Falta pouco menos de um ano e meio para a Lei Geral de Proteção de Dados (LGPD, Lei 13.709/2018) entrar em vigor. Embora o prazo pareça distante, após uma breve análise, é possível constatar que a adaptação pode exigir um pouco mais de atenção do que o imaginado. Isto porque nem todas as empresas tinham em seu radar a proteção de dados pessoais ou, ao menos, uma cultura voltada às boas práticas de segurança da informação.
A LGPD é aplicável a todas as empresas que tratem dados pessoais, seja em meio físico ou digital, independentemente do porte ou segmento. Ou seja, não se aplica somente às empresas de tecnologia ou voltadas ao comércio digital. Todas as companhias que coletam dados de seus funcionários ou de consumidores em um formulário físico ou mesmo em um sistema também deverão atentar à legislação.
Entre os principais pontos da nova lei estão a definição do que são os dados pessoais (toda e qualquer informação relacionada à pessoa física identificada ou identificável), tais como nome, RG, CPF, endereço, geolocalização, identificação de dispositivos móveis e respectivos sistemas operacionais, cookies, endereços IP e demais identificadores eletrônicos. Os dados sensíveis receberam uma proteção maior, já que envolvem informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde ou vida sexual e dados genéticos ou biométricos. Normalmente, essas informações só podem ser tratadas mediante consentimento específico em cláusulas contratuais separadas.
A LGPD institui a informação e a transparência como pilares centrais no tratamento de dados pessoais: sempre que possível, o titular dos dados deve ser informado sobre que tipos de dados são coletados, para que finalidades, os responsáveis pelo seu tratamento e as formas de contatar o encarregado de sua proteção em caso de dúvida ou para exercício de seus direitos.
A LGPD institui a informação e a transparência como pilares centrais no tratamento de dados pessoais
Contudo, para oferecer essas informações de forma correta, objetiva e estruturada aos usuários, a empresa deve, sobretudo, saber exatamente quais as categorias de dados pessoais definidas em lei, seu respectivo fluxo e finalidades. Por exemplo, ela deve saber exatamente como a coleta de dados é feita, por que canais, com quem compartilha tais dados, quais funcionários têm acesso a eles, quais os mecanismos de segurança utilizados internamente, como estão os contratos com as empresas terceirizadas (principalmente em relação à responsabilidade pela segurança dos dados), quais as finalidades das coletas e em quais fundamentos legais se pode enquadrá-las, dentre outros pontos de atenção.
Um mecanismo previsto na lei que contribui bastante para este mapeamento de dados é o Relatório de Impacto à Proteção de Dados Pessoais, que é a documentação a ser realizada pelo controlador contendo a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta, bem como as medidas técnicas e organizacionais adotadas para garantir a segurança da informação e mitigar eventuais riscos. Por meio desse mapeamento, a empresa pode antever eventuais incidentes de segurança, como vazamento de dados, ou, se tais incidentes ocorrerem, demonstrar perante a Autoridade Nacional de Proteção de Dados sua boa fé e que tentou de todas as maneiras evitar o vazamento. Essas ações proativas e bem estruturadas das empresas servem como objeto de provas para amenizar eventuais sanções.
A LGPD é resultado de aproximadamente oito anos de discussão colaborativa e foi impulsionada por alguns acontecimentos globais, como a aprovação do Regulamento Geral de Proteção de Dados da União Europeia (GDPR) e sua aplicação extraterritorial; o vazamento de dados envolvendo a Cambridge Analytica; a vontade do Brasil de integrar a Organização para a Cooperação e Desenvolvimento Econômico (OCDE); e a necessidade de alguns setores de regular a proteção de dados pessoais.
O cenário europeu de proteção de dados influenciou muito a elaboração da lei nacional. No Brasil, três projetos de lei foram essenciais para a concretização da nossa legislação: 4.060/2012, 330/2013 e 5.276/2016, este último muito semelhante ao GDPR. Os debates públicos advindos desses projetos deram ensejo ao Projeto de Lei 53/2018, aprovado e sancionado na Lei 13.709/2018.
A lei é essencial para a segurança jurídica das relações comerciais. Primeiro, porque unifica as normas relacionadas a dados já existentes – no Brasil, a proteção de dados era fragmentada –, como Código de Defesa do Consumidor, Código Civil, Lei do Habeas Data e normas de setores específicos (por exemplo, de telecomunicações e financeiro). Segundo, porque coloca o Brasil no patamar de um país adequado para a transferência internacional de dados.
Infelizmente, o presidente Michel Temer vetou, por uma questão formal de constitucionalidade, a criação da Autoridade Nacional de Proteção de Dados Pessoais, que teria como funções fiscalizar o cumprimento da legislação; assegurar os direitos dos titulares dos dados pessoais; editar normas e diretrizes que complementem e esclareçam disposições da lei, como, por exemplo, sobre a indicação de prazos para a notificação da ANDP em caso de incidentes e os padrões mínimos de segurança a serem adotados pelas instituições e os requisitos para a interoperabilidade dos sistemas; bem como realizar auditorias e aplicar eventuais sanções administrativas.
É essencial que, até fevereiro de 2020, a ANDP seja criada, visto que a devida aplicação e sua eficácia dependerá da fiscalização e da elaboração de diretrizes pela Autoridade Nacional, a fim de complementar a LGPD, como na indicação de um prazo para a notificação de eventual incidente, os procedimentos mínimos a serem adotados pelas empresas para assegurar o exercício do direito à portabilidade pelos titulares, padrões mínimos de segurança etc.