes públicos, desde que respeitados os princípios previstos na norma. Uma obrigação é que cada órgão informe as hipóteses de tratamento de dados, incluindo a base legal, a finalidade e os procedimentos empregados para tal.
Órgãos públicos ficam proibidos de passar dados a entes privados, com exceção de quando estes forem acessíveis publicamente (como em cadastros disponíveis na Internet) ou no caso de execução de uma política pública de forma descentralizada.
As empresas públicas (como Petrobras, Correios e Banco do Brasil) têm as mesmas obrigações dos entes privados quanto atuam em concorrência no mercado, mas podem fazer jus às regras próprias do Poder Público quando estiverem operacionalizando políticas públicas.
Em 2019, o governo federal regulamentou o compartilhamento de dados dentro da administração pública federal. O decreto dispensou a exigência de convênio ou acordo para essa comunicação e institui três modalidades de compartilhamento. No caso de dados sem restrição ou sigilo, a partilha será ampla, com divulgação pública e fornecimento a qualquer pessoa que fizer a solicitação.
A forma restrita será adotada quando lidar com dados submetidos a obrigações de sigilo com a finalidade de execução de políticas públicas, com modos de comunicação simplificadas entre os órgãos. Já a modalidade específica envolve dados protegidos por sigilo, cujo compartilhamento poderá ser feito para órgãos determinados nas situações previstas na legislação.
Sanções e fiscalização
A LGPD lista um conjunto de sanções para o caso de violação das regras previstas, entre as quais destacam-se advertência, com possibilidade de medidas corretivas; multa de até 2% do faturamento com limite de até R$ 50 milhões; bloqueio ou eliminação dos dados pessoais relacionados à irregularidade, suspensão parcial do funcionamento do banco de dados e proibição parcial ou total da atividade de tratamento.
A fiscalização fica a cargo do Autoridade Nacional de Proteção de Dados (ANPD), órgão criado com vinculação à Presidência da República, com indicação no texto da lei de um estudo para um formato mais autônomo dois anos depois. Até agora, o Palácio do Planalto não instituiu a ANPD. No dia seguinte à derrota do adiamento do início da vigência proposto na Medida Provisória No 959, no fim de setembro, a Presidência editou decreto com a estrutura do órgão, mas, na prática, este ainda não existe.
Fonte: ABAD, Estadão Conteúdo e Agência Brasil