Acaba de entrar em vigor a Lei Geral de Proteção de Dados (LGPD) aprovada pelo senado em agosto de 2020 e sancionada pelo atual presidente Jair Bolsonaro. Trata-se de uma norma federal que objetiva trazer segurança jurídica aos dados pessoais que são compartilhados na internet, estabelecendo regras e obrigações sobre a coleta, armazenamento, tratamento e compartilhamento de dados.

O então projeto de lei sancionado em 2018 pelo ex-presidente Michel Temer tinha previsão para entrada em vigor no mês de agosto deste ano, todavia, a medida provisória 959/20 adiou a sua vigência. Recentemente, o Senado aprovou a retirada do artigo 4º da MP 959/20, que previa esse adiamento, restando apenas a sanção presidencial para que a nova lei entrasse em vigor. Vale mencionar que o início da aplicação das sanções previstas para aqueles que não se adequarem à lei está previsto apenas para agosto de 2021.

O objetivo principal da lei é assegurar que os dados dos usuários como nome, RG, CPF, gênero, data de nascimento, endereço de IP, cookies e histórico de buscas não sejam compartilhados de forma imprudente entre as empresas sem o conhecimento e o consentimento dos usuários.

Além desses dados mais comuns, outros dados sujeitos a cuidados ainda mais específicos são aqueles considerados como sensíveis (que revelam origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical, questões genéticas, biométricas, saúde e vida sexual) e os que são relacionados a crianças e adolescentes.

Com a vigência da LGPD, a aplicação de penas para quem compartilhar informações de terceiros ilegalmente será mais definida. As empresas que não cumprirem os protocolos de segurança de dados dos usuários serão passíveis de multa e os usuários que sofrerem vazamentos de dados poderão ser indenizados.

A lei também garante ao usuário o direito de revogar o acesso aos seus dados, pedindo que os registros sejam deletados, cabendo punição em caso de descumprimento.

Uma grande influência para a criação da LGPD foi o Regulamento Geral de Proteção de Dados da União Europeia, sendo que, no Brasil, até então, não havia legislação específica sobre o tema. Entende-se que a nova lei irá preencher as lacunas dos diplomas legais que regulamentam o uso de dados no país hoje.

Um dos principais pilares da lei trata da questão das bases legais, as quais podem ser conceituadas como princípios que devem ser seguidos pelas empresas para que possam realizar qualquer operação com dados pessoais.

A LGPD elenca uma lista de dez princípios que as organizações devem seguir quanto ao tratamento de dados, são eles: finalidade e adequação, necessidade, transparência, não discriminação, consentimento, legítimo interesse e contrato.

Logo, acumular dados sem saber o que será feito com eles vai contra os princípios da LGPD e as empresas que utilizarem esses dados sem possuir bases legais adequadas cometerão uma prática ilegal.

A lei ainda detalha os papéis de quatro diferentes agentes: o titular, o controlador, o operador e o encarregado.

O titular é o usuário a quem se referem os dados pessoais. O controlador é a pessoa física ou jurídica que coleta os dados e define a forma e finalidade que eles serão tratados. O operador é a empresa ou pessoa que realiza o tratamento e processamento de dados pessoais sob as ordens do controlador. E o encarregado é a pessoa indicada pelo controlador que atua como canal de comunicação entre as partes (controlador, os titulares e a autoridade nacional).

A fiscalização das normas será feira pela Autoridade Nacional de Proteção de Dados (ANPD).

As empresas terão 18 meses para se adequar às novas exigências e entrar em conformidade com a lei, dados tratados tanto nos meios físicos como nos digitais estão sujeitos à regulação.

Nessa adequação, será necessário alterar a gestão dos arquivos e contratar especialistas em segurança da informação. Entre as exigências da LGPD está a criação do cargo de DPO (Data Protection Officer), um profissional que deve ficar inteiramente responsável pela segurança dos dados (de funcionários e de terceiros fora da organização). Uma das atribuições desse profissional será prestar contas à ANPD com o envio de relatórios sobre os impactos da proteção dos dados.

Por fim, a LGPD traz transformações importantes referente à privacidade do indivíduo e novas medidas que empreendedores terão que implementar em suas organizações, impondo mais proteção aos usuários e penalidades às empresas que não cumprirem as medidas protetivas.

Tatiane Dias

Controladoria Jurídica