A nova lei de proteção de dados pessoais atinge empresas públicas e privadas que operam dados pessoais físicos ou informatizados, garantindo direitos a usuários e criando obrigações para empresas.

Entrará em vigor, no ano de 2020, a Lei Geral de Proteção de Dados Pessoais – LGPD (nº 13.709/2018). A necessidade da regulamentação do tratamento dado às informações e dados pessoais no Brasil não é recente, e o tema já é tratado internacionalmente, como por exemplo, pela General Data Protection Regulation (GDPR) na União Europeia e pela California Consumer Privacy Act of 2018 (CCPA) nos Estados Unidos da América.

A LGPD surge em um contexto de enorme relevância, em que o cidadão produz e disponibiliza grande quantidade de dados pessoais através da navegação da internet, principalmente em redes sociais e sites de compras. Em verdade, é difícil pensar em um modelo de negócios atual que não contemple a utilização de algum tipo de dado pessoal.

A nova lei traz definições do que seria “dado pessoal”, sendo este, segundo o texto legal, “toda informação relacionada à pessoa natural identificada ou identificável”. Nesse sentido, cabem no conceito legal o nome do usuário, apelido, RG, CPF, e-mail pessoal, fotos, IP de computador, dentre outros. Nesse ponto, é importante mencionar que diferentemente de uma pessoa comum, os dados de uma empresa (CNPJ, endereço comercial, razão social e nome fantasia, por exemplo) não são considerados como “dados pessoais”.

Mas não são apenas esses dados que estão sob a proteção da LGPD. A preocupação maior gira em torno dos chamados “dados pessoais sensíveis”, que são dados capazes de ensejar a discriminação do seu titular, ou ainda, construir seu perfilhamento social/comportamental.

São “dados pessoais sensíveis”, de acordo com a lei – a religião, etnia, orientação sexual, opinião política, filiação a sindicato ou organizações de caráter religioso, filosófico e ideológico, dados referentes ao estado de saúde e até mesmo dados genéticos e biométricos.

Com o advento da nova lei, a coleta e tratamento dos dados pessoais, seja por meio físico ou virtual, tornar-se-ão mais rigorosos, e dependerão primeiramente do consentimento do usuário/titular. Deste modo, o que antes era feito sem nenhum aviso, só poderá ocorrer com o usuário manifestando livre e inequivocadamente a concordância com a utilização de suas informações pessoais para uma finalidade específica.

A lei ainda prevê que os titulares têm o direito de saber de que forma e por quanto tempo estarão sendo utilizadas as informações privadas fornecidas, direito de requerer a correção ou eliminação dos dados, bem como de revogar, de modo gratuito e facilitado, o consentimento anteriormente manifestado.

Deve-se destacar, no entanto, que a lei de proteção de dados comporta algumas flexibilizações no tratamento de dados pessoais sensíveis sem o consentimento do titular, como por exemplo, quando for indispensável para proteção da vida ou da incolumidade física do titular ou de terceiro; tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; cumprimento de obrigação legal ou regulatória pelo controlador exercício regular de direitos, inclusive em contrato e em processo judicial, dentre outras hipóteses previstas expressamente na LGPD.

As exceções sobreditas tratam, na verdade, de uma harmonização entre respeito e o direito à privacidade do indivíduo, da individualidade da honra e da imagem, e, por outro lado, o interesse público, e a segurança pública, por exemplo, como é o caso das investigações criminais, execução de políticas públicas e prestação de serviços públicos.

Para as empresas que infringirem ou descumprirem as determinações legais, a LGPD prevê sanções administrativas que passam por advertência, multas milionárias, publicização da infração cometida, bloqueio e eliminação dos dados a que se refere a infração – o que não substitui a aplicação de outras sanções cíveis e criminais definidas em outras leis.

A Agência Nacional de Proteção de Dados – ANPD será o órgão responsável pela fiscalização, criação de normas regulamentadoras da LGPD, aplicação de sanções, requisição de relatórios e qualquer outro diligenciamento dirigido aos controladores e operadores dos dados pessoais.

Importante ressaltar que a LGPD determina que o controlador de dados indique um encarregado pelo tratamento dos dados pessoais, o qual deverá ser designado para se reportar à Agência Nacional de Proteção de Dados, bem como aos titulares dos dados pessoais, atuando como porta-voz da empresa.

A designação de um encarregado é obrigatória, podendo o encargo ser terceirizado, seja para um escritório de advocacia, prestador de serviço autônomo ou grupo especializado.

Em razão da complexidade e grande repercussão legal e econômica, A Lei Geral de Proteção de Dados Pessoais tem prazo de 24 meses da sua publicação para entrar em vigor. Sendo assim, todas as empresas, públicas ou privadas, que operem dados pessoais, terão até o dia 15 de agosto de 2020 para se adequarem às novas disposições legais.

Ainda que pareça muito tempo, as empresas devem se planejar o quanto antes para se adaptarem às mudanças determinadas em lei, principalmente no que diz respeito à gerência dos dados, nível de proteção dos arquivos físicos e informatizados, revisão de políticas internas e revisão de contratos com fornecedores. Essas e outras medidas são extremamente necessárias para prevenir e corrigir possíveis violações à lei.

Enfim, estas foram algumas considerações iniciais acerca da nova Lei Geral de Proteção de Dados Pessoais que entrará em vigor no ano de 2020.

Caso você tenha alguma dúvida, sugestão ou queira fazer algum comentário sobre este Artigo entre em contato conosco.