Em vigor desde setembro passado, mas ainda impassível de multa e penalidades até agosto, a Lei Geral de Proteção de Dados (LGPD) já é uma realidade. É graças a ela que tantas vezes por dia, ao entramos em sites e aplicativos temos de responder se concordamos ou não que o site utilize nossos dados ou localização, por exemplo. Mas como essas permissões, que são dadas quase que automaticamente pelos usuários de fato impactam as pessoas e as empresas?
Pensando nisso, os advogados Dr Marcio Miranda Maia e Dr Vinícius Machado, especialistas em direito empresarial no escritório Maia&Anjos
1) Quando a LGPD entrou em vigor?
O texto da lei entrou em vigor em 18 de setembro de 2020. Entretanto, as sanções entram em vigor apenas em 1º de agosto deste ano, para quem desrespeitar as regras de tratamento de dados pessoais. As punições podem chegar até 2% do faturamento e limitadas a 50 milhões de reais.
2) A LGPD é válida para todos? Pessoa física também?
Sim, a Lei se aplica a qualquer operação de tratamento realizada por pessoa física ou por pessoa jurídica de direito público ou privado. No entanto, existem algumas hipóteses onde a Lei não se aplica, como por exemplo em tratamento de dados realizado por pessoa física para fins exclusivamente particulares e não econômicos; realizado para fins exclusivos de segurança pública, entre outros. Vale a pena a leitura dos artigos 3º e 4º da LGPD para conferir essas exceções.
3) No que consiste, resumidamente, a LGPD e a que se propõe a lei?
A LGPD consiste numa regulamentação que tem como objetivo garantir a transparência no uso dos dados das pessoas físicas em quaisquer meios, proporcionando a proteção desses dados e o direito à liberdade, privacidade e livre desenvolvimento dos cidadãos, contando com a aplicação de multas para motivar o cumprimento da Lei por parte das empresas. Ela serve justamente para coibir o tratamento de dados das pessoas físicas, que muitas vezes é feito até mesmo sem o conhecimento do titular. O ponto central da Lei é que nenhuma instituição pode utilizar os dados de nenhum cidadão sem o seu consentimento explícito. Ou seja, a pessoa deverá ser claramente informada dos termos de uso e extensão da autorização e precisa concedê-la livremente. Além disso, o titular dos dados poderá revogar essa cessão dos dados a qualquer momento. É permitido a ele solicitar informações a respeito da privacidade dos seus dados sempre que desejar e deverá ser respondido obrigatoriamente.
4) O que é tratamento de dados?
Conforme prevê o artigo 5º da LGPD, quando se fala em tratamento, essa definição significa toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração destes dados
5) O que são “dados pessoais” e “dados pessoais sensíveis”?
Dados pessoais são informações relacionadas à pessoa natural identificada ou identificável. São exemplos: dados cadastrais, RG, CPF, data de nascimento, profissão, nacionalidade, gostos, interesses, hábitos de consumo, entre outros. Já os dados pessoais sensíveis são os dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual e dado genético ou biométrico, todos quando vinculados a uma pessoa física. Os dados sensíveis são denominados a parte, por configurarem informações passíveis de discriminação e então, há uma proteção ainda mais rígida a esses dados. Há também o dado anonimizado, que é dado relativo à titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
6) O que significa consentimento para a lei?
Para a LGPD, consentimento é a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. Um exemplo comum de consentimento na nossa realidade é quando o titular assina um contrato que possui uma cláusula sobre este tópico e que autoriza a cessão de dados, ou até mesmo um termo específico discorrendo sobre essa autorização e qual a finalidade da empresa ao receber esses dados. No caso de haver um tratamento de dados mediante o fornecimento de consentimento pelo titular, o artigo 8º expressa que deve ser fornecido por escrito, e que esse deverá constar de cláusula destacada das demais cláusulas contratuais. Ou seja, nessa hipótese, se a autorização for inserida em uma cláusula genérica, mesmo que o titular dos dados assine o Contrato, configura-se um vício de consentimento, por não ter ficado explícito e inequívoco.
7) O que diz a LGPD sobre dados pessoais e direitos do titular dos dados?
Além do exposto nas outras respostas acima, de fato o tratamento de cada informação pessoal deve ser feito com fins específicos, legítimos, explícitos e informados. Não será mais possível tratá-las com finalidades genéricas ou indeterminadas e as empresas devem explicar para o que usarão cada um dos dados pessoais. Ademais, os dados pessoais tratados devem ser compatíveis com a finalidade informada pela empresa. Ou seja, a justificativa deve fazer sentido com o caráter da informação solicitada. É recomendável fazer uma ponderação entre o que é realmente essencial para o negócio e o que é apenas conveniente, pois vale ressaltar que quanto mais dados forem tratados, maior será a responsabilidade, inclusive em casos de vazamentos e incidentes de segurança.
Sobre os direitos do titular dos dados, a LGPD prevê uma série de atos que podem ser realizados por ele, tais como a confirmação com uma empresa se esta trata ou não seus dados, direito que pode ser efetivado de forma simplificada com um mero “sim” ou “não” por parte da empresa, de forma imediata; ou em formato completo, devendo ser respeitado o prazo de até 15 dias para a resposta.
Além deste, é possível ao titular: acesso aos dados; correção de dados incompletos, inexatos ou desatualizados; anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade; portabilidade dos dados a outro fornecedor de serviço ou produto; eliminação dos dados pessoais tratados e revogação do consentimento; informação das entidades públicas e privadas com as quais a empresa realizou uso compartilhado de dados; e informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; entre outros.
8) Qual o impacto real e efetivo dessa lei em empresas em geral?
O impacto real e efetivo da Lei em empresas é principalmente a adequação de todo o sistema à nova legislação. Em 2019, foi criada a Autoridade Nacional de Proteção de Dados (ANPD), que será o órgão responsável pela fiscalização da proteção de dados por parte das pessoas jurídicas. A ANPD poderá solicitar a qualquer tempo relatórios de riscos de privacidade às empresas para certificar-se de que as organizações estão tratando o tema internamente e dentro do estabelecido pela LGPD.
Ao que se refere a RH, e-commerce e demais setores, a maior importância é criar dentro da empresa um Comitê de Segurança da Informação, responsável por analisar a atual situação dos procedimentos internos quanto aos dados recebidos. Dentro deste processo, é importante fazer um mapeamento bem detalhado a respeito de como os dados pessoais são tratados e todo o seu ciclo de vida dentro da empresa. Saber para onde vão, onde ficam armazenados, quem tem acesso e se são compartilhados com terceiros. A partir do resultado dessa análise, será possível avaliar o nível de maturidade dos processos dentro da organização e os riscos envolvidos. Detectadas as deficiências, é o momento de iniciar procedimentos para tornar a transação de dados totalmente segura tanto para a empresa quanto para os titulares.
9) Eu atuo apenas no B2B, essa lei não é relevante para mim?
De fato, a lei é relevante para todos, mesmo para os atuantes em B2B. É improvável que o impacto da LGPD seja suficiente para prejudicar as operações B2B e a prospecção ativa, mas é importante reiterar que pelo fato de que as empresas não terão tanta facilidade em obter os dados pessoais dos usuários, o resultado disso é a necessidade de realizar mais pesquisas para conseguir o contato de leads e iniciar uma prospecção, por exemplo.
Além disso, em razão dessas responsabilidades paralelas referentes a RH, dados de clientes, ao Comitê de Segurança da Informação citado na resposta acima, entre outros, todos estão sujeitos a serem membros destes comitês e a serem parte dos profissionais que participarão ativamente da proteção dos dados em cada empresa.
Por fim, é interessante saber quem são os envolvidos nesse processo de proteção de dados, quais sejam: (i) o titular, pessoa física proprietária dos dados; (ii) o controlador, representado pelo tomador dos dados, ou seja, as pessoas jurídicas; (iii) o operador, que é a empresa responsável pela coleta de dados e sua efetiva segurança através de soluções automatizadas; e (iv) o encarregado, profissional que responde pela proteção dos dados da empresa. É o seu representante, que fará contato com a ANPD quando necessário, e pode até ser responsabilizado junto com a pessoa jurídica no caso de mau uso dos dados ou seu vazamento por qualquer motivo.