Publicado no Jornal Contexto em janeiro de 2020.
Desconhecida da grande maioria dos brasileiros, foi sancionada a Lei número 13.709/2018, a chamada Lei Geral de Proteção de Dados (LGPD), que vai entrar em vigor em meados de setembro deste ano, após dois anos de prazo para as empresas se adequarem, com o intuito de proteger o direito à privacidade das pessoas físicas. Esta lei foi inspirada no regulamento de proteção de dados da União Europeia, e é um dos pré-requisitos para o ingresso do Brasil na OCDE, a organização dos países ricos, além de requisito para manter comercio com membros da União Europeia. A LGPD define dados pessoais como qualquer dado que identifica ou leve à identificação de uma pessoa e que precisam ser protegidos contra manipulação indevida, cabendo às empresas e profissionais liberais, não apenas garantir a proteção desses dados, seja de clientes, funcionários ou visitantes do site, como demonstrar que faz todo o necessário para garantir essa proteção.
Define ainda a obrigação de ser totalmente transparente com o titular dos dados, tornando pública uma política de privacidade, deixando claro quais dados são e serão usados; para qual exata finalidade; por qual período de tempo; além de garantir ao titular, a possibilidade de consultar seus dados e corrigi-los no caso de estarem errados; bem como migrá-los para outra empresa ou mesmo excluí-los. O titular tem ainda o direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, como aquelas destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade. Assim como o regulamento europeu, a lei brasileira impõe uma série de punições para os casos de violações da lei, que vão desde a suspensão das atividades de manipulação de dados, até multas administrativas que podem chegar a 50 milhões de reais para cada infração, sem prejuízo das reparações cíveis, o famoso dano moral. Sob o argumento da pandemia, as sanções foram postergadas para agosto de 2021, com exceção da responsabilidade civil.
Em um mundo cada vez mais conectado, em que cada acesso a uma página na internet ou aplicativo no celular nos leva a fornecer algum tipo de dado pessoal, é preciso ficar atento às mudanças, sobretudo as empresas.
O intuito de tais sanções é garantir que por maior que seja o custo da adequação à lei, ainda será menor que a punição em caso de descumprimento. Para efeito de comparação, no primeiro ano da lei europeia, foram feitas aproximadamente 90 mil notificações de violações de dados, entre elas uma multa de 400 milhões de euros aplicada pelo governo da França a uma imobiliária por uso indevido de dados de uma câmera de vigilância e a multa de 280 mil euros aplicada pelo governo da Espanha, onde a competição futebolística La Liga recebeu uma multa por seu aplicativo ter usado indevidamente o microfone dos smartphones.
Outro ponto que merece destaque é o papel do encarregado de dados, que no regulamento europeu é chamado de DPO. Trata-se de um profissional responsável por conduzir a gestão de proteção de dados na empresa e ser o ponto de contato entre a empresa e o titular de dados e a autoridade responsável pela fiscalização. Cabe uma consideração sobre este profissional, que apesar de não ter expressamente exigido na lei, é essencial que tenha conhecimentos jurídicos e tecnológicos, para garantir não só o cumprimento da lei, como responder às notificações de maneira fundamentada, reduzindo assim o risco de sanções.
Por fim, cabe lembrar que a responsabilidade do tratamento dos dados é do controlador, personagem que a lei define como aquele que determina como os dados são tratados. Desta forma, o fato de a empresa usar serviços na nuvem não transfere para o fornecedor do serviço a responsabilidade pelo tratamento.
Ou seja, por menor que seja a empresa, se ela tem um site, um perfil nas redes sociais ou mesmo armazena dados de câmera de segurança, e em qualquer caso fazem coleta de algum tipo de dado do cliente, caberá a ela garantir a proteção dessas informações, mesmo que elas fiquem armazenadas em um servidor contratado de um terceiro.
Por isso fica claro que a nova lei provocará mudanças nas empresas, pois nenhuma delas ficará fora da responsabilidade de proteger os dados de seus clientes. Foram dois anos de prazo para adequação, e agora chegou a hora de começar a cobrar adequação, ou para aqueles que não o fizeram, correr contra o tempo, já que a adequação é um processo demorado e continuo. Em qualquer casa, ainda dá tempo de buscar ajuda profissional para se adequar aos novos tempos.
Diante destes fatos, fica a seguinte pergunta: o empresariado brasileiro e a população estão preparados para cumprir essas exigências, ou vamos aprender pela dor?
Alex Fernando Rodrigues é advogado com segunda graduação em tecnologia da informação. Possui especializações em Engenharia de Qualidade e Produtividade, Controladoria e Finanças, Gestão Pública, Direito Público e Direito Empresarial. Possui certificações internacionais em gestão e governança de TI (ITIL e COBIT), além das certificações Internacionais em Proteção de Dados, Certified Data Protection Officer, Information Security Foundation based on ISO/IEC 27001, Privacy and Data Protection Foundation e Privacy and Data Protection Practitioner.
Fonte: Jornal Contexto, edição numero 759, de 31 de janeiro de 2020.