Foi sancionada em agosto de 2018 a Lei nº 13.709/18, conhecida como Lei Geral de Proteção de Dados (LGPD). Com a pandemia do novo coronavírus, a vigência da LGPD foi adiada por meio de uma Medida Provisória e, após nova rodada de votação no congresso, as regras passam a valer a partir de 18 de setembro de 2020. Embora as punições previstas pela norma tenham um prazo ainda mais longo para entrar em vigor, muitas dúvidas surgem: como as empresas podem garantir a proteção de dados dos usuários e evitar serem penalizadas com multas? Como tratar a informação digital armazenada? Qual o direito do usuário e a interface da nova lei com outras legislações aplicáveis ao seu negócio?
É importante que todos conheçam o que as novas regras determinam e saibam como as empresas devem lidar com os dados pessoais que ficam sob o seu controle. Entre os principais pontos, estão os efeitos da legislação, o que ainda é dúvida e como os empresários brasileiros devem se comportar no atual momento de adaptação à lei.
A LGPD determinou que, a partir de 18 de setembro de 2020, as empresas precisarão de uma autorização para coletar, armazenar ou tratar qualquer informação digital de uma pessoa física, com o objetivo de garantir a proteção de dados. A autorização será dada pelo titular da informação: a própria pessoa física. Exemplos de dados pessoais são os nomes, endereços, telefones, e-mails, características físicas, localização, hábitos, preferências, entre outros. A autorização deve ser requerida de forma clara, direta e informando qual será a utilização da determinada informação digital. No caso de novo uso dos dados, será necessária uma nova autorização, que pode ser anulada a qualquer momento pelo titular dos dados.
A nova lei concedeu ainda uma permissão às empresas públicas para que possam tratar os dados pessoais coletados pelo Poder Público no caso de uso exclusivo voltado à segurança pública, à defesa nacional, segurança do Estado ou para atividades de investigação e repressão de infrações penais. Os dados pessoais controlados pelo Poder Público poderão ser transferidos às entidades privadas somente no caso de haver previsão legal, contratos, convênios ou instrumentos semelhantes.
Quanto a quem será responsável pela fiscalização do cumprimento da lei, a LGPD determina que a responsabilidade será da chamada Autoridade Nacional de Proteção de Dados (ANPD), cuja estrutura regimental e o quadro de cargos foi criada por decreto presidencial publicado no Diário Oficial da União (DPO) de 27 de agosto. A ANPD será um órgão ligado à administração pública federal e integrante da Presidência da República. A sua função será fiscalizar e aplicar sanções em caráter administrativo. Em dezembro de 2019, o Congresso Nacional promulgou alguns vetos feitos pelo Presidente da República em relação às sanções administrativas que podem ser aplicadas às empresas. A previsão é de que as punições comecem a ser aplicadas somente em 2021.
Os três novos tipos de punição que haviam sido vetados pelo presidente da República e foram restabelecidos pelo Congresso Nacional são a suspensão parcial do funcionamento do banco de dados por até seis meses; a suspensão do exercício da atividade de tratamento dos dados pessoais pelo mesmo período; e a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. Estas três penalidades se somam a outras seis previstas na LGPD: advertência; multa simples; multa diária; publicização da infração após devidamente apurada e confirmada a sua ocorrência; bloqueio dos dados pessoais a que se refere a infração até a sua regularização; e a eliminação dos dados pessoais a que se refere a infração.
Quanto ao impacto do novo tratamento de informação para as empresas, o efeito imediato, após a LGPD passar a vigorar, é que elas poderão ser submetidas a pedidos de indenização ou obrigação de fazer no Judiciário por não cumprirem a legislação, ainda que a aplicação das multas pela ANPD tenha sido adiada.
No caso das penalidades administrativas previstas em lei,2 cada caso de descumprimento, caberá a aplicação de advertência ou multa com valor correspondente a 2% do faturamento bruto da empresa e com um teto de R$ 50 milhões para o valor da penalidade. Além do fator financeiro, as empresas devem garantir o total controle dos dados capturados para que não haja descumprimento da legislação, assim como atender às solicitações dos titulares dos dados e apresentar determinada informação digital caso tenha sido pedido pelo titular dos dados. As empresas devem garantir esse direito.
Atualmente, tem sido alvo de debate a utilização de dados pessoais por parte das empresas em ações de marketing. Um exemplo do que é feito com a informação pessoal de determinada pessoa física pode ser observado nos casos de vazamentos de listas de e-mails e de outros contatos os quais as empresas possuam acesso. O recebimento comum de propagandas e ofertas por pessoas físicas que não forneceram seus dados aos responsáveis pelas ações é um resultado comum desses vazamentos. A lei foi criada justamente para garantir a proteção dos dados e, por conta disso, empresas não têm mais permissão para coletar dados de usuários, utilizá-los em ações de marketing e publicidade ou vendê-los a terceiros.
Quanto ao que ainda é motivo de dúvida, vale lembrar que embora a LGPD tenha sido aprovada e passe a valer a partir de 18 de setembro de 2020, ainda é uma incógnita como atuará a já mencionada Autoridade Nacional de Proteção de Dados (ANPD). A estrutura administrativa do órgão ficará a cargo da Presidência da República ao longo dos próximos dois anos e será necessário avaliar se tal estrutura será suficiente para fiscalizar e aplicar as novas normas determinadas para as empresas.
Contudo, tais dúvidas que ainda restam não justificam com que as empresas deixem de se planejar e se adequar as suas estruturas internas para cumprir a nova lei. É importante que os empresários efetuem o quanto antes as mudanças necessárias até que a legislação passe a valer. A lei no Brasil segue tendência global, a exemplo de legislação aprovada pela União Europeia já há mais de dois anos.
As organizações devem estabelecer regras de compliance e buscar consultoria jurídica para entender os conceitos da lei. Ela define, por exemplo, o que são dados pessoais, dados pessoais sensíveis, dados anonimizados e pseudonimizados. Para cada categoria existe uma regra e é preciso adaptar-se à nova realidade jurídica que a LGPD propõe.
Por fim, o maior controle dos dados na empresa pressupõe limitar o acesso à informação como uma forma de aumentar a segurança. A palavra-chave aqui é a proteção de dados e a lei já existe. Vale a pena para as empresas atrasar a sua adequação à nova realidade e serem penalizadas no futuro?
*Juliana D’Macedo é advogada especialista em Compliance e Proteção de Dados e sócia do escritório Meirelles Milaré Advogados