Entenda o que mudou com a nova Lei Geral de Proteção de Dados
201809.05
0

Entenda o que mudou com a nova Lei Geral de Proteção de Dados

por em Artigos

A Lei Geral de Proteção de Dados (“LGPD”) foi sancionada no dia 14 de agosto de 2018 e publicada em 15/08/18 no Diário Oficial da União (Lei nº 13.709 de 2018). A lei terá um período de 18 meses para adaptação, entrando em vigor apenas em fevereiro de 2020.

Esta lei tem objetivo de regulamentar o uso, a proteção, o tratamento e a transferência de dados pessoais no Brasil, tanto por entidades públicas como pelas privadas, que atuem dentro ou fora do país, principalmente no que se refere aos meios digitais (mas não exclusivamente).

O cenário que influenciou a criação dessa lei é marcado por uma ausência de controle do uso dos dados pessoais dos cidadãos, que são cedidos através de um consentimento genérico e utilizados para finalidades diversas das quais foram coletadas, além de serem amplamente comercializados e explorados pelas empresas privadas.

Com a LGDP esse cenário irá sofrer uma mudança significativa e obrigará as entidades públicas e privadas a fazerem o uso apropriado dos dados pessoais, modificando drasticamente a maneira como gerenciam, usam, armazenam, protegem e processam as informações. Além disso, as pessoas físicas passarão a ter maior controle sobre seus dados, podendo escolher se irão concedê-los ou não, de acordo com a finalidade a qual se propõe o seu uso.

Importante destacar que esta lei afetará diversos setores da economia, além da maior parte das entidades públicas e privadas, que atuam nos meios digitais ou não. Isto porque a lei se aplica a todas as situações em que os dados forem coletados ou processados no Brasil, ou se o tratamento tem por objetivo ofertar bens ou serviços a pessoas localizadas no território nacional. Além disso, também será permitida a transferência internacional de dados, desde que o país de destino tenha nível de proteção compatível com a LGDP.

Como os dados pessoais poderão ser coletados e tratados?

Primeiro é preciso entender como a LGDP define os dados pessoais, sendo eles qualquer informação que, em conjunto ou isoladamente, possa vir a identificar um indivíduo, como por exemplo: nome, apelido, endereço residencial, endereço de e-mail, endereço IP, fotos próprias, formulários cadastrais, números de documentos, etc.

Dentro desse conceito, criou-se uma categoria denominada de “dados pessoais sensíveis”, os quais recebem um tratamento especial na lei, sendo o seu uso mais restrito, devido ao aumento de risco de discriminação e outros prejuízos à pessoa. São estes: os que versam sobre origem racial ou étnica, convicções religiosas, opiniões políticas, dado genético, biométrico, referente à saúde ou à vida sexual.

Para obtenção dos dados pessoais, sensíveis ou não, é preciso que o titular concorde de maneira clara, livre, inequívoca e que saiba exatamente o que será coletado, para quais fins e se haverá compartilhamento dessas informações. A concordância genérica será considerada nula.

A finalidade a qual se destina a coleta de dados é o ponto chave da LGDP, uma vez que as entidades apenas poderão solicitar os dados que são realmente necessários para ao fim proposto. Ou seja, se uma empresa coletar um dado que não é indispensável para execução dos seus serviços, o titular tem o direito de questionar a sua coleta e solicitar que este dado seja excluído. Se houver mudança de finalidade ou repasse de dados a terceiros, um novo consentimento deverá ser solicitado ao titular. E caso a finalidade se extinga, a empresa precisa excluir esses dados da sua plataforma.

No que tange aos dados de crianças e adolescentes, estes apenas poderão ser tratados com o consentimento de um dos pais ou responsáveis legais. Além disso, para que haja a coleta desses dados, é preciso que exista uma explicação simples, clara e acessível sobre como será feito o tratamento, podendo, inclusive se utilizar de recursos audiovisuais, considerando as peculiaridades desses usuários.

O titular ainda possui uma série de novos direitos, podendo solicitar acesso a todas as informações que uma entidade coletar dele (finalidade, duração do tratamento, forma, se haverá uso compartilhado com outro ente, etc.), requisitar a eliminação de registros que fujam da finalidade proposta, a correção de algum dado incompleto e ainda a portabilidade de todos os seus dados para outro provedor de serviço.

Existem exceções para as regras acima dispostas, ficando de fora das obrigações o tratamento para fins acadêmicos, artísticos ou jornalísticos, bem como para aqueles que envolvem segurança pública, defesa nacional, proteção da vida e políticas governamentais. Esses casos deverão ser tratados por leis específicas.

Como fica a responsabilidade das entidades e quais as sanções previstas para o descumprimento da lei?

Os agentes de tratamento (que controlam e operam os dados coletados) passam a ser responsáveis de forma solidária pelos danos causados às pessoas físicas, cabendo a eles adotar e registrar medidas para garantir a segurança dos dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas, impedindo qualquer forma de vazamento.

Caso haja algum tipo de vazamento ou problema de segurança que possam acarretar em dano para o titular da informação, a entidade fica obrigada a comunicar imediatamente à pessoa e ao órgão competente.

As organizações que não cumprirem as normas dispostas na LGDP ou cometerem algum tipo de infração, poderão receber advertências, multa simples de até 2%do faturamento da empresa no seu último exercício, limitada a R$50 milhões, além de publicização da infração.

Como será feita a fiscalização?

Foi prevista a criação Autoridade Nacional de Proteção de Dados (ANPD), que ficaria responsável pela edição de normas complementares e pela fiscalização das obrigações previstas na lei.

No entanto, a criação deste órgão recebeu veto presidencial devido a aspectos formais relacionados à inconstitucionalidade do processo legislativo por trazer vício de iniciativa, sob o argumento de que a criação deveria partir do Executivo Federal.

Apesar de ter sido vetada, tudo indica que a criação da ANPD ocorrerá através de um projeto de lei enviado pelo Executivo.

O que se esperar daqui para frente?                   

A LGDP se propõe a mudar significativamente a coleta, tratamento e o uso dos dados pessoais, trazendo uma regulamentação sólida e adequada à realidade.

No entanto, é de se esperar que nos próximos meses muitas dúvidas ainda venham a surgir, sendo necessário estar sempre atento às novas interpretações ou determinações.

Até a entrada em vigor da LGDP, as entidades públicas e privadas devem se aprofundar sobre o assunto e se emprenhar para adequar à nova legislação até fevereiro de 2020, uma vez que após essa data as sanções pelo descumprimento serão severas e podem vir a causar grandes prejuízos para as empresas.