Lei Geral de Proteção de Dados: Descubra como a LGPD muda o uso de dados pessoais no Brasil

Sancionada em agosto de 2018, a Lei Geral de Proteção de Dados (LGPD) ainda nem entrou em vigor e já tem gerado uma grande polêmica e incontáveis dúvidas em praticamente todos os setores da economia. Por isso, nesse artigo iremos abordar o que é LGPD além de diversos outros tópicos que cercam o tema.

A lei, de relatoria do Deputado Orlando Silva do PCdoB de São Paulo, é reflexo direto de uma demanda gerada pela sua correspondente europeia, a General Data Protection Regulation, ou GDPR, e visa um importante objetivo: Dar mais segurança e controle aos processos de tratamento de dados pessoais

É o início de uma jornada muito maior em direção à proteção da privacidade, conceito cada vez mais presente e relevante na sociedade contemporânea.

A LGPD constitui, enfim – como se verá ao longo deste artigo – medida necessária já há bastante tempo, mas que ganhou atenção especial após o escândalo de violação de dados protagonizado pela SERPRO (Serviço de Processamento de Dados) no início de 2018.

A Lei Geral de Proteção de Dados é um assunto abrangente, que envolve não apenas detalhes acerca da lei em si, mas também de seus desdobramentos dentro do cotidiano corporativo de cada empresa do Brasil e, por isso, não é possível cobrir todas as suas meticulosidades em um único artigo.

Diante disso a Tripla traz conteúdos específicos sobre a Lei com frequência semanal, além de realizar palestras, workshops e eventos a respeito do tema.

Vamos mostrar o que ela é, como afeta consumidores, titulares e empresas, penalidades para quem a descumprir e muito mais.

Então, se você é um empresário, muita atenção para não infringir a lei assim que a mesma entrar em vigor.

Caso seja um cidadão querendo fazer valer os seus direitos sobre os dados que te pertencem, este artigo também é pra você.

Para começar, o que é LGPD?

A Lei Geral de Proteção de Dados – LGPD, estabelece normas e regulamentos para o processamento de dados pessoais.

Já em seu primeiro artigo, a LGPD estabelece que seu teor é aplicável a qualquer tratamento de dados pessoais, tanto por meio físico quanto digital, por pessoa natural ou jurídica, de direito publico ou privado, deixando clara a sua vasta abrangência sobre a matéria de proteção de dados.

O objeto da lei é proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, sempre zelando pela devida proteção aos dados pessoais.

Essa definição inicial já é de suma importância para compreender a lei devidamente, em especial pelo fato de que, apesar de se chamar Lei de Proteção de Dados, o bem jurídico por ela tutelado é a PRIVACIDADE. Inclusive escrevi um artigo sobre a nova concepção de Privacidade que pode agregar muito aos seus conhecimentos acerca do tema, clique aqui para acessá-lo.

A Lei estabelece que ninguém poderá processar dados, e por processamento entenda a coleta, tratamento, uso, armazenamento ou descarte, sem que haja uma devida base legal atribuída à operação. São 10 as bases legais trazidas pela LGPD e que autorizam o tratamento dados pessoais, sendo a mais famosa delas o consentimento.

Heranças da GDPR

Tendo fortes influências da GDPR – General Data Protection Regulation (Regulamentação Geral de Proteção de Dados) da União Europeia, a Lei Geral de Proteção de Dados busca agregar segurança, controle e transparência aos processos de tratamento de dados pessoais.

A referida legislação europeia já está em vigor desde maio de 2018, e neste um ano de vigência já foi possível verificar a gravidade da situação do tratamento de dados anterior ao seu advento, sendo que já foram pagos mais 60 milhões de Euros em multas, nesta data (maio de 2019), e mais de 90 mil denúncias relacionadas a violação de privacidade.

Evidentemente que o processo de adequação é longo e delicado, e por isso a Lei Geral de Proteção de Dados somente entrará em vigor em agosto de 2020, 24 meses após a sua publicação.

Em resumo, a LGPD é a lei que vem para exigir a criação de medidas que visem mitigar os riscos de violação de dados pessoais, tanto a nível de segurança de informação quanto a nível de desvio de finalidade ou abuso de direito.

Quais são as empresas afetadas pela LGPD

Agora que entendemos o que é LGPD de fato, podemos seguir e discorrer sobre outros tópicos. Uma das principais dúvidas que pairam na mente do empresariado desde a publicação da LGPD é “Quais empresas são atingidas pela lei?”.

Objetivamente falando, todas as empresas são afetadas pela Lei Geral de Proteção de Dados, independentemente de tamanho ou natureza.

Existe uma perspectiva de que a Autoridade Nacional de Proteção de Dados (ANPD), entidade nacional que atuará como fiscalizadora e referência técnica da matéria, preveja regras específicas para pequenas e médias empresas, start-ups e demais unidade empresárias que possam ser excessivamente prejudicadas por medidas genéricas, mas isto ainda é pendente de concretização.

É fundamental destacar também que não existe uma diferenciação entre empresas privadas ou públicas, ao menos não na aplicabilidade geral, o que faz com que mesmo as estatais brasileiras precisem se adequar aos regramentos.

O mesmo se aplica a empresas estrangeiras que possuam atividade de tratamento de dados no Brasil, não é necessário que sejam sediadas em território nacional, bastando que a operação de tratamento ocorra no Brasil, o tratamento de dados se dê em causa de oferta de bem ou serviço em solo brasileiro ou que os dados objetos do tratamento tenha sido coletados no país.

A intenção é evitar que existam lacunas de aplicabilidade da lei no que tange às atividades internacionais, em especial quanto à possibilidade de se fundar empresa em solo internacional para processar livremente dados pessoais sem intervenção normativa.

Em resumo, a Lei Geral de Proteção de Dados se aplica a qualquer pessoa, independente da natureza, do objeto social, do tamanho ou da territorialidade, desde que a operação de dados se enquadre nas hipóteses previstas em seu art. 3º.

Entendendo o caso de violação de dados pessoais do SERPRO

Serviço Federal de Processamento de Dados (SERPRO) é a maior empresa pública de prestação de serviços tecnologia da informação do mundo.

Ela foi criada no ano de 1964 com a finalidade de agregar agilidade e modernização aos setores estratégicos da administração pública.

Ela é vinculada ao Ministério da Economia, antigo Ministério da Fazenda, onde cresceu desenvolvendo programas e serviços que permitiram maior controle e transparência sobre a receita e os gastos públicos. Sua consolidação se deu por aprimorar tecnologias usadas por vários órgãos públicos federais, estaduais e municipais, que foram então incorporadas à vida do cidadão brasileiro.

No começo de 2018, um escândalo acometeu a empresa, quando a SERPRO foi acusada de vender dados pessoais, sendo objeto, inclusive, de investigação do Ministério Público do Distrito Federal.

Ao que consta da denúncia, a estatal estaria comercializando dados pessoais de brasileiros inscritos no Cadastro de Pessoas Físicas (CPF), em patente violação à sua privacidade.

Foram encontradas propostas comerciais da SERPRO apontando para a prática da comercialização de dados da base pública, e, de acordo com a investigação, alguns dos contratos de vendas de dados chegavam a 273 mil reais. Uma prática que nunca foi permitida, mas que agora conta com uma legislação focada em tratar do assunto.

Objetivos gerais que a Lei Geral de Proteção de Dados busca alcançar, bem como as vantagens que a lei traz

Dentre os principais objetivos que pautam a criação e aplicação da LGPD podemos enumerar:

  • Fortalecer os institutos do direito à privacidade e à proteção de dados pessoais, isso por meio da exigência de adoção de medidas de controle e transparência para as operações de tratamento de dados pessoais;
  • Promover o desenvolvimento econômico e tecnológico;
  • Trazer segurança jurídica à matéria, centralizando a normatização da proteção de dados e criando critérios objetivos de compliance;
  • Aumentar a confiança da sociedade a respeito do uso e coleta de dados pessoais por parte das empresas públicas e privadas;
  • Facilitar a portabilidade de dados pessoais de titulares, de um serviço para o outro, aumentando assim a competitividade dentro do mercado;
  • Estabelecer regras únicas e harmônicas sobre o uso de dados pessoais, independente do setor da economia em questão;
  • Melhorar a qualidade e a autenticidade dos dados pessoais em circulação;
  • Tornar o Brasil apto a se manter em plena relação econômica com outros países que possuam legislações de proteção de dados e que exijam conformidade equivalente.

Como as empresas podem e devem se preparar para quando a lei entrar em vigor

Lei 13.709/2018 (Lei Geral de Proteção de Dados – LGPD) entrará em vigor em agosto de 2020, passados os 24 meses de prazo fixados pela Medida Provisória 869/2018.

Assim, as empresas têm até o final de julho do mesmo ano para buscarem a efetiva adequação aos termos da Lei, e é justamente o meio para se atingir a mencionada adequação que tem trazido medo e confusão aos envolvidos.

Quais passos seguir?

Em primeiro lugar, é importante destacar que a jornada é árdua e complexa, mas não é impossível. Tal como qualquer outra medida de expertise variada, é absolutamente necessário que a empresa busque uma boa consultoria, que seja confiável e competente, pois o trabalho a ser exercido é multidisciplinar e deve ser realizado “a quatro mãos”, lado a lado com a empresa.

Uma vez escolhido o consultor de confiança, o primeiro passo é estabelecer a proposta de tratamento de dados pessoais e realizar o mapeamento dos dados dentro da operação, pois somente assim é possível detectar eventuais fragilidades ou irregularidades no processo estabelecido.

Mapeados os dados, deve se proceder à atribuição das respectivas bases legais e localização dos agentes de tratamento que integram a cadeia de dados, definindo suas responsabilidades e revisando os escopos de serviço.

A seguir é feita a arquitetura e desenho dos processos de tratamento de dados pessoais. É nesse momento que devem ficar bem definidos os canais de coleta, os níveis de acesso e o destino final dos dados dentro da operação em tela.

Definidos os processos devem ser verificadas as eventuais convergências normativas a nível internacional, evitando antinomias que possam prejudicar a atividade econômica desenvolvida.

Só depois devem ser elaboradas as políticas de privacidade, internas e externas, por meio das quais será agregada transparência e boas práticas.

Por fim, com todo o desenho elaborado, é possível se detectar eventuais fragilidades ou pontos de exposição que possam ser sanados por medidas preventivas ou responsivas.

Com a nomeação do DPO – Data Protection Officer – ou Encarregado de Dados – os processos estabelecidos passam a integrar as rotinas da empresa e a jornada está concluída.

Quais as penalidades previstas para quem violar a LGPD

A partir do momento em que a Lei Geral de Proteção de Dados entrar em vigor, as empresas que atuam no país precisarão se adequar ao texto na íntegra, ou arcar com severas consequências.

Antes de mais nada é sempre bom ressaltar que a LGPD não pune pelo vazamento de dados em si, mas sim, pela violação da Lei.

Isso significa que é possível sofrer um incidente de privacidade e não ser punido, bastando que a empresa consiga comprovar para a Autoridade Nacional, ou para o magistrado, conforme o caso, que todas as medidas que podiam ser tomadas quanto à segurança das informações foram tomadas, de forma que o incidente era inevitável.

Ocorre que a recíproca também é verdadeira, já que é possível sofrer uma sanção sem que tenha ocorrido qualquer incidente de violação de dados, bastando, para tanto, que uma fiscalização ostensiva detecte irregularidades nos procedimentos ou no nível de segurança empenhados.

No caso das multas, a sanção mais famosa pelo caso de descumprimento da Lei Geral de Proteção de Dados, às empresas penalizadas terão de pagar até 2% do faturamento da empresa no exercício anterior, limitados a R$ 50 milhões de reais, POR INFRAÇÃO.

Além das punições diretamente previstas na lei, há que se considerar ainda as incontáveis ações judiciais que podem ser enfrentadas no caso de incidentes e, claro, o profundo dano à imagem da empresa, que não apenas perderá clientes como será deixada de fora de negócios, tanto no setor público quanto no privado.

O que isso significa é que com a entrada em vigor da LGPD as operações de tratamento de dados se tornam processos de risco que, caso deixados a ermo, pode resultar prejuízos incalculáveis.

Mantenha-se sempre atualizado sobre as notícias do setor e conte se ainda quer saber mais sobre a LGPD

Aqui na Tripla temos um grande compromisso com a informação, e não poupamos esforços para tratar cada detalhe da Lei Geral de Proteção de Dados (LGPD), porém, a matéria é demasiada complexa para se limitar em tópicos, ou mesmo em uma rápida série de conteúdos.

Por esta razão, se você deseja saber mais sobre a LGPD, ou manter-se atualizado sobre as principais notícias e temas que envolvem tecnologia, dados e segurança na rede, faça o seguinte:

Assine o nosso newsletter, preenchendo o formulário abaixo, e garanta sua notificação sempre que um conteúdo novo e exclusivo for publicado no nosso blog.

E não se preocupe, aqui na Tripla nos levamos os seus dados pessoais a sério, eles não serão compartilhados ou utilizados para qualquer outra finalidade, e, caso queira seu descadastramento, ele pode ser solicitado a qualquer momento.

Não deixe também de fazer o download do nosso infográfico “LGPD – Conheça o caminho para conformidade”. Descubra como entrar em conformidade com a Lei Geral de Proteção de Dados e como a Tripla pode te ajudar em todo esse processo. Clique aqui e acesse.

Conte com a gente!


 

 

Descubra o que a LGPD vai mudar no uso de dados no Brasil
  • Por favor avalie nosso post.
5
Sending
User Review
3.67 (3 votes)

Comments