Promulgada em 14 de agosto de 2018, a lei entra em vigor ano que vem e obriga empresas de todos os portes e setores a garantirem direitos e deveres em relação ao tratamento de dados pessoais.
Desde sempre me preocupo com a prevenção de demandas jurídicas. Por isso bato muito na tecla da prevenção e da conformidade com a legislação. Agora, mais do que nunca teremos de ser proativos em relação aos dados pessoais de nossos clientes, parceiros e fornecedores. O que antes eram boas práticas agora será uma obrigação.
Tenho perguntado a diversos empresários e gerentes sobre o conhecimento a respeito da nova legislação e se estão tomando alguma resolução ativa em relação a adequação. O que tenho ouvido é que poucos sabem da sua existência. O que ocorre é um hábito do brasileiro, de negar a existência de determinadas legislações achando que o Estado tem uma fiscalização ineficiente. Mas, talvez não estejam dando a devida atenção para a Lei Geral de Proteção de Dados (LGPD).
A Lei de nº 13.709/2018 regula as atividades de tratamento de dados pessoais de clientes e usuários e entrará em vigor a partir de agosto de 2020. Agora as empresas têm praticamente 9 meses para se adequarem, já que o descumprimento pode render multa de até 2% do faturamento, com limite máximo de R$ 50 milhões, por infração.
Toda empresa que trata dados pessoais, seja em meio físico ou digital, deve se adequar. Por isso o alcance a todas as empresas e setores, pois são os dados pessoais, desde os seus colaboradores, fornecedores ou prestadores de serviços, até os que são tratados em processos de negócios. Portanto, mandatória a revisão de todos os processos, contratos, documentos e políticas das empresas para que se tenha uma noção da dimensão de alcance da lei.
Precisamos entender o que é o tratamento de dados. A LGPD, em seu artigo 5º, inciso X diz: Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
Enfim, tratamento é tudo que os controladores e operadores fazem com os dados, inclusive o mero armazenamento deles em sua base de dados.
Os Tipos de dados, segundo a lei:
Dados pessoais: qualquer informação relacionada à pessoa natural identificada ou identificável. (por exemplo: nome, endereço, CPF, geolocalização através dos dispositivos móveis, endereço IP, cookies, etc).
Dados sensíveis: de origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, além de dados referentes à saúde ou à vida sexual, genéticos ou biométricos.
Dados anonimizados: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
Outros artigos importantes da LGPD:
Os 10 princípios que devem ser observados:
Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
As 10 bases legais que justificam o tratamento dos dados pessoais.
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I – mediante o fornecimento de consentimento pelo titular;
II – para o cumprimento de obrigação legal ou regulatória pelo controlador;
III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Art. 18º O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:
II – acesso aos dados;
III – correção de dados incompletos, inexatos ou desatualizados;
V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
VI – eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
VII – informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; IX – revogação do consentimento.
Portanto, em primeiro lugar devemos conhecer a lei. Com base neste conhecimento buscar assessoria para uma correta adequação, já que ela envolve diversas etapas e é complexa. Além disso, a adequação leva em média 180 dias e dependerá do porte da empresa.
Porém o mais importante inicialmente é a alta direção estar consciente e determinada a se adequar as exigências da lei e em um segundo passo informar seus colaboradores para que haja o devido engajamento aos processos de adequação.
Enfim, é um caminho sem volta que envolve uma mudança de cultura em privacidade e proteção de dados. Num mundo globalizado, digital e hiperconectado é fundamental estar adequado e preparado para esta nova era. É uma questão de sobrevivência no mercado.
