Depois do escândalo envolvendo o Facebook e a Cambridge Analytica, muitos países aceleraram a aprovação de leis que tratam da proteção de dados pessoais, inclusive o Brasil. Em agosto de 2018 foi aprovada a Lei Geral de Proteção de Dados Pessoais que dispõe sobre uma série de regras para o uso e compartilhamento de dados pessoais em todo território nacional. Embora a lei só entre em vigor em agosto de 2020, empresas, governo e a sociedade devem ficar por dentro do que diz a nova lei, além de claro, se adaptar.
Além de alterar o Marco Civil da Internet, a Lei Geral de Proteção de Dados Pessoais estabelece responsabilidades para quem coleta e utiliza dados pessoais. Sua finalidade é proteger o direito à privacidade, além de penalizar quem utiliza dados pessoais em desacordo com a lei. Para saber mais o que diz a Lei Geral da Proteção de Dados e como implementar as novas regras na sua empresa, não deixe de conferir!
Segundo a Lei Geral de Proteção de Dados qualquer informação que identifique ou torne identificável uma pessoa é suscetível de proteção. Assim, CPF, RG, nome e sobrenome, por exemplo, são alguns dos dados que não podem ser utilizados indiscriminadamente por empresas, órgãos públicos ou mesmo pessoas que tem acesso.
Além disso, dados relativos à religião, raça, sexualidade e até opinião política também ganham proteção segundo a nova lei. Esses dados são considerados como “sensíveis” e não podem ser usados sem autorização expressa do titular. Como o próprio caso envolvendo o Facebook e a Cambridge Analytica comprovam, esses dados são hoje considerados vulneráveis devido à exposição nas redes sociais e, portanto, não podem ser usados de forma danosa.
A lei também confere proteção aos chamados “dados anonimizados”. Esses dados que não identificam diretamente a pessoa, também podem ser protegidos dependendo do contexto. Para a lei, o uso de dados pessoais só é permitido se existe o consentimento expresso da pessoa, isto é, do titular dos dados. Caso contrário, a proteção será cabível.
Qualquer pessoa física ou jurídica que realiza a coleta, armazenamento, processamento e transferência de dados está sujeita à aplicação da lei. Mesmo empresas que coletam dados no Brasil e repassam essas informações ao exterior devem se adequar às regras.
Portanto, para quem é empresa e coleta dados na internet via formulários, por exemplo, devem ficar atentas especialmente no que se refere ao consentimento do titular.
A Lei Geral da Proteção de Dados só não se aplica para quem faz o tratamento de dados com fins não econômicos. Assim, dados coletados para pesquisas, fins jornalísticos ou acadêmicos, por exemplo, não são suscetíveis a aplicação da lei. Da mesma forma, dados coletados com a finalidade de promover a segurança pública, a defesa nacional e a segurança do Estado também não estão sujeitos às restrições impostas pela lei, incluindo aqueles que servem para a investigação e repressão de infrações penais.
Por fim, a lei também não se aplica aos chamados “dados em trânsito”, que são aqueles que não tem como destino empresas ou pessoas que processam esses dados no Brasil.
Os principais objetivos da Lei Geral da Proteção de Dados é garantir o direito à privacidade, além de preservar a transparência no que se refere à coleta e processamento de dados pessoais. Por este motivo, dados pessoais só poderão ser utilizados por terceiros sempre que existir o consentimento do titular.
Com a nova lei, nenhuma empresa ou indivíduo podem usar dados pessoais sem que haja a autorização do titular de forma livre e inequívoca. Assim, se a sua empresa coleta dados de consumidores, por exemplo, é essencial deixar clara qual é a finalidade e como esses dados serão utilizados pelo seu negócio.
A Lei Geral da Proteção de Dados também trata sobre o chamado interesse legítimo. Em outras palavras, mesmo que o uso de dados seja feito com o consentimento do titular, aquele que processa ou utiliza dados não pode ferir direitos previstos em outras leis e na própria Constituição Federal. Mais do que a privacidade, a lei assegura a proteção de outros direitos como o da liberdade, ampla defesa entre outros.
Uma das novidades trazidas pela nova lei são os chamados agentes de tratamento de dados pessoais, que são definidos como controlador, encarregado e operador.
Para a lei, controlador e operador são pessoas ou empresas que mantém o registro das operações de tratamento de /dados que realizam. O controlador é aquele quem toma decisões relativas ao tratamento de dados. Já o operador é quem realiza todo o tratamento de dados em nome do controlador.
A lei também fala no encarregado que é a pessoa responsável por fazer a comunicação entre o controlador e os titulares dos dados. Essa pessoa pode receber reclamações e comunicados, e deve prestar esclarecimentos e tomar as devidas providências com relação aos pedidos recebidos. Todas as empresas e pessoas que coletam dados hoje devem ter informações de contato disponibilizadas de forma pública no site da empresa.
Todos os agentes de tratamento devem se adequar a lei e devem adotar medidas visando a proteção dos dados. Eles também devem manter o registro das operações e comunicar as autoridades sempre que existir qualquer incidência capaz de gerar danos ou riscos.
Os órgãos fiscalizadores podem solicitar de qualquer pessoa ou empresa a elaboração de um relatório de impacto à proteção de dados pessoais.
A princípio, os conceitos relativos aos agentes de tratamento de dados pessoais podem parecer um pouco confuso. No entanto, o que precisa ficar claro é que hoje qualquer empresa ou pessoa que colete dados pessoais tem responsabilidade sobre eles e é preciso que o uso desses dados seja feito somente com o consentimento expresso do titular.
Todas as empresas que realizam o tratamento e coleta de dados pessoais devem obrigatoriamente contar com a figura do encarregado, que é um funcionário responsável por adotar providências, esclarecer e fazer toda a comunicação entre a empresa e os titulares. Além disso, o encarregado também é uma figura importante caso existam vazamentos de dados. Esse funcionário é o principal responsável pela comunicação dos órgãos competentes sempre que existir o vazamento de dados e informações pessoais.
Com a lei, empresas e pessoas que passarem por qualquer situação envolvendo o vazamento de dados devem assumir o ocorrido, em vez de omiti-lo, a fim de evitar as sanções previstas na lei.
Inicialmente, a Lei Geral de Proteção de Dados criou a ANPD (Autoridade Nacional de Proteção de Dados). Segundo a lei, a ANPD é um órgão da administração pública indireta responsável pela implementação e fiscalização da lei. A criação do órgão, no entanto, foi questionada pelo Executivo.
Através de uma Medida Provisória (MP n.º 869/18) que foi convertida em Lei (Lei n.º 13.874/19), ficou definido que a ANPD não terá uma estrutura independente e ficará subordinada à Presidência da República. Seu compromisso institucional, no entanto, deve ser revisto após dois anos da implementação da lei.
A ANPD também será responsável pela aplicação de sanções. Segundo a lei, empresas que descumprirem a lei podem ser multadas em até 2% do seu faturamento, com o limite de R$ 50 milhões. Além disso, a empresa fica responsável pelo bloqueio e eliminação dos dados relacionados à infração.
Sobre a atuação da ANPD ainda existem pontos controversos que devem passar pela aprovação do Congresso Nacional. Entre eles está a possibilidade de suspender ou bloquear o banco de dados de entidades que descumprirem a lei.
A Lei entra em vigor em fevereiro de 2020 e vem gerando dúvidas em muitas empresas. Porém, é preciso buscar a adequação. Além de criar o cargo do encarregado, as empresas devem cuidar de mapear dados, revisar políticas de segurança e até rever contratos. Adotar medidas visando a segurança da informação também é um aspecto importante.
Por fim, é importante ter consciência de quaisquer empresas que coletam dados estão sujeitas a nova legislação. Assim, independentemente do porte ou da atividade, se a empresa coletar dados de terceiros com fins econômicos é essencial buscar a adequação.Você já conhecia a nova Lei Geral da Proteção de Dados? Descubra como as soluções da Documentall podem ajudar na higienização e tratamento dos dados adequados à nova legislação.
2 Comments
[…] Você já conhecia a importância da segurança da informação nas empresas? Confira também as medidas que seu negócio deve adotar com a Lei Geral de Proteção de dados. […]
[…] já conhecia como funciona a assinatura eletrônica de documentos? Saiba mais como a Lei Geral de Proteção de Dados afeta sua […]