Lei de protecao de dados muda funcionamento de empresas brasileiras
Finalmente sancionada (em 14 de agosto de 2018), a nova Lei Geral de Proteção de Dados Pessoais brasileira (LGPD) afeta profundamente o modo de funcionamento de todas as empresas brasileiras. Não a lógica comercial, mas a de gestão das informações. Trata-se de um verdadeiro “tsunami” para as companhias que terão, a partir da promulgação e publicação de lei em comento, 180 dias para adaptar-se a uma realidade que, para a maior parte delas, lhes é totalmente estranha. Isso sem falar nos órgãos e entidades da Administração Pública, cujo modelo de gestão das informações pessoais é, salvo raríssimas exceções, muito aquém do que seria considerado “medíocre”.
Com efeito, para a maior parte das empresas e órgãos públicos brasileiros, os dados pessoais são vistos e tratados como um elemento de cunho quase “burocrático”, para não dizer banal. As informações sobre os empregados (nome, endereço, férias, salário, auxílios diversos, licenças médicas etc.) são geridas pelo RH com o auxílio de softwares pouco ou nada complexo, segundo o caso. Os contatos dos clientes (ou cidadãos) são tratados artesanalmente, normalmente para fins de envio de faturas, e-mails ou cobranças, e o histórico das compras efetivadas arquivados para fins de garantia dos produtos adquiridos.
A partir da entrada em vigor da LGPD, essa forma de gestão tende a tornar-se uma lembrança dos velhos tempos ou relatos (cases) figurando nos livros de administração.
Efetivamente, a era da informação deu origem a um fenômeno recente de produção e intercâmbio de dados em escala nunca visto na história da humanidade. Várias empresas criaram novos modelos de negócios utilizando esse “ativo”, e acumularam enorme quantidade de capital, poder e influência em tempo recorde (o Google foi criado em 1998, o Facebook em 2004). Em contrapartida, houve um movimento gradual de tomada de consciência da necessidade de se proteger esse ativo (dados pessoais) contra o seu uso indevido ou não autorizado. A Europa é, sem dúvida, onde o tema encontra-se mais maduro, regido atualmente pelo Regulamento Geral de Proteção de Dados Pessoais (GDPR).
No Brasil, a entrada em vigor da LGPD pretende criar um quadro normativo moderno, amplamente inspirado pelo Regulamento Europeu. Trata-se, entre outros objetivos, de colocar o país dentre o seleto rol de paises ou organismos internacionais que proporcionem grau de protecao de dados pessoais adequado.
Assim, foram criadas uma série de obrigações para as empresas acerca da coleta, do uso e das garantias de integridade dos dados pessoais a serem observadas, sob pena de pesadas sanções. Da mesma forma, a referida lei atribuiu direitos aos titulares dos dados pessoais que podem ser exercidos contra quaisquer empresas ou entidades públicas que detenham tais informações. Nesse sentido, se os dados pessoais se tornaram indubitavelmente um precioso ativo, eles podem dar origem, se mal administrados, a um importante passivo para aqueles que os detém.
Segue abaixo, a título ilustrativo, um resumo de alguns pontos e novidades trazidas pela nova lei de proteção de dados pessoais:
Aplicação territorial. Submetem-se à LGPD as empresas ou entidades públicas que efetuem o tratamento de dados pessoais no Brasil, que coletem dados no Brasil, ou que ofertem bens ou servicos no territorio nacional.
Cinco principais princípios a serem observados no tratamento dos dados
- Finalidade: os dados devem ser tratados para os fins específicos informados ao titular, sem possibilidade de tratamento posterior de forma incompativel.
- Necessidade (ou minimização): só devem ser coletados dados pertinentes, proporcionais e nao excessivos em relacao as finalidades pretendidas.
- Livre acesso: os titulares dos dados devem poder consultar gratuitamente a forma e a duracao do tratamento dos seus dados.
- Seguranca: os agentes de tratamento dos dados tem obrigação de adotar medidas para proteger os dados pessoais de acessos nao autorizados e de situacoes acidentais ou ilicitas de destruicao, perda, alteracao, comunicacao ou difusao.
- Responsabilizacao e prestacao de contas: os agentes de tratamento dos dados devem demonstrar a adocao de medidas eficazes e capazes de comprovar o cumprimento das normas de protecao de dados pessoais.
O consentimento para o tratamento dos dados pessoais
O consentimento passa a ser a melhor forma para legitimar o tratamento dos dados pessoais. Ele deve ser explícito e, quando solicitado no meio de um contrato comportando outros elementos, deve constar de uma cláusula separada. O consentimento pode ser revogado a qualquer momento pelo titular dos dados. Outros motivos também legitimam o tratamento dos dados pessoais (ex: Cumprimento de obrigacao legal ou regulatoria, execucao de contrato do qual seja parte o titular, estudos por orgao de pesquisa, dentre outros).
Principais direitos dos titulares dos dados
- Direito de acesso e correcao de dados incompletos, inexatos ou desatualizados.
- Direito à anonimizacao dos seus dados, bloqueio ou eliminacao de dados desnecessarios, excessivos ou tratados em desconformidade com o disposto na Lei.
- Direito à portabilidade dos dados a outro fornecedor de servico ou produto (ex: bancos, visando facilitar a abertura de contas correntes, ou seguradoras etc.).
- Direito à eliminacao dos dados pessoais tratados com o consentimento do titular.
- Direito à informacao das entidades publicas e privadas com as quais houve uso compartilhado de dados.
- Direito à revogacao do consentimento.
Transferência internacional de dados
A transferencia internacional de dados pessoais só e permitida para paises que proporcionem grau de protecao de dados pessoais adequado ao previsto na Lei, ou quando houver comprovadas garantias de cumprimento dos principios, dos direitos do titular e do regime de protecao de dados previstos no mesmo texto normativo.
Sanções em caso de descumprimento da lei
- Advertência com prazo para adocao de medidas corretivas.
- Multa simples, de ate 2% do faturamento da empresa, grupo ou conglomerado no Brasil, limitada a R$ 50 milhões por infracao.
- Multa diaria, observado o limite total de R$ 50 milhoes.
- Publicizacao da infracao.
- Bloqueio dos dados pessoais a que se refere a infracao ate a sua regularizacao.
- Eliminacao dos dados pessoais a que se refere a infracao.
Como visto, há uma revolução silenciosa em curso. As empresas devem iniciar um processo de adaptação desde já visando evitar dissabores, exposição pública, pesadas multas ou até mesmo o aumento dos gastos com processos judiciais, posto que os direitos dos titulares dos dados podem ser exercidos perante o órgão regulador que deve ser criado (a criação prevista no projeto original foi vetado pelo presidente Temer) mas também perante os órgãos de defesa do consumidor ou judiciário. As empresas despreparadas serão talvez as protagonistas involuntárias de uma nova onda de corrida aos Procons.
FONTE Conjur