16/01/2020 Chegou 2020, Lei Geral de Proteção de Dados Pessoais!
Após anos de discussões, a tão famigerada Lei Geral de Proteção de Dados Pessoais (LGPD) tornou-se realidade em 14 de agosto de 2018 e, se nada mudar, passará a vigorar em agosto de 2020. Trata-se da primeira legislação específica sobre o tema no Brasil.
A lei é fortemente inspirada no General Data Protection Regulation (GDPR) que entrou em vigor no dia 25 de maio de 2018 e obrigou as organizações da União Europeia a realizarem importantes alterações na forma de tratar dados pessoais. É válido ressaltar que, embora a LGPD tenha como inspiração o GDPR, as legislações têm pontos de divergência que variam, principalmente, no que tange a obtenção dos dados.
A LGPD segue a tendência mundial de fortalecer a proteção dos dados pessoais e garantir uma série de direitos aos titulares dos dados, bem como estabelecer obrigações aos agentes de tratamento de dados pessoais. É uma legislação que pretende impulsionar o desenvolvimento econômico e tecnológico no país, trazendo maior segurança jurídica às operações que envolvem o tratamento de dados pessoais.
Embora ainda haja muitos tópicos emblemáticos a serem regulamentados, a LGPD trará segurança jurídica não só aos titulares de dados, mas também a todas as organizações que, de alguma forma, manipulam informações no desenvolvimento de suas atividades comerciais. A lei concede parâmetros legais para as instituições desenvolverem suas atividades sem infringir a privacidade e a proteção de dados dos titulares, bem como impõe limites de atuação ao Poder Público.
Cabe ressaltar que, os dados pessoais se tornaram tão valiosos para as organizações que são considerados uma das "moedas do Século XXI", assim como a terra foi para a sociedade agrícola e as máquinas à vapor foram para a sociedade industrial. Devido a essa monetarização dos dados pessoais é que estes começaram a ser coletados e utilizados indiscriminadamente, pois despontam como uma verdadeira mercadoria em torno da qual surgem novos modelos de negócio que, de uma forma ou de outra, procuram extrair valor monetário do intenso fluxo de informações pessoais proporcionado pelas modernas tecnologias da informação e comunicação.
A importância da segurança dessas informações e os debates sobre privacidade de dados ganharam força, nos últimos anos, com o avanço tecnológico e o aumento da preocupação da sociedade com as possíveis atividades relacionadas aos seus dados pessoais. Escândalos como o caso da Cambridge Analytica e do Facebook envolvendo vazamento ou compartilhamento indevido de dados, principalmente em redes sociais, também contribuíram para que o tema se tornasse ainda mais discutido. "Mais do que bens, dados pessoais são indicadores de individualidade e, portanto, únicos e intransponíveis"*.
Ademais, o Brasil vinha perdendo oportunidades de investimentos financeiros por não dispor de uma lei geral de proteção de dados pessoais, pois a UE, por força do GDPR, veda a transferência de dados de cidadãos europeus para empresas de outros países que não têm um nível adequado de proteção de dados pessoais. E o Brasil, antes da LGPD, era enquadrado na categoria das nações que não protegiam, de maneira satisfatória, a privacidade dos dados pessoais, ficando em desvantagem em relação a outros países que já tinham adotado legislações semelhantes.
Diante desse cenário, felizmente o Brasil entrou, definitivamente, para o grupo de países com sua própria regulação de tratamento de dados pessoais. Desse modo, tanto por força da LGPD quanto da GDPR e demais regulações, as organizações terão que adotar uma série de medidas para adequar produtos e serviços, elaborar políticas de segurança da informação, criar cargos com envolvimento jurídico, de compliance, de tecnologia e de gestão de segurança da informação, dentre outras. Não será mais permitida a realização de atividades de tratamento de dados pessoais sem que se tenha uma base legal para isso, como por exemplo, o consentimento do titular dos dados.
A LGPD traz uma série de regras, definindo conceitos e estabelecendo bases legais, nas quais as organizações podem fundamentar suas atividades relacionadas ao tratamento de dados pessoais. Na norma estão previstas sanções administrativas que serão aplicadas em caso de incidentes envolvendo dados pessoais, que poderão variar desde advertências até multas de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.
Tais sanções, são "a motivação" (sim, pois afetam o bolso!) para que as organizações de pequeno, médio ou grande porte, enfim, tratem a segurança de dados como peça importante dos processos de negócios e de alta prioridade. A nova legislação força mudanças na maneira como as organizações lidam com os dados dos seus clientes, sejam eles físicos ou digitais. Para a correta adequação, não basta, apenas, implantar modernas tecnologias, mas sim, gerir todo o negócio de forma holística, revendo e ajustando a cultura da organização e seus processos. É importante também, que as organizações entendam que há inúmeros ganhos em estar na vanguarda, evitando riscos e exposições negativas que trazem prejuízos financeiros e reputacionais.
A LGPD, bem como todas as legislações pertinentes ao tema, sem sombra de dúvidas, contribui para melhorar os mecanismos de segurança e processamento de dados com o objetivo de impedir que terceiros não autorizados tenham acesso a informações pessoais sem o devido consentimento do titular. E isso afeta positivamente as empresas, visto que as obriga a implementarem uma cultura de respeito pela privacidade dos dados pessoais de seus clientes, colaboradores e parceiros.
Este é o primeiro de uma série de dez artigos, que visa apresentar alguns temas importantes relacionados à proteção à privacidade e dados pessoais à luz da LGPD, a fim de oferecer subsídios para entender melhor a lei. Não há pretensão (e nem há possibilidade!) de esgotar todo o assunto pertinente ao tema, mas apenas apontar algumas situações a serem observadas por qualquer organização que esteja submetida à Lei Geral de Proteção de Dados (LGPD), com base na doutrina, na jurisprudência e nas mais relevantes normas técnicas pertinentes às áreas jurídicas e tecnológicas, tanto nacionais quanto estrangeiras.
Autor: Sandra Maltauro
