Faltam praticamente 16 meses para entrar em vigor a Lei Geral de Proteção de Dados (Lei nº 13.709/2018), conhecida também como LGPD. E, embora o prazo pareça ainda distante, após uma breve análise na lei, é possível constatar que a adaptação pode exigir um pouco mais de atenção do que o imaginado. Isto porque, nem todas as empresas tinham em seu radar a proteção de dados pessoais ou, ao menos, uma cultura voltada às boas práticas de segurança da informação.
Primeiramente, vale esclarecer que a LGPD é aplicável a todas as empresas que tratem dados pessoais, seja em meio físico ou digital, independentemente do porte ou segmento. Ou seja, a lei não se aplica somente às empresas de tecnologia ou voltadas ao comércio digital. Todas as companhias que coletam dados de seus funcionários ou de consumidores em um formulário físico ou mesmo em um sistema também deverão se atentar à legislação.
Entre os principais pontos da nova lei estão a definição do que são os dados pessoais (toda e qualquer informação relacionada à pessoa física identificada ou identificável), tais como nome, RG, CPF, endereço, geolocalização, identificação de dispositivos móveis e respectivos sistemas operacionais, cookies, endereços IP e demais identificadores eletrônicos. Os dados sensíveis receberam uma proteção maior, já que envolvem informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual e dados genéticos ou biométricos. Via de regra, essas informações só podem ser tratadas mediante consentimento específico em cláusulas contratuais separadas.
A LGPD institui a Informação e a Transparência como pilares centrais no tratamento de dados pessoais: sempre que possível, o titular dos dados deve ser informado sobre que tipos de dados são coletados, para quais finalidades, os responsáveis pelo seu tratamento e as formas de contatar o encarregado de sua proteção em caso de dúvidas ou solicitações para exercício de seus direitos.
Contudo, para disponibilizar essas informações de forma correta, objetiva e estruturada aos usuários, propiciar um meio eficiente para que os titulares exerçam seus direitos previstos na lei, bem como assegurar a respectiva segurança desses dados, a empresa deve, sobretudo, saber exatamente quais as categorias de dados pessoais definidas em lei, seu respectivo fluxo e finalidades. Por exemplo, a empresa deve saber exatamente como a coleta de dados é feita, por quais canais, com quem compartilha tais dados, quais funcionários têm acesso a esses dados, quais os mecanismos de segurança utilizados internamente, como estão os contratos com as empresas terceirizadas, principalmente em relação à responsabilidade pela segurança dos dados, quais as finalidades das coletas e em quais fundamentos legais posso enquadrá-las, dentre outros pontos de atenção.
Um mecanismo previsto na lei que contribui bastante para este mapeamento de dados é o Relatório de Impacto à Proteção de Dados Pessoais – que é a documentação a ser realizada pelo controlador contendo a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta, bem como as medidas técnicas e organizacionais adotadas para garantir a segurança da informação e mitigar eventuais riscos.
Por meio deste mapeamento, a empresa pode antever eventuais incidentes de segurança, como vazamento de dados, ou em ocorrendo tais incidentes, demonstrar perante a Autoridade Nacional de Proteção de Dados sua boa-fé e que tentou de todas as maneiras evitar o vazamento. Essas ações proativas e bem estruturadas das empresas servem como objeto de provas para amenizar eventuais sanções a serem aplicadas em sede administrativa.
A LGPD é resultado de aproximadamente oito anos de discussão colaborativa e foi impulsionada por alguns acontecimentos globais, como a aprovação do Regulamento Geral de Proteção de Dados da União Europeia (GDPR) e sua aplicação extraterritorial, o vazamento de dados envolvendo o Cambridge Analytica, a vontade do Brasil em integrar a Organização para a Cooperação e Desenvolvimento Econômico (OCDE), bem como a necessidade de alguns setores em regular a proteção de dados pessoais.
O cenário europeu de proteção de dados influenciou, e muito, na elaboração da lei brasileira. No Brasil, três projetos de lei foram essenciais para a concretização da nossa lei geral de proteção de dados, quais sejam: 4.060/2012, 330/2013 e 5.276/2016, sendo este último muito semelhante ao GDPR. Os debates públicos advindos desses projetos deram ensejo ao Projeto de Lei nº 53/2018, o qual foi aprovado e sancionado na Lei nº 13.709/2018.
Sendo assim, a lei é essencial para a segurança jurídica das relações comerciais. Primeiro, porque unifica as normas relacionadas a dados já existentes – no Brasil, a proteção de dados era fragmentada – como Código de Defesa do Consumidor, Código Civil, Lei do Habeas Data, normas de setores específicos, por exemplo, de telecomunicações e financeiro. Segundo, coloca o Brasil no patamar de um país adequado para a transferência internacional de dados.
Infelizmente, o presidente Michel Temer vetou, por uma questão formal de constitucionalidade, a criação da Autoridade Nacional de Proteção de Dados Pessoais, a qual teria como função fiscalizar o cumprimento da legislação; assegurar os direitos dos titulares dos dados pessoais; editar normas e diretrizes que complementem e esclareçam disposições da lei, como, por exemplo, sobre a indicação de prazos para a notificação da ANDP em caso de incidentes, os padrões mínimos de segurança a serem adotados pelas instituições públicas e privadas e os requisitos para a interoperabilidade dos sistemas; bem como, realizar auditorias e aplicar eventuais sanções administrativas.
É essencial que até fevereiro de 2020, a ANDP seja criada, visto que a devida aplicação e sua eficácia dependerá da fiscalização e da elaboração de diretrizes pela Autoridade Nacional, a fim de complementar a LGPD, como por exemplo, na indicação de um prazo para a notificação de eventual incidente à Autoridade Nacional, os procedimentos mínimos a serem adotados pelas empresas para assegurar o exercício do direito à portabilidade pelos titulares, padrões mínimos de segurança, etc.
Andreia Santos, advogada da Daniel Legal & IP Strategy.