De compras online a redes sociais, bancos, hospitais, escolas e teatros, hotéis e órgãos públicos, até a publicidade e a tecnologia, pode ter certeza de que a Lei Geral de Proteção de Dados Pessoais (LGPD) afeta a vida de todos os brasileiros em diferentes setores e serviços, seja no papel do indivíduo, empresa ou governo.
A Lei 13.709 foi aprovada em 2018, no governo Michel Temer e modificada em 2019. A LGPD entrou em vigor em setembro de 2020 com uma sanção originada da Medida Provisória (MP) 959/20. A nova Lei pretende criar um cenário de segurança jurídica, com a padronização de normas e práticas, a fim de promover a produção de forma igualitária dentro do país e do mundo.
Para que não haja confusões, logo de cara a Lei 13.709/2018 traz o que são dados pessoais e define que há alguns desses dados que estão sujeitos a cuidados ainda mais específicos, como os sensíveis e os sobre crianças e adolescentes, e que dados tratados tanto nos meios físicos como nos digitais estão sujeitos à regulação.
A LGPD ainda estabelece que não importa se a sede de uma organização ou centro de dados estão localizados no Brasil ou exterior: se há o processamento de conteúdo de pessoas, brasileiras ou não, que estão no território nacional, a lei deve ser cumprida. Também determina que é permitido compartilhar dados com organismos internacionais e com outros países, desde que isso aconteça a partir de protocolos seguros e/ou para cumprir exigências legais.
-
Consentimento
Esse é outro elemento importante da LGPD. O consentimento do cidadão é a base para que dados pessoais possam ser tratados, mas há exceções para isso. É possível tratar dados sem o consentimento se isso for indispensável para: cumprir uma obrigação legal, executar política pública prevista em lei; realizar estudos via órgão de pesquisa; executar contratos; defender direitos em processo; preservar a vida e a integridade física de uma pessoa; tutelar ações feitas por profissionais das áreas da saúde ou sanitária; prevenir fraudes contra o titular; proteger crédito ou atender a um interesse legítimo, que não fira os direitos fundamentais do cidadão.
-
Automação com autorização
É essencial saber que a lei traz diversas garantias ao cidadão, que pode solicitar dados que sejam deletados, revogar um consentimento, transferir dados para outro fornecedor de serviços, entre outras ações. O tratamento dos dados deve ser feito levando em conta alguns quesitos, como a finalidade e a necessidade, que devem ser previamente acertados e informados ao cidadão.
-
ANPD e a gendes de tratamento
Para a LGPD ser efetiva, o país contará com a Autoridade Nacional de Proteção de Dados Pessoais, a ANPD. Essa instituição vai fiscalizar e penalizar, caso a LGPD seja descumprida. Além disso, ela terá a tarefa de regular e orientar, previamente, sobre como aplicar a lei.
A lei também estipula agentes de tratamento de dados e suas funções nas organizações: tem o controlador, que toma as decisões sobre o tratamento; o operador, que realiza o tratamento, em nome do controlador; e o encarregado, que interage com cidadãos e autoridade nacional.
-
Gestão em foco
Outra questão que não poderia passar desapercebida é a administração de riscos e falhas. Ou seja, isso que dizer que quem gera base de dados pessoais terá que redigir normas de governança; adotar medidas preventivas de segurança; replicar boas práticas e certificações existentes no mercado. Ainda terá que elaborar planos de contingência; fazer auditorias; resolver incidentes com agilidade.
É preciso reforçar que todos os agentes de tratamento estão sujeitos à lei. Isso significa que as organizações e as subcontratadas para tratar dados respondem em conjunto pelos danos causados. As falhas de segurança podem gerar multas de até 2% no faturamento anual da organização no Brasil. A autoridade nacional fixará níveis de penalidade segundo a gravidade da fala e enviará alertas e orientações antes de aplicar sanções às organizações.
