LGPD! Agora é Lei…

A globalização e o rápido avanço tecnológico dos meios de comunicação apresentam novas oportunidades, como o comércio internacional no espaço cibernético e o compartilhamento em nível mundial de dados e informações para realização de pesquisa e desenvolvimento. Atualmente, a informação é um dos ativos mais valiosos para as organizações de todo o mundo, sejam elas públicas ou privadas.

Com as oportunidades, vêm também os desafios de prover um intercâmbio de dados e informações de maneira segura e confiável sem expor os dados dos cidadãos, organizações e países.

É importante minimizar alguns riscos, como o vazamento de informações sigilosas em processos, fórmulas patenteadas, segredos de negócio, a invasão da privacidade de cidadãos e a exposição de vulnerabilidades de fronteiras ou de infraestruturas críticas de um estado ou nação. 

A Lei Geral de Proteção de Dados (LGPD) surgiu para atender a uma necessidade global de intercambiar dados pessoais de maneira mais segura, mitigando riscos.

Segundo a lei, o dado é considerado pessoal quando permite a identificação, direta ou indireta, da pessoa a qual o dado se refere. Por exemplo: nome, sobrenome, data de nascimento, CPF, RG, CNH, carteira de trabalho, passaporte; título de eleitor, endereço residencial ou comercial, telefone, cookies e endereço IP.

Ao se identificar uma pessoa por meio de uma combinação desses tipos de dados, torna-se possível o acesso a algum dado sensível como origem étnica ou racial, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso.

Informações do meio filosófico ou político, bem como dados referentes à saúde ou à vida sexual e dados genéticos ou biométricos, também são considerados sensíveis.

A importância de se intercambiar dados pessoais e dados pessoais sensíveis, de maneira segura, reside na necessidade de impedir que tais dados sejam utilizados para fraudes diversas.

Que sejam divulgados sem autorização do titular ou usados com intuito de discriminação ou perseguição política e/ou religiosa.

lgpd
Infográfico do SERPRO sobre a LGPD

Foi publicado no Diário Oficial da União o decreto que aborda a estrutura regimental da Autoridade Nacional de Proteção de Dados (ANPD), órgão que será responsável por garantir o cumprimento da lei. Mas, visto que as penalidades da LGPD só poderão ser aplicadas a partir de agosto de 2021, o que tudo isso significa na prática?

Essa movimentação política desenfreada causou um frenesi entre os internautas e certo desespero entre as empresas que ainda não se adequaram à norma. Ninguém sabe ao certo como serão os próximos meses depois que a lei finalmente entrar em vigor, após tantos meses de espera

A Lei Geral de Proteção de Dados Pessoais do Brasil veio na esteira de regulamentações internacionais sobre privacidade. Outros 137 países já possuem leis, e as mais citadas são a California Consumer Privacy Act (CCPA), da Califórnia, e a General Data Protection Regulation (GDPR), que abrange toda a União Européia. .

Sabíamos que a LGPD teria alguns obstáculos na sua implementação.

Nós optamos por uma lei tão boa quanto a europeia, mesmo não tendo as experiências anteriores e conceitos de privacidade que já fazem parte da cultura do continente.

A partir da sanção do Presidente Bolsonaro da Lei resultante da MPV 959, a LGPD passou a valer, com efeitos imediatos para todos os artigos, exceto para possibilidade de aplicação das multas.

Todos os negócios e empresas, incluindo o governo e administração pública, deverão seguir os princípios, fundamentos e regras previstas na lei.

Dentre os pontos que geram efeitos imediatos estão os direitos dos titulares ao acesso, oposição/revogação de alguns tipos de tratamento, bem como as obrigações de transparência, eliminação de dados desnecessários e da aplicação do princípio do security and privacy by design.

As empresas também deverão colocar os usuários, consumidores e pessoas físicas como peças-chave tanto na relação como nos interesses que estabelecerão, sempre que houver coleta e tratamento de dados pessoais, ou dados pessoais sensíveis.

Em casos de incidentes ou vazamentos de informações, as empresas deverão passar a notificar os titulares sobre o ocorrido, além de implementarem procedimentos e técnicas de segurança que atenuem os riscos dos negócios.

Assim, mesmo ainda pendente de certas regulamentações que são o papel da ANPD, a partir de setembro, os titulares passarão a perceber que negócios de todos os tipos passarão a pedir novas autorizações para coisas atualmente triviais. 

Mas o principal direito que passa a valer é a impossibilidade de empresas usarem os dados de pessoas físicas para outras finalidades que não as previstas nas relações originais ou sem informação dos titulares.

Por exemplo, um site de aplicativo de celular gratuito não poderá mais vender informações dos seus usuários para empresas do mercado financeiro sem o conhecimento daqueles que o baixaram.

Um dos pontos críticos da LGPD é que, enquanto não houver a regulamentação de muitas questões ou a padronização pela ANPD de como fazer correto, cada empresa irá agir de uma forma.

Nada impede que todas as boas e más intenções gerem reclamações nas redes sociais ou demandas nos órgãos de proteção ao crédito e judiciário.

Conheça mais sobre o papel das empresas de proteção de crédito.

O tempo hábil e a Covid-19 

A COVID-19 não foi causa para a prorrogação da LGPD. Mesmo neste momento, a ANPD já estava prevista no orçamento de 2020 e poderia ter sido constituída e estruturada. 

Além disso, o Governo Federal poderia ter tomado medidas para deixar de compartilhar nossos dados, enquanto cidadãos, com empresas públicas ou privadas, sem seguir os princípios e fundamentos da lei ou mesmo sem o conhecimento das pessoas envolvidas.

Grande parte das empresas prefere ter uma lei de proteção de dados próxima ao do primeiro mundo para seguir um padrão, do que deixar o Brasil à margem de negócios com países que exigem o mesmo nível de adequação à proteção de dados para oferecimento de produtos e serviços.

Grupos de Trabalho e Planos de Ação

O Conselho Nacional de Justiça (CNJ) publicou a Recomendação n. 73/2020, com orientações para adequação dos órgãos do Poder Judiciário à Lei Geral de Proteção de Dados (LGPD – Lei n. 13.709/18). O objetivo é orientar os procedimentos a serem adotados pelos tribunais e conselhos de Justiça brasileiros para o cumprimento da LGPD. 

Uma das orientações é a criação de grupos de trabalho para estudo e identificação das medidas necessárias à implementação da LGPD. A partir desses estudos, o CNJ formulará a política nacional voltada para o atendimento às novas determinações.

Acesse aqui a íntegra da Recomendação n. 73/2020

A recomendação é resultado do julgamento do Ato Normativo n. 0004849-44.2020.2.00.0000, aprovado por unanimidade pelo Plenário do CNJ na 71ª Sessão Virtual, concluída em 14 de agosto. O ato foi construído a partir de estudos desenvolvidos pelo Grupo de Trabalho (GT) instituído pela Portaria n. 63/2019 e relatado pelo conselheiro Rubens Canuto.

A medida visa o estabelecimento de um padrão nacional de proteção de informações pessoais existentes nas bases de dados dos órgãos da Justiça. Todos os portais de órgãos do Judiciário deverão disponibilizar, em espaço visível ao usuário, a política de privacidade para navegação no website da instituição, considerando as determinações da LGPD e do art. 7º, VIII, da Lei nº 12.965/2014 (Marco Civil da Internet).

Os planos de ação deverão contemplar questões como organização e comunicação, direitos do titular, gestão de consentimento, retenção de dados e cópia de segurança, contratos e plano de respostas a incidentes de segurança com dados pessoais. 

Os usuários também deverão ser orientados sobre a nova lei, sobre os requisitos para o tratamento de dados, as obrigações dos controladores e também sobre os direitos dos titulares dos dados. 

Os registros relativos ao tratamento de dados pessoais dos usuários também devem ser públicos e informar sobre a finalidade do tratamento, base legal, descrição dos titulares, categorias de dados e de destinatários, transferência internacional, prazo de conservação, medidas de segurança adotadas e a política de segurança da informação.

No voto, o conselheiro Rubens Canuto observou que, conforme determina a LGPD, órgãos como o CNJ, responsáveis pela regulação de setores específicos da atividade econômica e governamental, devem atuar de modo coordenado junto à Autoridade Nacional de Proteção de Dados (ANPD).

Isso se deve para assegurar “o cumprimento de suas atribuições com a maior eficiência e promover o adequado funcionamento dos setores regulados conforme legislação específica, e o tratamento de dados pessoais”.

Por isso, destacou, cabe ao CNJ atuar junto aos tribunais para fomentar a implementação integral da LGPD.

Ele também enfatizou a importância de criação de comitês gestores e de grupos de trabalho, com magistrados e servidores, para melhor adequação dos tribunais à LGPD. Isso prevê a proteção da privacidade e dos dados pessoais de jurisdicionados e outros sujeitos identificados ou identificáveis nos atos processuais. 

“Também devemos realizar treinamentos e eventos acerca da temática e fomentar o incremento dos conhecimentos envolvendo a LGPD, de modo a impulsionar a sua adequada e efetiva implementação no âmbito dos tribunais”, afirmou.

A Lei no Poder Público

A Lei Geral de Proteção de Dados estabelece como fundamentos o respeito à privacidade, à autodeterminação informativa, à liberdade de expressão, de informação, de comunicação e de opinião, à inviolabilidade da intimidade, da honra e da imagem, ao direito ao livre desenvolvimento da personalidade, ao desenvolvimento econômico e tecnológico, à livre iniciativa, à livre concorrência e à defesa do consumidor (artigo 2).

Esses fundamentos estão refletidos nos princípios que regem o tratamento de dados pessoais:

  • princípio da finalidade;
  • da adequação;
  • da necessidade;
  • do livre acesso aos dados por parte dos titulares;
  • da qualidade dos dados;
  • da transparência e
  • a não discriminação (artigo 6).

A LGPD é aplicável ao tratamento de dados tanto por pessoas jurídicas de direito público como de direito privado. Assim, o regime geral da tutela dos dados pessoais incide sobre a regulação da Identidade Civil Nacional (ICN).

Deve-se destacar, no entanto, que a LGPD exclui de seu campo de incidência o tratamento de dados, por pessoa jurídica de direito público, “… realizado para fins exclusivos de segurança pública, de defesa nacional, de segurança do Estado ou de atividades de investigação e repressão de infrações penais”, cuja proteção deverá ser objeto de lei específica (artigo 4).

Prezando pela possível necessidade de execução de políticas e serviços públicos, e também pela descentralização da atividade pública e pelo livre acesso à informação por parte dos cidadãos, a LGPD orienta que os dados pessoais tratados nessas esferas devem ser mantidos de forma a permitir o uso compartilhado (artigo 25).

O artigo 26 determina que o compartilhamento de dados por parte do poder público só pode acontecer para fins de execução das políticas públicas. Ou seja, é preciso haver uma justificativa real e comprovável para o compartilhamento.

Além disso, excetuando-se a prevenção a fraudes ou o uso de dados publicamente disponíveis, o poder público não deve compartilhar dados com entidades privadas.

O artigo 28, que foi integralmente vetado, previa a necessidade de informar publicamente sobre compartilhamentos de dados entre entidades do poder público. A justificativa para o veto é que essa publicização prejudicaria atividades de fiscalização, controle e policiamento.

Portanto, as entidades ficam obrigadas a seguir as regras dos artigos 26 e 27, mas não precisam informar publicamente sobre esses compartilhamentos de dados.

Em suma, os dados armazenados na base do ICN (programa de Identificação Civil Nacional) estão protegidos pela LGPD. Em princípio, a dispensa do consentimento para coleta, armazenamento e uso desses dados está baseada no artigo 11, II da LGPD, que autoriza o tratamento de dados pelo poder público para execução de políticas públicas e prestação de serviços públicos. 

O artigo 23 da lei, por sua vez, estabelece os parâmetros para o tratamento de dados pessoais pelo poder público. Deve ser realizado para uma finalidade pública, norteada pelo interesse público, e com o objetivo de executar suas competências legais ou atribuições legais do serviço público.

Não há, portanto, uma autorização para o compartilhamento generalizado de dados pessoais, muito menos os sensíveis, como os biométricos. Ainda assim, é de notar que a vinculação ao interesse público e a finalidade de execução de políticas e serviços públicos dá margem a uma interpretação extensiva. Isso permite o compartilhamento dos dados em nome da eficiência da administração pública e da segurança pública.

Entrada em Vigor da Lei

Analisando a tramitação do Projeto de Lei de Conversão nº 34 de 2020 é possível verificar que o texto encaminhado pela Câmara dos Deputados para votação pelo Senado Federal constava que a entrada em vigor da LGPD ocorreria somente em 31/12/2020.

O Senado Federal realizou a votação em 26/08/2020, entretanto, na comunicação encaminhada ao Presidente da República, para consequente sanção presidencial, constava a informação de que “o art. 4º da referida proposição foi declarado prejudicado” e, portanto, o prazo lá previsto não mais se concretizaria.

Assim, diante deste complexo cenário, a LGPD entrou  em vigor em 18/09/2020,  primeiro dia após a sanção presidencial; 

Quanto às sanções administrativas, como mencionado acima, os referidos artigos somente entrarão em vigor em 01/08/2021.

Infelizmente, este cenário traz grande insegurança jurídica, especialmente aos empresários que precisam se adequar à nova regulamentação. Contudo, é importante que as empresas busquem estar com todos os procedimentos de tratamento dos dados em total aderência à norma.

Um armazenamento e guarda corretos dos dados, adequação séria dos procedimentos de uma empresa, que estão sob sua tutela leva, ao menos, seis meses, além do necessário investimento em tecnologia da informação. 

E mais, as empresas devem atentar a necessária alteração de formulários, procedimentos, contratos. Não apenas no âmbito do consumidor, mas também do correto tratamento de dados de todos os seus colaboradores, tais como empregados, terceirizados e demais prestadores de serviços.

Importante salientar que, apesar do fato de as sanções administrativas estarem com sua vigência suspensa até 01/08/2021, eventuais reparações de danos morais e materiais, pelo não atendimento das normas previstas na LGPD, poderão ser imputadas aos infratores assim que a lei entrar em vigor.

É de fundamental importância que todos atentem a necessária adequação, tendo em mente que as empresas que tiveram a preocupação com o correto tratamento dos dados, estarão aptas a realizar parcerias com as grandes empresas que já estão adaptadas a mais esta realidade.

Deixar uma Resposta

Navegar