A Lei Geral de Proteção de Dados – LGPD

A Lei 13.709/2018, chamada de Lei Geral de Proteção de Dados Pessoais (LGPD), tem sido amplamente divulgada, despertando a curiosidade de muitos e levantando uma série de questões técnicas e jurídicas, no que diz respeito ao tratamento de dados pessoais.

Para entender a importância do assunto, é necessária a compreensão de que a nova lei pretende criar um cenário de segurança jurídica, com a padronização de normas e práticas, promovendo a proteção dos dados de todo cidadão que esteja no Brasil.

Ao proporcionar maior segurança jurídica, atrairá relevantes investimentos do exterior, pois elevará muito o nível de proteção legal de dados os quais poderemos dispor, garantir e exigir.

Dentre os objetivos da LGPD está a proteção de direitos fundamentais de liberdade e privacidade, bem como a definição de regras e limites para empresas a respeito da coleta, armazenamento, tratamento e compartilhamento de dados.

Quanto ao tratamento de dados, a LGPD é norteada pelos princípios da finalidade (propósitos legítimos), adequação (compatibilidade), necessidade (mínima coleta) e transparência, sendo que o primeiro é um dos mais relevantes, pois assegura que os dados pessoais sejam utilizados apenas para as finalidades específicas para as quais foram coletados e devidamente informadas aos seus titulares

O conceito de dado pessoal, segundo a própria LGPD, é a informação relacionada à pessoa natural identificada ou identificável, ou seja, é um conceito amplo e aberto, pois qualquer dado, isoladamente (dado pessoal direto) ou agregado a outro (dado pessoal indireto), que possa permitir a identificação de uma pessoa natural, pode ser considerado como dado pessoal.

Assim como o conceito amplo a respeito dos dados pessoais, a LGPD apresenta um conceito aberto e um rol exemplificativo das ações que são consideradas como tratamento de dados pessoais: toda operação realizada com dados pessoais, que se refira à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

De forma simples e objetiva, trazendo o tema para o setor empresarial, a LGPD visa avaliar os futuros riscos quanto à forma de atuação e então implementar as mudanças e adequações necessárias, as quais deverão ocorrer antes mesmo da LGPD entrar em vigor.

A LGPD é abrangente e se aplica a qualquer pessoa, física ou jurídica, que realize o tratamento de dados pessoais, online e/ou off-line, envolvendo grande parte dos projetos e atividades do cotidiano empresarial e, portanto, todas as empresas estão submetidas à LGPD.

Com efeito, todas as empresas, de todos os portes, tratam dados pessoais em seus departamentos de recursos humanos, suprimentos, logística, dentre outros.

Assim sendo, os titulares de dados pessoais passarão a ter direitos à confirmação da existência de tratamento, ao acesso aos dados, à correção de dados incompletos, incorretos ou desatualizados, à anonimização, à portabilidade, à eliminação, à informação a respeito do compartilhamento dos dados, à possibilidade de receber informação sobre não fornecer o consentimento e suas consequências, e ainda, à revogação do consentimento.

E para fiscalizar o cumprimento da LGPD, bem como aplicar sanções em casos de violação, foi criada a Autoridade Nacional de Proteção de Dados (ANPD) que, dependendo da situação, poderá aplicar desde uma simples advertência até uma multa de R$ 50.000.000,00 (cinquenta milhões de reais) por infração.

Por esse motivo, as empresas deverão adotar, desde logo, medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, implementando, assim, boas práticas de governança, segurança e prevenção.

Portanto, visando a adequação à LGPD e de maneira a evitar eventuais violações aos seus dispositivos legais, o que poderá implicar em sanções gravíssimas e de elevado valor econômico, recomenda-se a adoção de algumas medidas básicas, como:

a) Buscar o envolvimento dos diretores e executivos desde o início do plano de adequação para que a proteção de dados pessoais esteja incorporada aos valores da empresa e assim o tema ganhe o engajamento e a força necessária;

b) Definir as ações e um líder para o plano, identificando os principais projetos e áreas da empresa afetadas pela LGPD;

c) Criar um programa de governança em proteção de dados com a elaboração de medidas e controles para o acompanhamento da implantação de padrões que estejam em conformidade com a LGPD;

d) Estruturar a área com a indicação de um encarregado (DPO – Data Protection Officer) pela proteção de dados;

e) Elaborar e rever documentos jurídicos com a realização de eventuais aditivos aos contratos existentes para adequação aos padrões de proteção de dados, principalmente para aqueles que envolvam o tratamento e compartilhamento de dados pessoais;

f) Garantir o exercício dos direitos dos titulares, mediamente a confirmação da implementação de medidas técnicas e organizacionais;

g) Realizar treinamentos internos para apresentação das novas políticas de proteção de dados pessoais.

Não se tem dúvidas de que as empresas passarão por um processo de adaptação, e, neste sentido, sugere-se a imediata elaboração de um plano específico de adequação à norma e às novas regras, sendo imperioso destacar a necessidade de que as empresas revisem e atualizem a maioria de seus contratos e documentos jurídicos.

Dessa forma, a empresa, na qualidade de empregadora, deverá atualizar os contratos com todos os seus colaboradores, ressaltando que o mesmo procedimento deverá ser feito em relação aos fornecedores de produtos e serviços, aos quais deverá dar ciência inequívoca quanto ao tratamento dos seus dados. Nós, da EDS – Eduardo Souza Advogados Associados, estamos desde já à disposição para auxiliar, porquanto é evidente a importância do planejamento e adequação à LGPD, com a maior brevidade possível, sob pena de assunção de altíssimos riscos, como os acima mencionados, em especial as severas sanções pecuniárias previstas na Lei.

William Lourival João, Gerente de Marketing e Relacionamento institucional