Inspirada na GDPR, a Lei 13.709/2018 (LGPD) que passará a vigorar em março de 2020, pretende dar uma resposta brasileira às pressões para o estabelecimento de uma política de proteção de dados pessoais. A resposta relativamente rápida à mudança no panorama internacional quanto ao uso e tratamento de dados pessoais, traz consigo, em contrapartida, um curto espaço de tempo para que as empresas que atuam no país possam se adaptar as diretrizes estabelecidas pela nova lei.
Na Europa, Google e Facebook se envolveram em recentes escândalos relacionados à proteção de dados, tendo que arcar, cada uma das empresas, com multas superiores aos 3 bilhões de euros. No entanto, engana-se quem pensa que tais regulações atingirão apenas as gigantes do setor de tecnologia. No Brasil, as multas estabelecidas pela LGPD podem chegar, por infração, a R$ 50 milhões de reais, o que representa, para grande maioria dos empresários brasileiros, o encerramento das suas atividades.
Diante disso, inegável que passa a ser prioridade para todas empresas atuantes no Brasil a adequação às diretrizes estabelecidas pela LGPD.
Destaca-se que, na data de ontem, 7 de maio, a votação realizada pela Comissão Mista do Congresso concedeu parecer favorável à aprovação da Medida Provisória 869 de 28 de dezembro de 2018, para dispor sobre a proteção de dados pessoais e para criar a Autoridade Nacional de Proteção de Dados. Apesar do parecer favorável, foram sugeridas complementações à Lei Geral de Proteção de Dados Pessoais, sendo a principal uma nova redação ao § 1º do art. 55-A da lei, para determinar que a vinculação da ANPD à Presidência da República seja transitória e que deverá haver uma reavaliação de sua natureza jurídica pelo Poder Executivo, inclusive quanto à sua eventual transformação em órgão da administração pública indireta. Trata-se de importante medida para garantir a autonomia técnica e decisória, independência administrativa e ausência de subordinação desta Autoridade, que deverá zelar pela proteção de dados pessoais e garantir a efetividade da nova lei.
De qualquer forma, é se sumo importância que seja realizada a análise da atuação empresarial quanto ao uso e tratamento de dados, deve-se verificar quais são as principais partes envolvidas nas relações estabelecidas e quais suas funções a luz da Lei Geral de Proteção de Dados, em termos simples: Titular – é a pessoa cujos dados são utilizados e tratados; Controlador – é quem possui poder de decisão sobre os dados fornecidos pelo titular; Operador – é quem trata os dados sob coordenação do controlador; Encarregado (Data Protection Officer) – É o canal de comunicação entre o controlador, os titulares e a Autoridade Nacional de Proteção de Dados, servindo como supervisor das práticas de tratamento de dados pessoais dentro das empresas, verificando sua conformidade com a LGPD.
Um segundo passo importante para a adequação de empresas à LGPD é buscar entender o conceito de tratamento de dados que, apesar de simples, acaba por estabelecer a base para análise das condutas dos players desse novo cenário. Tratamento de dados é, em síntese, toda a operação em que haja o envolvimento de dados pessoais, dentre as quais se destacam para fins do mundo empresarial: a coleta, a utilização, a reprodução, o processamento, o acesso, o armazenamento, a difusão e o controle dos dados.
Os pontos chave, com a chegada da nova lei, são os princípios da finalidade e do consentimento, que passam a ser de caráter fundamental para o uso e tratamento de dados, uma vez aplica-se, em regra, de maneira universal no que se refere a dados pessoais. E quando se fala em consentimento, para que seja considerado valido, deve ser livre, informado, inequívoco, e com uma finalidade determinada, que vincula o tratamento de dados pessoais à finalidade que motivou e justificou a sua coleta. Outro princípio de suma importância é o da não discriminação, que aborda o potencial discriminatório do uso de dados e mecanismos de decisão automatizada, que podem interferir negativamente na vida dos cidadãos, dificultando acesso à bens, serviços e até mesmo oportunidade de trabalho.
Além disso, outro ponto de altíssima relevância a ser observado pelas empresas que buscam se adequar a nova conjuntura estabelecida pela Lei é que a sua aplicação não está restrita apenas a dados pessoais, podendo, assim, o uso o tratamento de dados de qualquer natureza, ser objeto das disposições ali contidas.
Oportuno destacar, ainda, que a inobservância das disposições da LGPD levam condenações pelos danos causados aos titulares dos dados. Quanto a esses danos, responderão, solidariamente, o controlador e operador dos dados.
A contingência de tal risco deve ser observada pelas empresas atuantes no Brasil, uma vez que, conforme já mencionado, as multas podem ser severas e determinantes para um saudável funcionamento do negócio e, além disso, a “desorientação” quanto a aplicação da LGPD certamente levará ao surgimento de demandas judiciais movidas por titulares que entenderem terem sofrido dano decorrente do uso de seus dados.
Diante disso, o mais importante passo a ser dado é a busca pelo assessoramento jurídico de qualidade, que ofereça, através de data compliance, um plano de contenção de risco e, nos casos judicializados conhecimento técnico e expertise na área do conflito, a fim de apontar as soluções mais vantajosas para cada situação, sempre atentando-se ao fato de que a LGPD entrará em vigor a partir de agosto de 2020, sendo este, o momento adequado à reorganização e reestruturação das políticas empresariais quanto ao uso e tratamento de dados.
Fonte:
Informe da Área Cível da Scalzilli Althaus.
Contribuiu nesta edição, a coordenadora da área Marcela Joelsons.
A SOFTSUL é parceira da Scalzilli Althaus.
