A Lei nº 13.709, conhecida como LGPD (Lei Geral de Proteção de Dados) começou a ter validade no dia 18 de setembro de 2020 após todo trâmite legal; sendo que as sanções (penalidades), somente poderão ser aplicadas a partir de agosto de 2021.
A LGPD tem como principal objetivo “proteger os direitos fundamentais da liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”. Em resumo, a Lei visa assegurar que as empresas que executem qualquer operação de tratamento de dados pessoais tenham transparência e segurança no uso dos dados, visando assim garantir que nenhum cidadão tenha utilização de seus dados sem o seu consentimento explícito.
Nesse ponto surgem 2 (duas) das principais questões da Lei:
1 – O que são dados pessoais?
2 – O que é uma operação de tratamento?
1 – Dados pessoais: são informações capazes de identificar ou tornar identificável alguém.
A Lei ainda destaca tratamento especial para a utilização dos dados de crianças e adolescentes e os dados pessoais SENSÍVEIS, que são os que revelam origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical, questões genéticas, biométricas e sobre a saúde ou a vida sexual de uma pessoa.
2 – Tratamento: toda operação realizada com os dados pessoais, como a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
No ponto de vista do titular dos dados a Lei assegura o direito de ser solicitada a apresentação, exclusão, anonimização ou revisão dos dados.
Quando analisamos a questão do tratamento, faz-se necessário destacarmos outras 2 denominações utilizadas pela lei:
CONTROLADOR: é a “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais” (Art. 5º, Inciso VI)
OPERADOR: é a “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador” (Art. 5º, Inciso VII).
Assim, no que se refere ao controlador, a Lei determina que o tratamento dos dados deve ser feito levando em conta alguns quesitos, como finalidade e necessidade, que devem ser previamente acertados e informados ao titular.
Como saber se a LGPD é aplicável à minha empresa?
Considerando as operações listadas no rol da Lei, fica claro que praticamente TODAS AS EMPRESAS se enquadram em algumas dessas, o que por consequência leva a conclusão de que a LGPD é aplicável à todas empresas, em maior ou menor grau.
Analisando as características mercantis das empresas, embora muitas apenas mantenham relações B2B ou B2C é certo que além dos funcionários e colaboradores, todas as empresas ainda são H2H, ou seja são humanos falando com humanos e, por isso, é inevitável que tenham algum tipo de tratamento de dados pessoais.
Exemplificando, podemos destacar inicialmente a coleta de dados na recepção da empresa. Comumente são solicitados os seguintes dados: nome, e-mail, RG, CPF, endereço, telefone, data de nascimento, estado civil, etc)
O que muda com a LGPD?
A empresa terá que explicar por que coleta e armazena esses dados e indicar a finalidade e usos dos mesmos; ou seja, existe necessidade real de utilização dentro da sua operação ou a coleta é por pura convenção de banco de dados?
Não havendo finalidade real, os dados não poderão ser colhidos, e para os que houver, a empresa necessitará de um consentimento específico e expresso do titular, que deve ser colhido no momento da coleta.
E os documentos físicos?
No geral, documentos impressos têm uma menor rastreabilidade, ao mesmo tempo são mais difíceis de serem controlados em sua totalidade, aumentando o risco de extravio e vazamento de informações.
O que acontece com minha empresa se eu não cumprir a lei?
A LGPD indica algumas sanções, podendo ser destacadas:
• Advertência
• Multa “simples” de até 2% do faturamento, limitadas a R$ 50 milhões
• Multa diária, limitadas a R$ 50 milhões
• Suspensão parcial do funcionamento do banco de dados pelo período máximo de 6 meses
• Suspensão do exercício da atividade do tratamento pelo período máximo de 6 meses
• Proibição parcial ou total do exercício de atividade de tratamento de dados.
Necessário destacar os aspectos de valor de mercado e imagem, além do risco de operação propriamente dito nos 3 (três) últimos casos, podendo atingir danos incalculáveis.
Como será a fiscalização da lei?
Ficará a cargo da ANPD (Autoridade Nacional de Proteção de Dados), que é o órgão fiscalizador do cumprimento.
A LGPD exige que as empresas mantenham um relatório de impacto atualizado (anual) que deverá ser enviado à ANPD, com o objetivo de informar o detalhamento do ciclo de vida dos dados pessoais da empresa.
CONCLUSÃO
Essa é uma oportunidade única para o país no que se refere à sociedade da informação, onde ao invés de olhar a Lei com olhos de “rigor excessivo” os empresários poderão se profissionalizar e ajustar velhos hábitos, passando a tomar maior cuidado com os dados armazenados.
Todos certamente já tivemos conhecimento de alguém próximo que teve seus “dados clonados”, perfil invadido, movimentações bancárias indevidas e outras situações.
Por fim, vale frisar que a informação é considerada o petróleo do futuro, e como tal havia necessidade de ter uma segurança maior e com regras claras.