A Lei Geral de Proteção de Dados Pessoais – LGPD (Lei 13.709/2018) dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Antes do advento da LGPD, o tema proteção de dados pessoais no Brasil não possuía norma específica – mas era abordado em legislação esparsa, como o Código de Defesa do Consumidor, a Lei Complementar nº 105/2001 (“Lei do Sigilo Bancário”), o Marco Civil da Internet e a Lei do Cadastro Positivo, dentre outras.
A LGPD teve como grande fonte de inspiração da GDPR – General Data Protection Regulation – a lei de proteção de dados pessoais da União Europeia, vigente desde 2018 em substituição às Diretrizes de 1995.
A Lei Geral de Proteção de Dados Pessoais prevê, dentre seus principais pontos, o conceito de “dados pessoais”, o que inclui o nome, sobrenome, endereços de residência, e-mail e IP, registros de identificação (RG, CPF, etc.), dados geolocacionais (dados acerca da localização do indivíduo e seu respectivo histórico), histórico de navegação (também conhecidos como “cookies”), bem como outros dados que permitem a identificação e individualização do titular. Além disso, estabelece o conceito de “dados sensíveis”, que, em razão do conteúdo, recebem tratamento especial, a exemplo dos dados de caráter racial, étnico, religioso, filosófico, político, sexual, biométrico e genético, bem como aqueles relacionados à saúde e à intimidade.
A Lei traz também estabelece princípios gerais de proteção de dados pessoais e direitos aos titulares, bem como hipóteses em que se permite a coleta, tratamento, uso e compartilhamento de dados por terceiros, inclusive estrangeiros, como por exemplo pelo expresso consentimento do titular, por força de obrigação legal, por ordem judicial, administrativa ou arbitral ou para proteção do crédito, respeitados os limites legais.
Há, ainda, a criação da Autoridade Nacional de Proteção de Dados (ANPD) – órgão regulador específico para fiscalizar o uso de dados pessoais e a definição das responsabilidades decorrentes do vazamento de dados e das penalidades aplicáveis em caso de descumprimento, incluindo a aplicação de multa correspondente a 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a 50 milhões de reais.
A LGPD, além da proteção de dados dos titulares, visa estabelecer maior segurança jurídica às atividades econômicas que fazem uso de dados pessoais. Leis semelhantes existem ao redor do mundo e a promulgação desta lei no Brasil garante maior competitividade do país em relação a investimentos estrangeiros de localidades que prezam por tais direitos. Há, ainda, em trâmite a Proposta de Emenda à Constituição 17/2019 (PEC 17/2019) que visa alterar a Constituição Federal para incluir a proteção de dados pessoais entre os direitos e garantias fundamentais e para fixar a competência privativa da União para legislar sobre proteção e tratamento de dados pessoais.
Em virtude da pandemia da COVID-19, em 2020, a LGPD teve sua entrada em vigor prorrogada para 03/05/2021 pela Medida Provisória nº 959, de 29/04/2020. Após votação da Medida Provisória na Câmara dos Deputados, o Senado declarou prejudicada a análise da matéria da prorrogação da LGPD, uma vez que já havia sido avaliada na mesma sessão legislativa – no bojo da Lei 14.010/2020 – caso em que a reavaliação seria considerada inconstitucional, conforme julgamento a respeito havido no STF. Sem apuração pelo Senado, o artigo 4º da MP 959/2020 não fez parte do projeto de conversão da Medida Provisória em Lei, não tendo sido mantidas quaisquer das datas propostas para a prorrogação da LGPD. A sanção presidencial do PLV 34/2020 se deu em 17/09/2020 – convolando a referida MP na Lei 14.058/2020.
Assim, desde 16 de agosto de 2020, encontra-se em vigor a Lei Geral de Proteção de Dados Pessoais no Brasil.
Importante pontuar que as disposições relativas a sanções administrativas, que podem incluir desde advertências e multas, até suspensão ou proibição do exercício de determinadas atividades, entrarão em vigor em 01/08/2021, por força da Lei nº 14.010/2020.
Entretanto, desde a entrada em vigor da lei, pode haver medidas administrativas (por exemplo, de órgãos da defesa do consumidor, conjugando as previsões da LGPD com outras, existentes no Código de Defesa do Consumidor) ou condenações judiciais para reparação civil com base nas previsões da LGPD. Assim, recomendamos fortemente a adequação das empresas às suas disposições.
Por fim, vale mencionar que foi publicado, em 27/08/2020, o Decreto 10.474/2020 para aprovar a Estrutura Regimental e o Quadro Demonstrativo dos Cargos em Comissão e das Funções de Confiança da Autoridade Nacional de Proteção de Dados. Em virtude da não-aprovação do Senado da prorrogação da LGPD, o Executivo se pronunciou para dar norte à ANPD, tendo em vista que sua ausência – considerando-se que, apesar de criada em julho de 2019 pela Lei 13.853, ainda não foi completamente instituída. Tal fato preocupa a comunidade jurídica, uma vez que a LGPD traz dezenas de pontos que dependem de regulamentação pela ANPD.
A implementação da LGPD nas empresas dependerá de várias iniciativas técnicas, jurídicas, administrativas e de tecnologia da informação, tais como:
- Criar time multidisciplinar: papéis e responsabilidades, governança, políticas, poder decisório;
- Realizar treinamento específico a pessoas chave na organização que realizarão o data mapping;
- Realizar data mapping e risk assessment: identificação dos dados, mapeamento, análise dos dados, matriz de riscos, realização de testes;
- Gerir o histórico dos dados e informações: criação ou revisão do programa de retenção;
- Atualizar a documentação interna (políticas, contratos, declarações) conforme legislação aplicável: LGPD, questões regulatórias do setor, GDPR e demais normas internacionais.
- Contratar ou alterar as apólices de seguros atendendo às necessidades da privacidade de dados pessoais: D&O, ciberterrorismo, etc
- Realizar treinamento geral a todos os empregados da organização;
- Gerir os parceiros (prestadores de serviços, fornecedores, etc): cláusulas específicas em contratos, renegociações, eventuais rescisões;
- Verificar contratos de trabalho e controles de RH: promover eventuais alterações, melhorar controle de dados e acessos;
- Formular plano de resposta em caso de descumprimentos ou vazamentos;
- Monitorar e auditar, por auditoria interna e/ou externa, os aspectos de privacidade de dados pessoais;
- Criar modelo específico à empresa de relatório de impacto: descrição dos dados, metodologia para coleta e garantia de segurança das informações, medidas, salvaguardas, mecanismos de mitigação de riscos;
- Verificar e tomar outras eventuais medidas que se façam necessárias.
Nosso escritório está à disposição para auxiliá-los na implementação das medidas necessárias para adequação à Lei Geral de Proteção de Dados Pessoais (LGPD).