A Lei Geral de Proteção de Dados - LGPD - Lei nº 13.709 de agosto de 2018 dispõe sobre o tratamento de dados pessoais nos meios físicos e digitais, com o intuito de proteger os direitos fundamentais de liberdade e de privacidade, bem como, o livre desenvolvimento da pessoa natural. A Lei nº 13.853 de 08 de julho de 2019 alterou dispositivos da LGPD.
Neste artigo, pretende-se indicar a importância da implementação da LGPD e como deverá ser feita implementação da referida lei pelas empresas.
Noções gerais sobre a LGPD
A LGPD estava prevista para entrar em vigor em agosto de 2020. Conforme já delimitado em artigos anteriores publicados no Instituto de Direito Real, surgiram diversos Projetos de Lei alguns anteriores e outro posterior à pandemia com o objetivo de adiar a produção dos efeitos da lei indicada.
Argumenta-se que as empresas não estão preparadas para a LGPD e que a Autoridade Nacional de Proteção de Dados - ANPD ainda não foi efetivamente criada. No momento atual torna-se mais do que necessário efetivar a criação da ANPD e a entrada em vigor da lei indicada, uma vez que discute-se sobre o uso e o compartilhamento de dados pessoais no enfrentamento da doença COVID-19.
Entretanto, a Medida Provisória nº 959 de 29 de abril de 2020 prorrogou a vacatio legis para 03 de maio de 2021. Sabe-se que a utilização das tecnologias para rastrear as pessoas e coletar os dados biológicos para conter a disseminação da doença do novo coronavírus COVID-19 pode trazer resultados positivos. Contudo, o referido uso dos dados pode representar risco para os cidadãos, para a intimidade, para a privacidade e para o Estado Democrático de Direito.
Dessa forma, a produção de efeitos da LGPD não deveria ter sido adiada, tendo em vista que a lei indicada objetiva trazer mais segurança e transparência para o tratamento de dados. A ANPD também deveria ser criada o mais rápido possível, já que a ANPD é responsável por diversas orientações, pela regulamentação de pontos essenciais da lei, entre outros.
Qual a importância da LGPD?
A LGPD é considerada importante marco legislativo brasileiro, que coloca o País em posição de igualdade com diversos países. Muitos Estados já possuem legislação sobre o tema, que determina como as empresas deverão executar o tratamento de dados.
A LGPD atende ao disposto no inciso III, do artigo 3º, da Lei nº 12.965 de 23 de abril de 2014 – Marco Civil da Internet, que estabelece princípios, garantias, deveres e direitos para o uso da internet no Brasil, boa-fé, finalidade, segurança, adequação, necessidade, livre acesso, transparência, não discriminação, entre outros.
Pode-se dizer que os diversos casos de vazamentos de dados pessoais em âmbito nacional e internacional motivaram a criação de lei específica sobre o tema.
Salienta-se que não só as grandes empresas estão sujeitas às disposições da LGPD. As pequenas e as médias empresas que realizarem a coleta de qualquer tipo de dado pessoal sobre qualquer cidadão brasileiro estão sujeitas à LGPD. A coleta de dados pode ser tanto no meio digital quanto no físico.
O artigo 3º da LGPD dispõe sobre a aplicabilidade da lei e o artigo 4º indica os casos em que a LGPD não se aplica.
A LGPD objetiva garantir mais seriedade das organizações ao lidarem com os dados e as informações pessoais de qualquer cidadão desde a coleta, o armazenamento, o processamento e a exclusão do dado.
As empresas que desrespeitarem a LGPD estarão sujeitas a diversas penalidades, como “multa simples de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração”, nos termos do art. 52, II, da LGPD.
Como implementar a LGPD?
O primeiro passo para implementar a LGPD na empresa é estudar a Lei Geral de Proteção de Dados e compreender quais são os principais objetivos da lei indicada, entre eles, a proteção à privacidade, à liberdade; assegurar a transparência e garantir a segurança jurídica.
Em seguida deve-se identificar quais são os agentes envolvidos - titular, controlador, operador e encarregado, nos termos do art. 5º, V, VI, VII e VIII, da LGPD. Além disso, deve-se identificar quais dados são essenciais, verificar como foram coletados – se teve consentimento e para quais finalidades têm sido utilizados, bem como, mapear a entrada, o tratamento dos dados pessoais de pessoas físicas e os riscos de tratamento; realizar um diagnóstico da infraestrutura de Tecnologia da Informação - TI da empresa.
Outro ponto importante é elaborar a política de privacidade, em que deverá explicar ao titular dos dados como os dados coletados serão tratados e qual a finalidade; garantir o consentimento, que pode ser feito através de termo de consentimento para tratamento de dados pessoais, que deverá ser lido pelo indivíduo, que se manifestará em concordância ou não sobre a coleta e o tratamento de dados - “Li e aceito os termos de uso”.
Ressalta-se que o consentimento pode ser revogado a qualquer momento pelo titular por manifestação expressa, nos termos do art. 8º, da LGPD.
Outrossim, os dados devem ser criptografados e deve ser elaborado o termo de confidencialidade, para garantir que as informações fiquem protegidas; além de elaborar uma política de retenção e de descarte dos dados pessoais coletados; registrar as operações de tratamento de dados; definir um responsável na empresa pela gestão e pelo controle de dados conhecido como Data Protection Officer.
O Data Protection Officer fica encarregado de auxiliar a empresa a se adaptar às disposições da LGPD, com o intuito de estruturar um programa de compliance, para assegurar maior segurança da informação que estiver sob seu cuidado. Brevemente, pode-se dizer que compliance é estar em conformidade com a legislação.
Destaca-se que a empresa precisa realizar um treinamento com os seus funcionários sobre as políticas de privacidade e os fundamentos da LGPD, uma vez que o dia a dia das empresas será afetado com a nova lei e todos precisam estar preparados para desempenhar as atividades respeitando as disposições da LGPD.
Embora a produção de efeitos da LGPD tenha sido adiada, as empresas devem buscar estar em conformidade com a Lei Geral de Proteção de Dados o quanto antes.
Para tanto, é importante que busquem a assessoria de profissionais de TI e de advogados (as) conhecedores da temática de Proteção de Dados Pessoais, que podem auxiliá-los a implementar a LGPD, com o propósito de resguardar a organização contra acusações de irregularidades e garantir a prestação de serviço com transparência e com respeito à privacidade e à liberdade.