Lei de nº 13.709/2018 que trata da proteção de dados, sancionada em agosto de 2018, estabelece regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo mais proteção aos consumidores e penalidades para empresas que não estejam em compliance com a legislação.
O foco da legislação está na proteção de dados pessoais coletados por empresas públicas e privadas na internet. Em síntese, o novo regulamento traz novas diretrizes para a coleta e compartilhamento dos dados. A diretriz principal está embasada no prévio consentimento do titular para qualquer tipo de ação.
A nova lei que entraria em vigor em agosto de 2020 mas, que pela Medida Provisória nº 959/2020 foi prorrogada para 03 de maio de 2021, tem como objetivo regulamentar o tratamento e dados pessoais pelas empresas, uma vez que os dados pessoais ganharam grande importância na economia moderna, pois, permitem fazer projeções, analisar perfis de consumo, opinião, entre outras atividades, atingindo todas as instituições que gestam banco de dados pessoais.
A LGPD disciplina a forma como as empresas, independentemente do tamanho e segmento, deverão efetuar o tratamento de dados de pessoas físicas, tanto no meio digital quanto no convencional. A entrada em vigor da lei de proteção de dados pessoais causará verdadeira transformação na atividade das empresas, de escritórios de advocacia e de órgãos públicos.
Muitas organizações públicas e empresas coletam, armazenam e processam dados de cidadãos, clientes e usuários. Em linhas gerais, essas informações referem-se aos dados pessoais de cadastro ou até mesmo textos e fotos publicadas em redes sociais.
Conforme a legislação, toda e qualquer informação relacionada a uma pessoa que seja “identificável” é considerado um dado pessoal. Além disso, foi criada uma categoria especial, classificada como dados “sensíveis”. Esse grupo contempla registros de raça, opiniões políticas, crenças, condição de saúde e características genéticas.
As organizações precisarão se adequar à LGPD, uma vez que se incorrerem em vazamentos de dados, ainda que de forma acidental estarão sujeitas a diversas penalidades. Para tanto, é fundamental que as organizações mapeiem os dados pessoais; identifiquem quais são as portas de entrada e de saída; os locais em que estão armazenados; se existem dados pessoais sensíveis e implementem políticas de segurança da informação e de proteção de dados pessoais.
Cada vez mais, nossas vidas estão na internet: fotos, vídeos, família, endereço, números de cartões de créditos e contas bancárias, conversas íntimas, entre outros. Desse modo, é cada vez mais frequente a exposição de dados em larga escala, mostrando as fragilidades de sistemas e protocolos, permitindo, assim, que algumas pessoas recebam, até mesmo, ameaçadas veladas e anônimas. Pessoas jurídicas, outrossim, podem ser prejudicadas, uma vez que seus CNPJs, endereços, logomarcas e telefones estão abertamente disponíveis ao público.
Com esse novo marco regulatório, fica expressamente proibido que qualquer empresa transmita dados pessoais sem consentimento expresso dos titulares. Como consequência da LGPD, fica proibido ceder ou vender informações de contato de clientes, por exemplo. Além disso, está proibido até mesmo o uso dos dados por parte da própria empresa para uma finalidade diferente daquela que foi combinada com o cliente.
Dentre os direitos do titular de dados estão o de requerer o acesso às informações que uma empresa tem sobre ele; ser informado sobre a finalidade, a forma e o processamento e compartilhamento dos seus dados; requisitar a correção de um dado incompleto; solicitar eliminação de registros desnecessários; permitir a portabilidade para outro provedor de serviço; e, determinar a revisão de uma decisão automatizada baseada em seus dados.
A empresa precisará solicitar o consentimento do usuário de forma clara e em cláusula específica. Por exemplo, se uma empresa coleta um dado para uma finalidade, deve obter uma nova permissão caso mude o propósito da utilização destes dados. As empresas também terão como principal obrigação a garantia de segurança dos dados.
As empresas poderão ser responsabilizadas tanto por acessos não autorizados como a qualquer outra forma de vazamento. No caso de algum incidente em relação à segurança de algum dado, a empresa é obrigada a comunicar ao titular e ao órgão competente.
Adequar-se às novas exigências da LGPD será uma obrigação inexcusável para todas as companhias, desde as micro às grandes empresas.
Independente da motivação, o processo de adequação à legislação de Proteção de Dados não é simples e requer um conjunto multidisciplinar de competências para que possa ser levado a cabo com sucesso: é necessária a abordagem jurídica para a correta interpretação da legislação e suas implicações, o enfoque consultivo para a revisão e adequação dos processos de negócio e o conhecimento técnico em aspectos relacionados a Tecnologia e Segurança da Informação para orientar as implementações necessárias nesta seara.