Finalmente sancionada (em 14 de agosto de 2018), a nova Lei Geral de Proteção de Dados Pessoais brasileira (LGPD) afeta profundamente o modo de funcionamento de todas as empresas brasileiras. Não a lógica comercial, mas a de gestão das informações. Trata-se de um verdadeiro “tsunami” para as companhias que terão, a partir da promulgação e publicação de lei em comento, 180 dias para adaptar-se a uma realidade que, para a maior parte delas, lhes é totalmente estranha. Isso sem falar nos órgãos e entidades da Administração Pública, cujo modelo de gestão das informações pessoais é, salvo raríssimas exceções, muito aquém do que seria considerado “medíocre”.
Com efeito, para a maior parte das empresas e órgãos públicos brasileiros, os dados pessoais são vistos e tratados como um elemento de cunho quase “burocrático”, para não dizer banal. As informações sobre os empregados (nome, endereço, férias, salário, auxílios diversos, licenças médicas etc.) são geridas pelo RH com o auxílio de softwares pouco ou nada complexo, segundo o caso. Os contatos dos clientes (ou cidadãos) são tratados artesanalmente, normalmente para fins de envio de faturas, e-mails ou cobranças, e o histórico das compras efetivadas arquivados para fins de garantia dos produtos adquiridos.
A partir da entrada em vigor da LGPD, essa forma de gestão tende a tornar-se uma lembrança dos velhos tempos ou relatos (cases) figurando nos livros de administração.
Efetivamente, a era da informação deu origem a um fenômeno recente de produção e intercâmbio de dados em escala nunca visto na história da humanidade. Várias empresas criaram novos modelos de negócios utilizando esse “ativo”, e acumularam enorme quantidade de capital, poder e influência em tempo recorde (o Google foi criado em 1998, o Facebook em 2004). Em contrapartida, houve um movimento gradual de tomada de consciência da necessidade de se proteger esse ativo (dados pessoais) contra o seu uso indevido ou não autorizado. A Europa é, sem dúvida, onde o tema encontra-se mais maduro, regido atualmente pelo Regulamento Geral de Proteção de Dados Pessoais (GDPR).
No Brasil, a entrada em vigor da LGPD pretende criar um quadro normativo moderno, amplamente inspirado pelo Regulamento Europeu. Trata-se, entre outros objetivos, de colocar o país dentre o seleto rol de países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado.
Assim, foram criadas uma série de obrigações para as empresas acerca da coleta, do uso e das garantias de integridade dos dados pessoais a serem observadas, sob pena de pesadas sanções. Da mesma forma, a referida lei atribuiu direitos aos titulares dos dados pessoais que podem ser exercidos contra quaisquer empresas ou entidades públicas que detenham tais informações. Nesse sentido, se os dados pessoais se tornaram indubitavelmente um precioso ativo, eles podem dar origem, se mal administrados, a um importante passivo para aqueles que os detém.
Segue abaixo, a título ilustrativo, um resumo de alguns pontos e novidades trazidas pela nova lei de proteção de dados pessoais:
Aplicação territorial. Submetem-se à LGPD as empresas ou entidades públicas que efetuem o tratamento de dados pessoais no Brasil, que coletem dados no Brasil, ou que ofertem bens ou serviços no território nacional.
Cinco principais princípios a serem observados no tratamento dos dados
- Finalidade: os dados devem ser tratados para os fins específicos informados ao titular, sem possibilidade de tratamento posterior de forma incompatível.
- Necessidade (ou minimização): só devem ser coletados dados pertinentes, proporcionais e não excessivos em relação as finalidades pretendidas.
- Livre acesso: os titulares dos dados devem poder consultar gratuitamente a forma e a duração do tratamento dos seus dados.
- Segurança: os agentes de tratamento dos dados tem obrigação de adotar medidas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
- Responsabilização e prestação de contas: os agentes de tratamento dos dados devem demonstrar a adoção de medidas eficazes e capazes de comprovar o cumprimento das normas de proteção de dados pessoais.
O consentimento para o tratamento dos dados pessoais
O consentimento passa a ser a melhor forma para legitimar o tratamento dos dados pessoais. Ele deve ser explícito e, quando solicitado no meio de um contrato comportando outros elementos, deve constar de uma cláusula separada. O consentimento pode ser revogado a qualquer momento pelo titular dos dados. Outros motivos também legitimam o tratamento dos dados pessoais (ex: Cumprimento de obrigação legal ou regulatória, execução de contrato do qual seja parte o titular, estudos por órgão de pesquisa, dentre outros).
Principais direitos dos titulares dos dados
- Direito de acesso e correção de dados incompletos, inexatos ou desatualizados.
- Direito à anonimização dos seus dados, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na Lei.
- Direito à portabilidade dos dados a outro fornecedor de serviço ou produto (ex: bancos, visando facilitar a abertura de contas correntes, ou seguradoras etc.).
- Direito à eliminação dos dados pessoais tratados com o consentimento do titular.
- Direito à informação das entidades públicas e privadas com as quais houve uso compartilhado de dados.
- Direito à revogação do consentimento.
Transferência internacional de dados
A transferência internacional de dados pessoais só é permitida para países que proporcionem grau de proteção de dados pessoais adequado ao previsto na Lei, ou quando houver comprovadas garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos no mesmo texto normativo.
Sanções em caso de descumprimento da lei
- Advertência com prazo para adoção de medidas corretivas.
- Multa simples, de até 2% do faturamento da empresa, grupo ou conglomerado no Brasil, limitada a R$ 50 milhões por infração.
- Multa diária, observado o limite total de R$ 50 milhões.
- Publicizac?a?o da infração.
- Bloqueio dos dados pessoais a que se refere a infração até a sua regularização.
- Eliminação dos dados pessoais a que se refere a infração.
Como visto, há uma revolução silenciosa em curso. As empresas devem iniciar um processo de adaptação desde já visando evitar dissabores, exposição pública, pesadas multas ou até mesmo o aumento dos gastos com processos judiciais, posto que os direitos dos titulares dos dados podem ser exercidos perante o órgão regulador que deve ser criado (a criação prevista no projeto original foi vetado pelo presidente Temer) mas também perante os órgãos de defesa do consumidor ou judiciário. As empresas despreparadas serão talvez as protagonistas involuntárias de uma nova onda de corrida aos Procons.
* Fernando Santiago é sócio fundador de Chenut Oliveira Santiago Advogados. Doutor e mestre em Direito Público Econômico pela Université de Paris 1 Panthéon-Sorbonne, exerce suas atividades no Brasil e na Europa representando empresas brasileiras em assuntos relacionados à proteção de dados pessoais junto à Commission Nationale de l’Informatique et des Libertés (CNIL)
Fonte: Consultor Jurídico (ConJur)