Sancionada há pouco menos de um ano, a Lei Geral de Proteção de Dados (LGPD) chegou a sua redação final em meados de julho, com muitas e importantes mudanças. Para ajudar a compreender, comento abaixo essas alterações:
Tratamento de dados relativos à saúde
Ocorreu uma flexibilização em relação à hipótese legal que autoriza o uso de dados para tutela da saúde. Desta forma, tanto os dados pessoais quanto os dados pessoais sensíveis poderão ser tratados por profissionais de saúde, autoridades sanitárias e responsáveis pelos serviços de saúde, o que representa um grande aumento nas possibilidades de uso de dados na área da saúde.
Outra mudança em relação a dados relativos na área é que fica vedado o compartilhamento de informações pessoais sensíveis referentes à saúde com o objetivo de obter vantagem econômica. Deve-se atentar, porém, às seguintes condições:
Ocorrer no contexto da prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde;
Não tiver como objetivo a prática pelas operadoras de planos privados de assistência à saúde, de seleção de riscos na contratação, assim como na contratação e exclusão de beneficiários;
For em benefício dos interesses dos titulares dos dados, relativo a pelo menos uma das atividades: a portabilidade de dados quando solicitada pelo titular ou as transações financeiras e administrativas resultantes do uso e da prestação dos respectivos serviços.
Definições para o DPO (Encarregado de Proteção de Dados)
A versão final da LGPD apresenta um conflito entre a definição do artigo 5º, VIII e regra do artigo 41, que disciplina a função do Encarregado de Proteção de Dados (DPO), o relacionando apenas com os Controladores de dados.
Se olharmos o que pretendia o legislador antes do veto, chegaríamos ao entendimento de que a figura do Encarregado estivesse presente tanto no Controlador como no Operador. Desta forma, a nossa recomendação é para que as empresas operadoras nomeiem seus Encarregados de Proteção de Dados, até mesmo porque é raríssimo termos uma empresa que seja somente uma operadora de dados.
Outra mudança é que a lei não torna mais expressa a necessidade que o DPO (Encarregado) detenha o conhecimento jurídico-regulatório em proteção de dados. Este veto foi baseado em não ofender o direito fundamental, previsto no art. 5º, XIII da Constituição da República, por restringir o livre exercício profissional a ponto de atingir seu núcleo essencial. Surgiu do medo de uma reserva de mercado por parte dos advogados. O certo é que um bom DPO, entre outras habilidades técnicas necessárias, deverá dominar não só a LGPD, mas também a sua regulamentação europeia, a GDPR, além de ter a técnica para peticionar a ANPD (Autoridade Nacional de Proteção de Dados Pessoais), respondendo as questões por ela levantadas.
No fundo, a empresa gastará mais tendo um profissional puramente técnico sem o conhecimento jurídico-regulatório como DPO, logo que necessariamente terá que contratar um Escritório de Advocacia especializado para suportar as demandas junto à ANPD e ao judiciário. Ou seja, em suma, será um tiro no pé das empresas desconsiderar o conhecimento jurídico para a contratação de um DPO.
Revisão das decisões automatizadas
Havia a previsão de que o titular de dados teria o direito de solicitar revisões das decisões tomadas de forma automatizada, processo esse que seria feito, nesse segundo momento, por um agente humano.
Ocorreu, porém, o veto presidencial, dispensando essa necessidade.
Sanções da LGPD
Ficam mantidas na LGPD as sanções administrativas, sendo:
Advertência, com indicação de prazo para adoção de medidas corretivas;
Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
Multa diária, observado o limite total acima;
Publicação da infração;
Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
Eliminação dos dados pessoais a que se refere a infração.
Essas punições existentes na Lei são rigorosas e justificam o grande movimento das empresas para sua adequação à LGPD.
Uma novidade com relação às sanções é que os vazamentos individuais ou os acessos não autorizados a dados pessoais poderão ser objeto de conciliação direta entre controlador e titular e, caso não haja acordo, o controlador estará sujeito à aplicação das penalidades da LGPD.
Autoridade Nacional de Proteção de Dados Pessoais (ANPD)
A ANPD será órgão da administração pública federal direta, integrante da Presidência da República, o Poder Executivo, segundo a LGPD. Poderá transformar a ANPD em entidade da administração pública federal indireta após dois anos de funcionamento, submetida a regime autárquico vinculada à Presidência da República.
Podemos destacar como atuação da ANPD os seguintes pontos:
A ANPD poderá celebrar compromissos com as empresas
Terá a capacidade de editar normas (e afins) específicas (e mais flexíveis) para startups;
Será o grau máximo, na esfera administrativa (não judicial), para interpretar a LGPD, o que não exclui o poder de fiscalização que outros órgãos terão, de forma limitada, às suas competências;
Poderá realizar auditorias;
Deverá receber e processar as reclamações das pessoas físicas titulares de dados (em meios facilitados, especialmente eletrônicos), desde que tais titulares tenham procurado antes a própria empresa denunciada, e que esta não tenha resolvido a questão;
Comunicará às autoridades competentes as infrações penais das quais tiver conhecimento.
Uma das grandes dificuldades que estamos enfrentando na implementação da LGPD em nossos clientes é o entendimento de que se trata exclusivamente de uma demanda jurídica ou apenas tecnológica.
Para o sucesso da LGPD, entretanto, é necessário um grupo multidisciplinar abrangendo as áreas de proteção de dados e segurança da informação. Esse grupo deverá seguir uma jornada com etapas bem definidas, para que as atividades necessárias sejam realizadas por profissionais multidisciplinares e no tempo correto, apoiando cada etapa com a expertise exigida, garantindo, assim, a implementação da LGPD no prazo determinado e com a qualidade demandada pela Lei.
Esta jornada compreende cinco grandes fases, que contemplam:
Criação do escritório de privacidade
Definição e treinamento do encarregado de dados
Criação de políticas de proteção de dados e privacidade
Definição do fluxo para tratamento de dados
Definição da estratégia para início das atividades
Mapeamento de dados
Mapear dados estruturados
Mapear dados não estruturados
Catalogar os dados e definir o ciclo de vida dentro dos processos de negócio e nos assets de software
Análise de impacto no tratamento de dados
Criar o relatório de impacto de tratamento de dados utilizando a linhagem de dados
Definir a hipótese legal de tratamento de dados
Definições tecnológicas para o tratamento de dados
Determinar as tecnologias e tratamento necessários para garantir a privacidade de dados dentro dos processos de negócio de acordo com o relatório de impacto de tratamento de dados
Monitoração e operação da privacidade
Garantir o atendimento aos titulares de dados e a Autoridade Nacional de Proteção de Dados
Monitorar a privacidade dentro dos processos e sistemas da empresa.
Esta jornada requer tempo, pessoas especializadas e engajadas para obtermos o sucesso necessário em adequar as empresas dentro do tempo e requisitos da Lei. Com resta menos de um ano (a LGPD entra em vigor em agosto de 2020), é preciso iniciar o processo o quanto antes.
Wiliam Faria, head de Privacidade de Dados e Data Proctetion Officer da GFT.