Quase 10 anos de política, negociações, incertezas e alterações, mas a Lei Geral de Proteção de Dados (LGPD) começou a vigorar nesta sexta-feira (18). Inspirada na GDPR, ela regulamenta o tratamento de dados pessoais por parte de empresas públicas e privadas. Com isso, qualquer empresa que incluir em sua base informações de seus clientes deve seguir os procedimentos da nova lei.

 

Punições ainda não estão valendo

Além da adequação pelas empresas, a novela da LGPD ainda precisa de definições por parte do executivo federal. Isso porque punições em caso de desrespeito à lei não estão valendo ainda, já que o órgão responsável por fiscalizar as regras não foi estabelecido.

As punições somente passarão a valer a partir de agosto de 2021, data em que espera-se que a Autoridade Nacional de Proteção de Dados (ANPD) esteja estruturada —o órgão será responsável por regular a lei, elaborar instruções para o cumprimento de suas normas e fiscalizar o cumprimento.

Houve a publicação de um decreto estabelecendo a estrutura e os cargos do órgão, contudo, ainda é necessário definir onde ele residirá, expediente e regime dos servidores. O orçamento também é uma questão sem definição.

 

Pontos Importantes

1. Definições e aplicação

Segundo a Lei, dados pessoais são informações que podem identificar alguém. Dentro do conceito, foi criada a categoria “dado sensível”, com informações sobre origem racial ou étnica, convicções religiosas, opiniões políticas, saúde ou vida sexual. Registros como esses passam a ter nível maior de proteção, para evitar formas de discriminação.

Todas as atividades realizadas ou pessoas que estão no Brasil estão sujeitas à Lei. A norma vale para coletas operadas em outro país, desde que estejam relacionadas a bens ou serviços ofertados a brasileiros, ou que tenham sido realizada no país.

 

2. Tratamento

O tratamento de dados é caracterizado na LGPD como “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.

Esse só pode ocorrer em determinadas hipóteses. A principal é por meio da obtenção do consentimento do titular, mas não é a única. A ação é autorizada na lei para cumprimento de obrigação legal, estudos por órgão de pesquisa, proteção da vida do titular ou de terceiro, tutela da saúde por profissionais ou autoridades da área. A administração pública pode coletar e tratar dados para a consecução de políticas públicas previstas em leis e regulamentos ou respaldadas em convênios.

Os dados sensíveis têm regras específicas de tratamento. A Autoridade Nacional pode regulamentar ou vetar o emprego destes para vantagem econômica. No caso da saúde, tal finalidade é proibida, mas com diversas exceções, como prestação de serviços, assistência farmacêutica e assistência à saúde.

 

3. Direitos

A LGPD lista os direitos dos titulares. É possível, por exemplo, revogar a qualquer momento o consentimento fornecido. Quando há uso dos dados para uma nova finalidade (na situação de “legítimo interesse”), o controlador deve informar o titular sobre esse novo tratamento, podendo o titular revogar o consentimento. Também é previsto a este acesso facilitado a informações sobre o tratamento, como finalidade, duração, identificação do controlador (incluindo informações de contato) e responsabilidade de cada agente na cadeia de tratamento.

 

4. Papéis

Ao coletar dados, as empresas devem informar a finalidade. A lei previu uma série de obrigações para elas, que têm de manter registro sobre as atividades de tratamento, de modo que possam ser conhecidas mediante requerimento pelos titulares ou analisadas em caso de indício de irregularidade pela Autoridade Nacional. Quando receberem um requerimento do titular, a resposta às demandas tem de ser dada em até 15 dias.

Cabe aos controladores indicar um encarregado pelo tratamento. As informações sobre este deverão ser disponibilizadas de forma clara, como nos sites das companhias. Caso a Autoridade determine, a controladora deve elaborar relatório de impacto à proteção de dados pessoais das suas atividades de tratamento.

 

5. Sanções e fiscalização

A LGPD lista um conjunto de sanções para o caso de violação das regras previstas: advertência, com possibilidade de medidas corretivas; multa de até 2% do faturamento com limite de até R$ 50 milhões; bloqueio ou eliminação dos dados pessoais relacionados à irregularidade, suspensão parcial do funcionamento do banco de dados e proibição parcial ou total da atividade de tratamento.

 

Conclusão

A LGPD não é uma questão que será resolvida unilateralmente por algum prestador de serviço, ou por um único setor da empresa. As implicações da Lei exigem que diferentes áreas como TI, Recursos Humanos, Marketing, Vendas, Operação, Jurídico, entre outras, negociem entre si a necessidade de processamento de dados, as soluções utilizadas e como isso será feito.

Como empresa especializada em Cybersecurity, a Real Protect está apta a lhe auxiliar nas questões relativas à proteção de sua rede, ativos e informações confidenciais. Essa segurança, inclusive com a documentação de como a proteção está sendo feita, é um dos pontos exigidos pela Lei. Mas reforçando, a LGPD vai além disso, fique atento com promessas de solução única para LGPD, e caso ainda não tenha iniciado um comitê misto de debate e tomada de decisão sobre essa questão em sua empresa, o momento é esse.