A Lei Geral de Proteção de Dados completou um ano em agosto de 2019, mas suas novas regras só entrarão em vigor a partir de agosto de 2020. Sua implementação será complexa pois exigirá que as empresas façam uma análise aprofundada nos fluxos de trabalho que elas possuem.
A Lei nº 13.853/19 “dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da per15sonalidade da pessoa natural”. Por dados pessoais (de pessoas físicas), entendem-se informações desde o nome completo, o número de telefone e de documentos como RG, CPF, rastreio de IP, histórico de compras, características físicas, biometria e outros.
A lei promete acabar com abusos, como exposição pública de endereços de email ou a compra de mailings (prática realizada por algumas empresas do mercado). Isso porque ela se aplica a qualquer tipo de tratamento de dados pessoais: armazenamento, compartilhamento, apagar ou transferir dados. Assim, todas as empresas e até mesmo os profissionais autônomos que utilizem ou tenham acesso a dados pessoais precisam observar essa nova lei – e serão impactados por ela.
Brasil e Europa
Na Europa, a lei entrou em vigor em maio de 2018. Desde então, as empresas daquele continente precisam atender às obrigações impostas pela lei – o que significa que seus parceiros comerciais também precisarão obedecer a essas regras. Por isso, qualquer empresa brasileira que faça negociações com a Europa, com compartilhamento de dados de pessoa física, também precisa se submeter às regras europeias. Neste contexto, a lei brasileira é bem vinda, para que todas as empresas possam estar em consonância com as exigências europeias. Apenas 12 países do mundo atendem ás expectativas da União Eurpeia em relação á proteção de dados. Nesse sentido, a LGPD dá ao Brasil um status diferenciado nas relações comerciais com a Europa, pois a nova lei facilita o relacionamento comercial.
No Brasil, a lei prevê a criação de um órgão fiscalizador, por isso, as empresas que não se adequarem á lei poderão ser fiscalizadas e receberem penalidades, incluindo multas por não conformidade que podem chegar a 2% do faturamento, limitadas a R$ 50 milhões. A boa notícia é que a discussão sobre privacidade de dados já ganhou força, o que é de extrema importância para o estabelecimento de uma nova cultura empresarial – que respeite mais os dados privados coletados. Em outras palavras, a lei já está mudando o contexto empresarial, mesmo antes de ser implementada.
A lei brasileira compila e adapta regras e recomendações que já existiam em outras leis anteriores (como o Código de Defesa do Consumidor, por exemplo), além de implantar inovações, como o tratamento de dados pessoais sensíveis.
Impacto nas empresas
A lei é principiológica, oferecendo diretrizes para o uso de dados pessoais, com determinadas finalidades:
– mediante o fornecimento de consentimento pelo titular;
– para o cumprimento de obrigação legal ou regulatória pelo controlador;
– pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas;
– para a realização de estudos por órgão de pesquisa;
– quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
– para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
– para a proteção da vida ou da incolumidade física do titular ou de terceiro;
– para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
– quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
– para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Assim, são as próprias empresas que devem buscar soluções para mapear quais dados têm em seu poder e também se essa posse é justificável, de acordo com a nova lei. Além disso, cabe a cada uma encontrar soluções para o adequado tratamento a esses dados (leitura, compartilhamento, captação e descarte, entre outros).
As empresas precisarão saber que dados elas detêm; em que momento os dados entram; por onde eles caminham (ao longo dos fluxos de trabalho); quem são as pessoas que têm contato com os dados e como eles são protegidos; e qual o enquadramento, na lei, que permite a posse desses dados.
Tudo deve ser registrado, independe do porte da empresa, o que abre uma importante discussão sobre compliance mesmo em se tratando de empresas de pequeno e médio porte.
Por isso, ainda que as novas regras ainda não estejam em vigor, o ideal é que as empresas busquem, o quanto antes, assessoria jurídica especializada para que possam, a partir dessas orientações, adequarem-se à Lei assim que ela começar a ser aplicada.