A LEI GERAL DE PROTEÇÃO DE DADOS (LGPD) E OS IMPACTOS NAS EMPRESAS
A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) entrou em vigor em agosto desse ano, trazendo significativas mudanças no tratamento de dados pessoais, exigindo de pessoas físicas e jurídicas, diversas adequações.
No entanto, a Lei Geral de Proteção de Dados, mais conhecida por sua sigla “LGPD”, também tem sido cerne de muitas dúvidas, bem como alvo de críticas devido à sua extensão, complexidade de muitos pontos e sobretudo devido à necessidade de investimentos das empresas para adequarem-se.
A LGPD dispõe sobre o tratamento que deve ser dispendido aos dados pessoais, isto é, dados que identifiquem ou possam identificar uma pessoa física, por meio físico ou digital, tais como, nome, números de documentos pessoais, endereço, data de nascimento, até mesmo a imagem fotográfica da pessoa, dados biométricos, entre outros.
A proteção dos dados pessoais não é uma novidade em nosso ordenamento jurídico, sendo que já haviam outras leis que traziam certa proteção, mas a LGPD veio dar um tratamento mais direto, detalhado e rígido sobre o assunto, tendo como máxima proteger a liberdade e a privacidade dos dados.
O tratamento de dados é definido pela lei como toda operação que envolva os dados pessoais, como: coleta, produção, classificação, uso, acesso, reprodução, arquivamento, armazenamento, eliminação, modificação, transferência, etc., e uma das principais mudanças trazidas com a LGPD é a necessidade de se obter o consentimento do titular dos dados para poder tratá-los, exceto em algumas hipóteses previstas na lei por obrigação legal ou para cumprimento de contrato.
O consentimento trazido pela lei não é uma autorização simples e genérica, mas sim, um consentimento informado, pelo qual deve estar claro e expresso quais dados serão tratados, qual será o tratamento, qual a finalidade e por quanto tempo ocorrerá. Um consentimento do titular genérico, não terá validade.
Quanto à forma de fornecer desse consentimento, não há necessidade de ser escrita, mas se o for, e constar dentro de um contrato, por exemplo, essa cláusula deve necessariamente estar em destaque.
Ademais, é importante ressaltar que o titular dos dados poderá a qualquer momento revogar esse consentimento e toda vez que houver qualquer alteração quanto ao tratamento, esse consentimento precisa ser renovado. Supondo-se, como exemplo, que uma empresa detenha dados de uma pessoa física apenas para cadastro e pesquisa, finalidade para a qual o titular já deu expresso e válido consentimento, mas posteriormente a empresa tem a intenção de compartilhar esses dados com terceiros, necessitará antes obter um novo consentimento do titular, para o compartilhamento.
É imaginável, portanto, as dificuldades práticas que as empresas enfrentarão para obterem os aludidos consentimentos de todos os titulares, cujos dados são de algum modo tratados por si, mesmo que tenham sido captados antes da vigência da lei, mas se continuarem em seu banco de dados, necessitarão do consentimento.
A lei exige ainda que toda empresa nomeie três agentes que atuarão na questão do tratamento de dados: o controlador (pessoa que toma decisões sobre o tratamento de dados); o operador (pessoa que operacionaliza/ realiza o tratamento na prática) e o encarregado ou “D.P.O.” (aquele que promove a comunicação entre o controlador, os titulares e a Autoridade Nacional).
Outras exigências da lei são de que o titular possa ter acesso claro, facilitado, às informações sobre o tratamento de seus dados, possa saber a finalidade, forma e duração do tratamento, identificar quem é o controlador da empresa e seus dados de contato, bem como, prevê uma série de outros direitos aos titulares, dentre eles, de obter do controlador a qualquer momento: correção, anonimização, bloqueio ou eliminação de dados, portabilidade dos dados, revogação do consentimento dado, entre outros, o que exige das empresas a criação de canais para atendimento e ferramentas para exercício desses direitos.
Ainda, a lei traz a necessidade das empresas prepararem relatórios de impacto à proteção de dados, registrando atividades de tratamento despendido aos dados, trazendo maior segurança ao tratamento.
A fiscalização dessas exigências da LGPD será realizada pela Autoridade Nacional de Proteção de Dados, que está sendo criada, e as sanções em caso de descumprimento serão desde advertência com prazo para corrigir o necessário, até multa de até 2% (dois por cento) do faturamento no último exercício da empresa, até o limite de R$ 50.000.000,00 (cinquenta milhões de reais) por infração; passando por outras, como multa diária, suspensão parcial do funcionamento do banco de dados por dado tempo, eliminação dos dados da infração, etc.
Por tudo que se vê, as exigências da LGPD não impõem somente dedicação e trabalho das empresas para adequação, mas importam direta e indiretamente em custos.
As sanções acima aludidas somente começarão a ser aplicadas em agosto de 2.021, no entanto, a Lei Geral de Proteção de Dados já entrou em vigor e já deve ser seguida, pois há outras sanções legais de outras normas que podem ser aplicadas.
Já há inclusive decisões no Brasil que se baseiam na violação da LGPD e aplicam indenizações aos que violaram dados pessoais, como ocorreu, por exemplo, com uma Construtora que compartilhou dados de um cliente com terceiro, sem consentimento para o compartilhamento.
Assim, é notório que a LGPD tem sido motivo de preocupação no meio empresário, ao passo que exige inúmeras adaptações e implementação de novas rotinas diárias nas empresas. No entanto, apesar de todas as dificuldades iniciais que essa norma pode representar, trata-se de mudança necessária, sendo que outros países já estavam bem mais avançados quanto à implementação de lei de proteção aos dados pessoais, de modo que seria inevitável ao Brasil também garantir a proteção de dados para suas relações comerciais e econômicas mundiais.
O que se espera nesse contexto, é que as autoridades e todos os entes envolvidos com a fiscalização da LGPD, atuem com bom senso e proporcionalidade na aplicação das medidas nela previstas, visando sempre o senso de Justiça.
Fontes:
https://olhardigital.com.br/2020/09/30/noticias/lgpd-construtora-e-condenada-por-compartilhar-dados-de-cliente/
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
https://www.serpro.gov.br/lgpd
https://www.conjur.com.br/2020-set-30/compartilhar-dados-consumidor-terceiros-gera-indenizacao
https://migalhas.uol.com.br/quentes/332763/lgpd–especialista-aponta-7-principais-mudancas-para-empresas-e-consumidores
CRIVELARI & PADOVEZE ADVOCACIA EMPRESARIAL
FERNANDA ROVERONI
OAB/SP 365.435
NÚCLEO JURÍDICO EMPRESARIAL E COMPLIANCE