Você já pensou que boa parte de nossas ações no dia a dia envolve o fornecimento de nossos dados pessoais? Um dos exemplos mais corriqueiros diz respeito aos mecanismos de cadastro que empresas como farmácias, supermercados e bancos lançam mão para atrair e fidelizar o cliente. Essa prática costuma ser bem-sucedida quando vinculada a descontos especiais ou sorteios de prêmios. O fato é que, mesmo sem garantia de segurança, muitas empresas coletam diversos dados pessoais, como nome, CPF, e-mail, endereço, profissão, entre tantos outros que fornecemos. É pensando nisso que trataremos da Lei Geral de Proteção de Dados Pessoais (LGPD).

Já não é novidade que não possuímos controle de nossos dados, nem a segurança de que serão utilizados apenas para a finalidade apresentada e não para fins diversos. A constante coleta nos alarma sobre a insegurança de nossos dados na vida pública ou privada. Trata-se de consequência à informatização globalizada contemporânea e de um ponto crítico na relação da proteção estatal para com o indivíduo.

Parte deste cenário, cujos efeitos são invisíveis aos olhos, contribuiu para que a tramitação do projeto da Lei Geral de Proteção de Dados Pessoais avançasse no congresso nacional e fosse sancionado, dando origem à publicação da lei nº 13.709 [1] , em 14 de agosto de 2018.

   A GDPR – General Data Protection Regulation , [2] regulamento europeu, é o maior exemplo de fonte jurídica internacional e também maior influência da legislação brasileira, no que diz respeito ao tratamento de dados pessoais e está em vigor desde maio de 2018, trazendo, entre outros aspectos, proteção específica aos dados pessoais e a circulação destes, condensando regramentos e princípios que nortearão todas as instituições.

Assim como a legislação europeia, a lei brasileira define dado pessoal como sendo toda informação relacionada a pessoa natural identificada ou identificável. Ademais, em seu artigo 5º, inciso II, a LGPD estendeu proteção para os chamados dados pessoais sensíveis, considerados informações sobre opinião política, origem racial ou étnica, convicção religiosa, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, bem como dados referentes à saúde ou à vida sexual, e dados genéticos e biométricos.

Ainda que possamos considerar recente a entrada em vigor da GDPR, já existem condenações por transgressões a essa norma. Nesse sentido, noticiou-se em grande destaque que, na França, houve aplicação de multa milionária ao Google. A penalidade foi fundamentada na inadequação às exigências previstas no Regulamento Geral Europeu de Proteção de Dados Pessoais ; a citar dois dos argumentos que guiaram a punição, têm-se a falta de transparência e consentimento fora dos padrões exigidos para o tratamento de dados das pessoas que vivem naquele país.

No Brasil, no início desse ano, um grave incidente de segurança expôs milhares de dados pessoais de clientes da Netshoes. No entanto, mesmo não estando em vigor a lei de proteção de dados pessoais brasileira, isso não foi um impeditivo para a Unidade Especial de Proteção de Dados e Inteligência Artificial do Ministério Público do Distrito Federal e Territórios investigar o evento e firmar Termo de Ajustamento de Conduta [3] com a Netshoes, fazendo-o com base em outros diplomas legais que tutelam a inviolabilidade da intimidade e da vida privada.

  Observa-se, portanto, a necessidade de ajustes que deverão conjugar investimentos canalizados, especialmente, na revisão de processos do seu negócio, na conscientização de equipes, em ferramentas de segurança da informação, sendo fundamental ainda, o assessoramento técnico e jurídico especializado a todas as empresas que de alguma forma realizam o tratamento de dados pessoais, isto é, praticam qualquer dos atos previstos no artigo 5º, X, da LGPD, como exemplo, a coleta, processamento, classificação, utilização, armazenamento e transferência de dados pessoais de qualquer indivíduo residente no país.

O artigo 7º da Lei Geral de Proteção de Dados Pessoais estabelece dez hipóteses que justificam o tratamento legal dos dados pessoais. Por isso, é fundamental entender em qual delas a sua atividade pode estar inserida, para compreender melhor os direitos e os deveres da sua empresa para com a proteção dos dados.

O consentimento específico do titular é um dos exemplos para tratamento regular dos dados, e qualifica-se como uma espécie de autorização para a qual a lei determina ser imprescindível o emprego de uma linguagem acessível ao público alvo, com clareza e objetividade na exposição, de modo a esclarecer especialmente quais dados serão coletados, para qual finalidade e por quanto tempo serão tratados – respeitando-se a coleta do mínimo necessário.

A adequação das empresas à LGPD, que passará a vigorar em agosto de 2020, tem se mostrado desafiadora, principalmente porque esclarecimentos de alguns pontos da lei são esperados pela Autoridade Nacional de Proteção de Dados.

Neste linear, aqueles que estiverem em desacordo com a lei, ficarão sujeitos a penalidades severas, como a aplicação de multa de até 2% sobre o faturamento da pessoa jurídica, limitada a R$ 50.000.000,00 (cinquenta milhões de reais), e a exigência de publicização da infração, afetando diretamente a imagem da empresa.

As sanções administrativas, como as indicadas, serão aplicadas pela Agência Nacional de Proteção de Dados – ANPD, criada pela lei 13.853/2019. Entre as atribuições deste órgão, destaca-se a de zelar pela proteção dos dados pessoais e fiscalizar o cumprimento da lei. Contudo, em que pese previsão específica sobre a autoridade, respectivas funções e punições, não se pode perder de vista a possibilidade de o descumprimento da lei reverberar em outras esferas, como o acionamento do judiciário pelos titulares dos dados eventualmente afetados para as devidas indenizações civis.

Pode parecer extenso o prazo para começar a se preocupar com as adequações exigidas pela Lei Geral de Proteção de Dados Pessoais, no entanto, saiba que a obtenção do consentimento pode ser uma das medidas para manter o banco de dados dos seus clientes de forma legal. Em caráter preventivo, o levantamento e revisão técnica especializada de todos os contratos mantidos com seus clientes, fornecedores e parceiros, para ajustá-los às especificidades da lei, é medida que se recomenda, principalmente no que tange à extensão da responsabilidade daqueles que tratam os dados.

Neste sentido, a implementação de medidas técnicas e organizacionais são importantes e auxiliam no gerenciamento e mitigação de riscos, assim como o estabelecimento de políticas internas para proteção dos dados e privacidade. Além de serem recomendáveis para  compliance  à Lei Geral de Proteção de Dados, estas medidas tendem a alavancar a credibilidade e o comprometimento do seu negócio, perceptível pelo cliente-titular dos dados.

O Brasil ainda caminha a passos lentos quando o assunto envolve a proteção de dados pessoais. No entanto, trata-se de uma tendência inevitável e necessária para os negócios. Não deixe às vésperas da lei para promover as adequações, pois administrar os impactos da penalização pode colocar em xeque a saúde financeira do seu negócio.

[1] BRASIL. Lei nº 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Diário Oficial da União, Poder Legislativo. Brasília, DF, 15 ago 2018. Disponível em: < http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm >. Acesso em: 07 out 2019.

[2] UNIÃO EUROPEIA. Regulamento (UE) 2016/679, de 27 de abril de 2016. Relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados). Parlamento Europeu e Conselho da União Europeia. 27 abr 2016. Disponível em: < https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:32016R0679&from=PT#d1e1554-1-1 >. Acesso em: 07 out 2019.

[3] DISTRITO FEDERAL. Termo de Ajustamento de Conduta nº 01/2019. Inquérito Civil Público n º 08190.044813/18-44. Ministério Público do Distrito Federal e Territórios. Unidade Especial de Proteção de Dados e Inteligência Artificial – ESPEC. Brasília, DF, 16 jan 2019. Disponível em: < http://www.mpdft.mp.br/portal/pdf/tacs/espec/TAC_Espec_2019_001.pdf >. Acesso em: 06 out 2019.