LGPD define que usuário precisa consentir com o motivo pelo qual seus dados estão sendo armazenados. Especialistas apontam como as empresas vão ter que se adaptar.
Foi aprovada no Senado na última terça-feira (10/2) a Lei Geral de Proteção de Dados (LGPD), que busca inserir o Brasil no cenário de tutela dos dados pessoais e segue o modelo do Regulamento Geral de Proteção de Dados (GDPR, na sigla em inglês), a lei europeia que trata do tema. A LGPD passa a valer 18 meses após a sanção presidencial – ainda a ser feita – e traz multas de até 2% no faturamento das empresas, limitada a R$ 50 milhões por infração.
Senado aprova Projeto de Lei de proteção de dados
Agora, conforme destaca Rafael Pistono, sócio da área de Telecomunicações, Entretenimento e Tecnologia (TET), do Vinhas e Redenschi Advogados, o tratamento de dados pessoais não poderá ser feito de forma indiscriminada, visto que a legislação estabelece uma série de requisitos para o tratamento que devem ser cumpridos pelo controlador. Dessa forma, a lei visa coibir os sucessivos vazamentos de dados do Facebook noticiados recentemente.
A principal mudança é a necessidade de consentimento expresso do usuário para que seus dados possam ser coletados e tratados. O artigo 9 da lei diz que “o titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizados de forma clara, adequada e ostensiva”. Ou seja, os termos devem ser destacados e não podem ser genéricos, diz Rafael Batista, sócio-diretor da IT Secure.
Batista ainda lembra que, se houver uma alteração na forma de processamento ou tratamento dos dados, um novo consentimento deve ser solicitado. Além disso, o usuário ainda deve ter o poder de revogar este consentimento se mudar de ideia depois, obrigando a empresa (salvo em exceções previstas na própria lei) a remover seus dados. “Este procedimento deve ser gratuito e fácil”, reforça Pistono, do Vinhas e Redenschi Advogados.
Maurício Fiss, sócio-diretor da área de tecnologia da consultoria global Protiviti, diz que o benefício para os cidadãos é a garantia de uma transparência sobre o uso dos dados pessoais e a possibilidade de definir por quem e como serão usados. “Para as empresas, tratar seus dados de forma séria e segura pode se tornar uma vantagem competitiva tratar, uma vez que estes serão cada vez mais valiosos”, diz.
Falando em empresas, elas terão que mudar seu modo de lidar com os dados para se adequar à nova lei. Se as maiores já estão mudando suas políticas de privacidade por força do GDPR até mesmo no Brasil, a exemplo de Uber, Spotify, Google e até mesmo a Panini, como destacado por Batista, a expectativa é que o mesmo aconteça com as empresas que operam apenas no País.
Além de ter que deixar claro quais, como e porquê os dados dos clientes serão armazenados, as empresas deverão prover meios para que os clientes possam solicitar a correção de dados incorretos, solicitar a portabilidade destes dados para uma outra empresa ou, simplesmente, solicitar que os dados não sejam mais armazenados. Neste caso, a empresa deve ter meios efetivos para comprovar que realmente apagou as informações.
Batista lembra que um segundo aspecto de mudança está na proteção das informações. Com a entrada em vigor da lei, as empresas precisarão comunicar a seus clientes e às autoridades competentes qualquer tipo de vazamento de informações que estejam sob sua guarda, passando a estar sujeitas a sanções caso isto ocorra. Estas sanções podem variar de uma advertência a multas de 2% do faturamento (limitadas a R$ 50 milhões).
Segundo Pistono, a LGPD impõe uma série de responsabilidades ao responsável pelo tratamento dos dados, tais como o registro das operações de tratamento de dados pessoais, a indicação de um encarregado pelo tratamento, além da implementação de diversas práticas que assegurem ou, ao menos, visem mitigar os riscos de vazamento dos dados, atendendo aos padrões de governança de dados.
Fiss, da Protiviti, diz que será necessário o investimento em novas soluções como data center seguros e de alta volumetria e gestão de identidade de consumidores e clientes. Além disso, a adoção de práticas e arquiteturas tecnológicas que considerem a proteção de dados por padrão, como a encriptação nativa de dados pessoais quando forem coletados, a guarda destes dados em ambientes seguros e seu acesso controlado.
Todas essas normas também valem para empresas que tratam os dados fora do Brasil. Batista lembra que o Capítulo V (artigos 33 a 36) diz que a transferência para o exterior só pode ser feita para países ou organizações internacionais que “proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei”. A transferência, porém, não isenta o responsável pela coleta de sua responsabilidade.
Para que essas regras sejam seguidas, o governo vai criar de uma Autoridade Nacional de Proteção de Dados, autarquia que será responsável pela fiscalização e pela aplicação das sanções. Pistono explica que o órgão deverá atuar de forma independente e com autonomia para fiscalizar. Ele recomenda que se olhe para modelos internacionais que já deram certo e buscar a implementação de uma agência extremamente técnica, enxuta e eficiente.
Batista também lembra que os cidadãos poderão acionar a Justiça caso acreditem que seus dados foram usados de forma incorreta, se apoiando em órgãos de defesa do consumidor ou mesmo no Ministério Público, que também farão a fiscalização. Caberá às empresas provar que não estão infringindo à lei. Além disso, será criado o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, que irá regular e disseminar essas práticas, finaliza Fiss.
