401 segundos
Diante do aumento da coleta de dados pessoais, principalmente em vista das novas tecnologias e meios de comunicação, diversos países passaram a adotar medidas de proteção a esses dados.
Seguindo a tendência mundial, foi publicada, recentemente, a Lei Geral de Proteção de Dados brasileira. Neste artigo, compilamos os principais pontos e medidas que as empresas que tratam dados pessoais devem observar, para desde já se adaptarem à nova lei. Confira.
Contexto
A Lei Geral de Proteção de Dados foi inspirada em leis internacionais, em evidência no Regulamento Geral sobre a Proteção de Dados nº 2016/679 (General Data Protection Regulation – “GDPR”), regulamento europeu que possui abrangência extraterritorial e entrou em vigor em 2018 (clique aqui para conferir mais detalhes sobre o GDPR).
Até o advento da Lei nº 13.709/2018, de 14 de agosto de 2018 (“Lei Geral de Proteção de Dados”), o ordenamento jurídico brasileiro abordava o tratamento de dados pessoais de maneira vaga e esparsa, de modo que a nova lei criou um marco legal para a proteção de informações pessoais no Brasil.
O que a lei protege?
A norma em comento estabelece regras para disciplinar como os dados pessoais de pessoas físicas podem ser tratados (coletados, armazenados, transferidos) por terceiros, fixando limites e procedimentos para o tratamento desses dados.
Portanto, os bens jurídicos protegidos pela lei são os “dados pessoais”, ou seja, qualquer informação relacionada a uma pessoa física, tais como nome, carteira de identidade CPF/MF, profissão, estado civil, grau de escolaridade, dentre outras informações.
A Lei Geral de Proteção de Dados se aplica a qualquer operação de tratamento de dados realizada por pessoa física ou jurídica (de direito público ou privado), independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:
- os dados pessoais tenham sido coletados no Brasil ou qualquer operação de tratamento seja realizada no território nacional; ou
- a atividade de tratamento, mesmo que realizada fora do território nacional, tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no Brasil.
O que é considerado tratamento de dados?
Tratamento de dados é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração de dados.
De que modo a Lei poderá impactar nos negócios?
Em caso de não conformidade ou violação da lei, o infrator ficará sujeito a diversas penalidades, dentre elas multa no valor de até 2% (dois por cento) do faturamento da pessoa jurídica, grupo ou conglomerado no Brasil em seu último exercício, limitada a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.
Para evitar tais penalidades, as empresas que, de alguma forma, tratam dados pessoais devem observar e se adaptar aos novos procedimentos, requisitos e prazos estabelecidos pela Lei Geral de Proteção de Dados.
Listamos, a seguir, as principais obrigações e procedimentos que devem ser observados pelas empresas que tratam dados pessoais:
- Consentimento do titular: para coletar e tratar um dado, a empresa precisa solicitar o consentimento prévio do titular. Essa autorização deve ser solicitada de forma clara, em cláusula específica, e nunca de maneira genérica. Caso uma empresa colete um dado para determinado fim e desejar alterar tal finalidade, deve obter novo consentimento do titular. A permissão para o tratamento de dados pode ser revogada pelo titular a qualquer momento.
- Princípios: a Lei Geral de Proteção de Dados é uma lei principiológica e elenca diversos princípios que devem ser observados no tratamento de dados, quais sejam: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas. Em vista do caráter principiológico, é possível que referida Lei possa acompanhar os avanços tecnológicos sem que sejam necessárias alterações ou adaptações ao texto da Lei.
- Direitos dos titulares: o titular do dado tem o direito de ser informado sobre o tratamento, possibilidade de oposição ao mesmo, eliminação dos dados pessoais, informação das entidades públicas e privadas com as quais os seus dados foram compartilhados, correção de dados incompletos, inexatos ou desatualizados, dentre outros direitos previstos na lei. Ademais, no tratamento de dados pessoais a empresa deve preservar o direito à liberdade, intimidade e privacidade do titular.
- Notificações obrigatórias: sempre que houver um incidente relativo ao tratamento de dados (por exemplo: vazamento de dados), o responsável pelo tratamento deverá comunicar prontamente os titulares e a autoridade competente, dentre outras providências.
- Relatório de impacto à proteção de dados pessoais: a autoridade competente poderá solicitar ao responsável pelo tratamento dos dados a apresentação de relatório de impacto à proteção de dados pessoais, no qual deverá conter as características dos tratamentos de dados realizados, bem como os riscos gerados aos titulares por tal tratamento.
- Agentes de tratamento de dados pessoais: a Lei Geral de Proteção de Dados criou algumas figuras para delimitar a responsabilidade dos agentes no processo de tratamento de dados, quais sejam: (i) controlador (pessoa física ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais); (ii) operador (pessoa física ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador); e (iii) encarregado (pessoa física, indicada pelo controlador, que atua como canal de comunicação entre o controlador, os titulares dos dados e a autoridade competente). As empresas deverão ter em mente esses agentes e suas responsabilidades ao compor sua equipe.
- Segurança e sigilo de dados: os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
- Boas práticas e governança: os agentes de tratamento poderão, individualmente ou por meio de associações, formular regras de boas práticas e de governança para o tratamento de dados pessoais que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
Nossa visão
De uma forma geral, a aprovação da Lei Geral de Proteção de Dados foi ao encontro da tendência mundial e será extremamente benéfica para o país, garantindo transparência e credibilidade ao Brasil nas relações comerciais internacionais e proteção aos titulares dos dados.
O maior desafio será para as empresas adaptarem seus procedimentos internos à nova norma e, apesar da Lei Geral de Proteção de Dados entrar em vigor apenas em 15 de janeiro de 2020, o tempo para a adaptação é curto, considerando a cultura de exploração desprotegida de dados que vivemos.
Ressaltamos que as providências para adequação à lei não se limitam à elaboração de políticas de privacidade bem-feitas. Conforme exposto, as empresas deverão adotar, o quanto antes, as medidas adequadas de governança em privacidade, contando com equipes completas de especialistas que saibam aplicar a nova Lei.
Equipe de Consultoria do Molina Advogados
