Lei Geral de Proteção de Dados Pessoais: o que deve mudar na sua empresa?

Depois do escândalo envolvendo o Facebook e a Cambridge Analytica, muitos países aceleraram a aprovação de leis que tratam da proteção de dados pessoais, inclusive o Brasil. Em agosto de 2018 foi aprovada a Lei Geral de Proteção de Dados Pessoais que dispõe sobre uma série de regras para o uso e compartilhamento de dados pessoais em todo território nacional. Embora a lei só entre em vigor em agosto de 2020, empresas, governo e a sociedade devem ficar por dentro do que diz a nova lei, além de claro, se adaptar.

Além de alterar o Marco Civil da Internet, a Lei Geral de Proteção de Dados Pessoais estabelece responsabilidades para quem coleta e utiliza dados pessoais. Sua finalidade é proteger o direito à privacidade, além de penalizar quem utiliza dados pessoais em desacordo com a lei. Para saber mais o que diz a Lei Geral da Proteção de Dados e como implementar as novas regras na sua empresa, não deixe de conferir!

Entenda quais dados são protegidos pela lei

Segundo a Lei Geral de Proteção de Dados qualquer informação que identifique ou torne identificável uma pessoa é suscetível de proteção. Assim, CPF, RG, nome e sobrenome, por exemplo, são alguns dos dados que não podem ser utilizados indiscriminadamente por empresas, órgãos públicos ou mesmo pessoas que tem acesso.

Além disso, dados relativos à religião, raça, sexualidade e até opinião política também ganham proteção segundo a nova lei. Esses dados são considerados como “sensíveis” e não podem ser usados sem autorização expressa do titular. Como o próprio caso envolvendo o Facebook e a Cambridge Analytica comprovam, esses dados são hoje considerados vulneráveis devido à exposição nas redes sociais e, portanto, não podem ser usados de forma danosa.

A lei também confere proteção aos chamados “dados anonimizados”. Esses dados que não identificam diretamente a pessoa, também podem ser protegidos dependendo do contexto. Para a lei, o uso de dados pessoais só é permitido se existe o consentimento expresso da pessoa, isto é, do titular dos dados. Caso contrário, a proteção será cabível.

Aplicação da Lei Geral da Proteção de Dados

Qualquer pessoa física ou jurídica que realiza a coleta, armazenamento, processamento e transferência de dados está sujeita à aplicação da lei. Mesmo empresas que coletam dados no Brasil e repassam essas informações ao exterior devem se adequar às regras.

Portanto, para quem é empresa e coleta dados na internet via formulários, por exemplo, devem ficar atentas especialmente no que se refere ao consentimento do titular.

A Lei Geral da Proteção de Dados só não se aplica para quem faz o tratamento de dados com fins não econômicos. Assim, dados coletados para pesquisas, fins jornalísticos ou acadêmicos, por exemplo, não são suscetíveis a aplicação da lei. Da mesma forma, dados coletados com a finalidade de promover a segurança pública, a defesa nacional e a segurança do Estado também não estão sujeitos às restrições impostas pela lei, incluindo aqueles que servem para a investigação e repressão de infrações penais.

Por fim, a lei também não se aplica aos chamados “dados em trânsito”, que são aqueles que não tem como destino empresas ou pessoas que processam esses dados no Brasil.

A importância do consentimento no uso de dados pessoais

Os principais objetivos da Lei Geral da Proteção de Dados é garantir o direito à privacidade, além de preservar a transparência no que se refere à coleta e processamento de dados pessoais. Por este motivo, dados pessoais só poderão ser utilizados por terceiros sempre que existir o consentimento do titular.

Com a nova lei, nenhuma empresa ou indivíduo podem usar dados pessoais sem que haja a autorização do titular de forma livre e inequívoca. Assim, se a sua empresa coleta dados de consumidores, por exemplo, é essencial deixar clara qual é a finalidade e como esses dados serão utilizados pelo seu negócio.

A Lei Geral da Proteção de Dados também trata sobre o chamado interesse legítimo. Em outras palavras, mesmo que o uso de dados seja feito com o consentimento do titular, aquele que processa ou utiliza dados não pode ferir direitos previstos em outras leis e na própria Constituição Federal. Mais do que a privacidade, a lei assegura a proteção de outros direitos como o da liberdade, ampla defesa entre outros.

Controlador, encarregado e operador: quais as responsabilidades desses agentes?

Uma das novidades trazidas pela nova lei são os chamados agentes de tratamento de dados pessoais, que são definidos como controlador, encarregado e operador.

Para a lei, controlador e operador são pessoas ou empresas que mantém o registro das operações de tratamento de /dados que realizam. O controlador é aquele quem toma decisões relativas ao tratamento de dados. Já o operador é quem realiza todo o tratamento de dados em nome do controlador.

A lei também fala no encarregado que é a pessoa responsável por fazer a comunicação entre o controlador e os titulares dos dados. Essa pessoa pode receber reclamações e comunicados, e deve prestar esclarecimentos e tomar as devidas providências com relação aos pedidos recebidos. Todas as empresas e pessoas que coletam dados hoje devem ter informações de contato disponibilizadas de forma pública no site da empresa.

Todos os agentes de tratamento devem se adequar a lei e devem adotar medidas visando a proteção dos dados. Eles também devem manter o registro das operações e comunicar as autoridades sempre que existir qualquer incidência capaz de gerar danos ou riscos.

Os órgãos fiscalizadores podem solicitar de qualquer pessoa ou empresa a elaboração de um relatório de impacto à proteção de dados pessoais.

Como funcionará a aplicação de lei na prática?

A princípio, os conceitos relativos aos agentes de tratamento de dados pessoais podem parecer um pouco confuso. No entanto, o que precisa ficar claro é que hoje qualquer empresa ou pessoa que colete dados pessoais tem responsabilidade sobre eles e é preciso que o uso desses dados seja feito somente com o consentimento expresso do titular.

Todas as empresas que realizam o tratamento e coleta de dados pessoais devem obrigatoriamente contar com a figura do encarregado, que é um funcionário responsável por adotar providências, esclarecer e fazer toda a comunicação entre a empresa e os titulares. Além disso, o encarregado também é uma figura importante caso existam vazamentos de dados. Esse funcionário é o principal responsável pela comunicação dos órgãos competentes sempre que existir o vazamento de dados e informações pessoais.

Com a lei, empresas e pessoas que passarem por qualquer situação envolvendo o vazamento de dados devem assumir o ocorrido, em vez de omiti-lo, a fim de evitar as sanções previstas na lei.

Autoridade Nacional de Proteção de Dados

Inicialmente, a Lei Geral de Proteção de Dados criou a ANPD (Autoridade Nacional de Proteção de Dados). Segundo a lei, a ANPD é um órgão da administração pública indireta responsável pela implementação e fiscalização da lei. A criação do órgão, no entanto, foi questionada pelo Executivo.

Através de uma Medida Provisória (MP n.º 869/18) que foi convertida em Lei (Lei n.º 13.874/19), ficou definido que a ANPD não terá uma estrutura independente e ficará subordinada à Presidência da República. Seu compromisso institucional, no entanto, deve ser revisto após dois anos da implementação da lei.

A ANPD também será responsável pela aplicação de sanções. Segundo a lei, empresas que descumprirem a lei podem ser multadas em até 2% do seu faturamento, com o limite de R$ 50 milhões. Além disso, a empresa fica responsável pelo bloqueio e eliminação dos dados relacionados à infração.

Sobre a atuação da ANPD ainda existem pontos controversos que devem passar pela aprovação do Congresso Nacional. Entre eles está a possibilidade de suspender ou bloquear o banco de dados de entidades que descumprirem a lei.

Empresas: como se adequar à Lei Geral de Proteção de Dados?

A Lei entra em vigor em fevereiro de 2020 e vem gerando dúvidas em muitas empresas. Porém, é preciso buscar a adequação. Além de criar o cargo do encarregado, as empresas devem cuidar de mapear dados, revisar políticas de segurança e até rever contratos. Adotar medidas visando a segurança da informação também é um aspecto importante.

Por fim, é importante ter consciência de quaisquer empresas que coletam dados estão sujeitas a nova legislação. Assim, independentemente do porte ou da atividade, se a empresa coletar dados de terceiros com fins econômicos é essencial buscar a adequação.Você já conhecia a nova Lei Geral da Proteção de Dados? Descubra como as soluções da Documentall podem ajudar na higienização e tratamento dos dados adequados à nova legislação.