O presidente Jair Bolsonaro sancionou nesta quinta-feira, 17, o Projeto de Lei de Conversão (PLV) 34/2020, originado da Medida Provisória (MP) nº 959/2020, que determina a entrada em vigor da maior parte da Lei Geral de Proteção de Dados (LGPD) que disciplina o tratamento de dados pessoais manuseados por pessoas físicas ou jurídicas, públicas ou privadas. Sem a mudança de data reivindicadas por algumas entidades, os artigos da LGPD passam a valer a partir de agora.
Permanecerá sem eficácia os artigos da lei geral sobre sanções administrativas para quem desrespeitar as regras de tratamento de dados pessoais, pois inclusive não foi criada a ANPD – Agencia Nacional de Proteção de Dados. Por força da Lei 14.010/20, as sanções entram em vigor a partir de 1º de agosto de 2021.
Segundo Gustavo Artese, da Viseu Advogados, as empresas, no entanto, devem cumprir obrigações como coleta, armazenamento e o uso dos dados pessoais, pois segundo o artigo 18 da LGPD "o titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição.
Ele alerta que "o titular dos dados pessoais tem o direito de peticionar em relação aos seus dados contra o controlador perante a autoridade nacional". O direito o também poderá ser exercido perante os organismos de defesa do consumidor.
De acordo com a LGPD, "as hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente".
Hermes de Assis, especialista em Direito Digital pelo escritório Urbano Vitalino, explica, que o impacto da nova legislação está relacionado aos acordos firmados entre empresas e seus usuários para utilização de dados pessoais. Seja ao entrar em sua conta do Google, navegar pelo Facebook ou publicar no Instagram, o usuário "alimenta" os bancos de dados dessas empresas com suas informações de navegação. Todas as marcas que armazenam e analisam dados fornecidos por seus consumidores deverão ser transparentes sobre a finalidade deste uso.
"Todos serão afetados. Todas as pessoas poderão invocar a proteção da lei, e nas relações sociais a aplicação da LGPD apenas não será considerada em raras ocasiões, como, por exemplo, em relação ao tratamento de dados pessoais por pessoa natural para fins particulares e não econômicos, o tratamento para finalidades jornalísticas, para fins de segurança pública ou defesa nacional, entre outros poucos exemplos."
Não basta estar em compliance, é preciso provar
Com o sancionamento da LGPD as empresas e órgãos públicos terão que deixar claro para todos os titulares de dados de que forma será feita a coleta, o armazenamento e o uso dos dados pessoais. Caso a lei seja desrespeitada, as empresas serão advertidas e a partir de agosto de 2021 poderão ser multadas. As punições podem chegar a 2% do faturamento ou até R$ 50 milhões.
Rafael Sampaio, country manager da Etek NovaRed, explica que um ponto importante que precisa ser levado em consideração pelas organizações é que não basta estar em compliance com a lei, agora, as empresas terão que comprovar isso.
Assessment
"Por dois anos, o mercado ouviu falar sobre a implementação da LGPD, mas sem data definida para a lei entrar em vigor. Na tentativa de se adequarem, muitas companhias investiram em assessment e contrataram consultorias e escritórios jurídicos para entenderem as informações que circulavam dentro das empresas. Porém, o resultado do trabalho do assessment são várias planilhas que acabam indo para as gavetas ou ficando escondidas nos arquivos do computador. O assessment é importante, mas isolado ele não resolve o problema da operação", explica o especialista.
De acordo com o executivo, o ideal é que as empresas contem com o apoio de soluções tecnológicas para atender a operação do dia a dia da lei. "Sem o uso da tecnologia certa, as empresas vão continuar patinando para ficarem em compliance com a LGPD", acrescenta Sampaio.
Outras obrigações
Fábio Pereira, especialista em proteção de dados do Veirano Advogados, esclarece que "a LGPD terá grande impacto nas relações comerciais e de consumo, principalmente diante da tendência de tratamento de dados pessoais de consumidores com a finalidade de traçar seu perfil. Para empresas com bases de dados já consolidadas, poderá haver necessidade de se buscar o reconsentimento. Em caso negativo, é possível que seu uso seja questionado.", explica o advogado.
"É comum que as empresas tenham bases de dados sem reconhecer suas procedências, algo inviável a partir da implementação da lei. Uma opção seria segregar as bases e buscar a origem de todas as informações. Também podem utilizá-las com base em outros fundamentos legais, como legítimo interesse por exemplo, mas isso pode acabar abrindo brechas para futuros questionamentos. As bases existentes ainda serão reguladas pela Autoridade Nacional", completa.
Pereira cita também outras obrigações que já estão valendo, como a necessidade de nomeação de um DPO – Data Protection Officer (DPO), um profissional encarregado da proteção de dados, cuja identidade deve ser divulgada publicamente, junto com suas informações de contato. A obrigatoriedade se estabelece em três casos: quando o tratamento for efetuado por uma autoridade ou um organismo público, excetuando os tribunais no exercício da sua função jurisdicional; quando as atividades do responsável pelo tratamento ou do subcontratante consistam em operações que exijam um controle regular e sistemático dos titulares dos dados em grande escala, e quando as atividades principais consistam em operações de tratamento em grande escala de categorias especiais de dados, como condenações ou delitos criminais.
Também traz a obrigação de preparar relatórios de impacto à proteção de dados, com o objetivo de mitigar riscos. O documento, de total responsabilidade do controlador, registra as atividades que envolvam o tratamento de dados pessoais e que podem gerar ameaças aos direitos fundamentais. Nele, estão contidos os processos de responsabilidades que a empresa passa a assumir diante da ação. Serve como base para o cumprimento de vários princípios da LGPD, como finalidade, transparência, adequação, segurança, entre outros.
Inclui ainda a obrigação de responder imediatamente aos pedidos de titulares à confirmação do tratamento e acesso a dados e, em 15 dias, fornecer declaração completa que indique a origem dos dados, os critérios utilizados e a finalidade do tratamento.
Pereira ressalta que para garantir o direito exigidos por lei, as empresas devem dar prioridade para a manutenção de canais transparentes de contato com usuários para atender às suas demandas, assim como as da futura Agência Nacional de Proteção de Dados (ANPD). As medidas valem para redes sociais, sites de internet, setor de varejo, setor de saúde, bancário, e qualquer tipo serviço que colete dados pessoais.
[…] Fonte: TI INSIDE […]