As organizações devem estabelecer regras de compliance e buscar consultoria jurídica para entender os conceitos da lei, além de traçar um planejamento e adequar as suas estruturas internas.
Juliana Macedo (*)
Foi sancionada em agosto de 2018 a Lei nº 13.709/18, conhecida como Lei Geral de Proteção de Dados (LGPD). Com a pandemia do novo coronavírus, a vigência da LGPD foi adiada por meio de uma Medida Provisória e, após nova rodada de votação no Congresso, as regras passam a valer a partir de 18 de setembro de 2020. Embora as punições previstas pela norma tenham um prazo ainda mais longo para entrar em vigor, muitas dúvidas surgem: como as empresas podem garantir a proteção de dados dos usuários e evitar serem penalizadas com multas? Como tratar a informação digital armazenada? Qual o direito do usuário e a interface da nova lei com outras legislações aplicáveis ao seu negócio?
É importante que todos conheçam o que as novas regras determinam e saibam como as empresas devem lidar com os dados pessoais que ficam sob o seu controle. Entre os principais pontos, estão os efeitos da legislação, o que ainda é dúvida, e como os empresários brasileiros devem se comportar no atual momento de adaptação à lei.
A LGPD determinou que, a partir de 18 de setembro de 2020, as empresas precisarão de uma autorização para coletar, armazenar ou tratar qualquer informação digital de uma pessoa física, com o objetivo de garantir a proteção de dados. A autorização será dada pelo titular da informação: a própria pessoa física.
Exemplos de dados pessoais são os nomes, endereços, telefones, e-mails, características físicas, localização, hábitos, preferências, entre outros. A autorização deve ser requerida de forma clara, direta e informando qual será a utilização da determinada informação digital. No caso de novo uso dos dados, será necessária uma nova autorização, que pode ser anulada a qualquer momento pelo titular dos dados.
A nova lei concedeu ainda uma permissão às empresas públicas para que possam tratar os dados pessoais coletados pelo Poder Público no caso de uso exclusivo voltado à segurança pública, à defesa nacional, segurança do Estado ou para atividades de investigação e repressão de infrações penais. Os dados pessoais controlados pelo Poder Público poderão ser transferidos às entidades privadas somente no caso de haver previsão legal, contratos, convênios ou instrumentos semelhantes.
Quanto a quem será responsável pela fiscalização do cumprimento da lei, a LGPD determina que a responsabilidade será da chamada Autoridade Nacional de Proteção de Dados (ANPD), cuja estrutura regimental e o quadro de cargos foram criados por decreto presidencial publicado no Diário Oficial da União de 27 de agosto.
Aplicação de punições
A ANPD será um órgão ligado à administração pública federal e integrante da Presidência da República. A sua função será fiscalizar e aplicar sanções em caráter administrativo. Em dezembro de 2019, o Congresso Nacional promulgou alguns vetos feitos pelo Presidente da República em relação às sanções administrativas que podem ser aplicadas às empresas. A previsão é de que as punições comecem a ser aplicadas somente em 2021.
Os três novos tipos de punição que haviam sido vetados pelo presidente da República e foram restabelecidos pelo Congresso Nacional são a suspensão parcial do funcionamento do banco de dados por até seis meses; a suspensão do exercício da atividade de tratamento dos dados pessoais pelo mesmo período; e a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Estas três penalidades se somam a outras seis previstas na LGPD: advertência; multa simples; multa diária; publicização da infração após devidamente apurada e confirmada a sua ocorrência; bloqueio dos dados pessoais a que se refere a infração até a sua regularização; e a eliminação dos dados pessoais a que se refere a infração.
Quanto ao impacto do novo tratamento de informação para as empresas, o efeito imediato, após a LGPD passar a vigorar, é que elas poderão ser submetidas a pedidos de indenização ou obrigação de fazer no Judiciário por não cumprirem a legislação, ainda que a aplicação das multas pela ANPD tenha sido adiada.
No caso das penalidades administrativas previstas em lei, a cada caso de descumprimento caberá a aplicação de advertência ou multa com valor correspondente a 2% do faturamento bruto da empresa e com um teto de R$ 50 milhões para o valor da penalidade. Além do fator financeiro, as empresas devem garantir o total controle dos dados capturados para que não haja descumprimento da legislação, assim como atender às solicitações dos titulares dos dados e apresentar determinada informação digital caso tenha sido pedido pelo titular dos dados. As empresas devem garantir esse direito.
Utilização de dados em ações de marketing
Atualmente, tem sido alvo de debate a utilização de dados pessoais por parte das empresas em ações de marketing. Um exemplo do que é feito com a informação pessoal de determinada pessoa física pode ser observado nos casos de vazamentos de listas de e-mails e de outros contatos os quais as empresas possuam acesso.
O recebimento comum de propagandas e ofertas por pessoas físicas que não forneceram seus dados aos responsáveis pelas ações é um resultado comum desses vazamentos. A lei foi criada justamente para garantir a proteção dos dados e, por conta disso, empresas não têm mais permissão para coletar dados de usuários, utilizá-los em ações de marketing e publicidade ou vendê-los a terceiros.
Quanto ao que ainda é motivo de dúvida, vale lembrar que embora a LGPD tenha sido aprovada e passe a valer a partir de 18 de setembro de 2020, ainda é uma incógnita como atuará a já mencionada Autoridade Nacional de Proteção de Dados. A estrutura administrativa do órgão ficará a cargo da Presidência da República ao longo dos próximos dois anos e será necessário avaliar se tal estrutura será suficiente para fiscalizar e aplicar as novas normas determinadas para as empresas.
Contudo, tais dúvidas que ainda restam não justificam com que as empresas deixem de se planejar e adequar as suas estruturas internas para cumprir a nova lei. É importante que os empresários efetuem o quanto antes as mudanças necessárias até que a legislação passe a valer. A lei no Brasil segue tendência global, a exemplo de legislação aprovada pela União Europeia já há mais de dois anos.
As organizações devem estabelecer regras de Compliance e buscar consultoria jurídica para entender os conceitos da lei. Ela define, por exemplo, o que são dados pessoais, dados pessoais sensíveis, dados anonimizados e pseudonimizados. Para cada categoria existe uma regra e é preciso adaptar-se à nova realidade jurídica que a LGPD propõe.
Por fim, o maior controle dos dados na empresa pressupõe limitar o acesso à informação como uma forma de aumentar a segurança. A palavra-chave aqui é a proteção de dados e a lei já existe. Vale a pena para as empresas atrasar a sua adequação à nova realidade e serem penalizadas no futuro?
(*) Advogada especialista em Compliance e Proteção de Dados e sócia do escritório Meirelles Milaré Advogados