Você já conhece a nova lei de proteção de dados (LGPD)?
Sancionada em 14 de agosto de 2018, a partir do Projeto de Lei da Câmara 53/2018 — que altera ainda o Marco Civil da Internet
(lei nº 12.965, de 2014) — ela estabelece regras para a proteção e tratamento de dados pessoais no ambiente virtual.
A necessidade de homologação de uma lei como essa no Brasil se deu, principalmente, pela ampliação de conceitos como Big Data e Analytics, além de já existir uma legislação semelhante em outros países da América Latina, como Chile, Argentina, Costa Rica, Colômbia, Uruguai e Peru.
No geral, a Lei Geral de Proteção de Dados é inspirada na General Protection Regulation (GDPR), instituída na União Europeia, e se assemelha a essa em diversos pontos. Então, quer saber o que essa nova lei muda na sua vida e como as empresas precisam se adequar a ela? Continue a leitura deste post!
O que são dados pessoais?
Basicamente, chamamos de pessoais os dados lançados em meios digitais — como nome, endereço físico, endereço eletrônico, idade, status de relacionamento, por exemplo — que podem ser compartilhados de forma indiscriminada por outras pessoas ou empresas, com intuito comercial e sem a permissão do usuário.
Trata-se de informações pessoais, que devem ser resguardadas para a manutenção da sua integridade. Em especial, elas podem ser usadas para viabilizar a discriminação, já que declaram eventualmente as orientações sexuais, origens étnicas ou convicções políticas e religiosas das pessoas.
Quando entra em vigor a nova lei de proteção de dados?
A Lei Geral de Proteção de Dados é válida para qualquer tipo de atividade empresarial, governamental ou pessoal em todo o território brasileiro, bem como para estrangeiros que ofereçam bens ou serviços oferecidos ao Brasil. Ela vigora em 18 meses a partir da data de sanção — tempo indispensável para a correta adequação das empresas, governos e da sociedade, em geral.
Quais aspectos das empresas mudam com a nova lei de proteção de dados?
Criação da Autoridade Nacional de Proteção aos Dados (ANPD)
Da mesma forma que a europeia GDPR, a LGPD estabelece dois agentes principais para o tratamento de dados. Esta divisão ocorre principalmente em função da realidade digital brasileira, em que nem sempre as decisões são de responsabilidade da mesma pessoa que trata os dados:
- o controlador — quem decide sobre os dados, ainda que não os trate diretamente;
- o operador — aquele que trata efetivamente as informações, ainda que não possa interferir sobre as decisões relacionadas a elas.
Além disso, assim como o Data Protection Officer (DPO), função instituída pela lei europeia, a LGPD cria uma figura para se encarregar do tratamento dos dados pessoais. Indicado pela própria empresa, deve ser um indivíduo que estabelecerá a conexão entre a organização, os titulares dos dados e a Autoridade Nacional responsável por monitorar o uso dessas informações. Essa pessoa deverá ainda:
- orientar os colaboradores da empresa em relação às práticas necessárias à devida proteção da informação;
- prestar esclarecimentos aos usuários;
- receber comunicados da Autoridade Nacional;
- tomar as providências cabíveis caso haja alguma intercorrência.
Consentimento do usuário para coletar informações pessoais
Outra mudança importante se relaciona à coleta dos dados. Anteriormente à lei, a busca e o armazenamento de informações ocorria de forma indiscriminada; agora, com a sanção, isso só poderá ser feito quando a sua finalidade estiver explícita ao usuário.
Assim, além de essa a coleta ser feita somente quando alguns requisitos específicos forem preenchidos — principalmente quanto ao consentimento do titular dos dados — o seu uso, compartilhamento e reutilização ficam restritos ao interesse legítimo dos responsáveis pelo tratamento, ou ao benefício dos próprios usuários.
Notificação em caso de incidentes
Além disso, será preciso garantir a segurança desses dados, de forma a impedir acessos desautorizados e garantir proteção contra qualquer tipo de vulnerabilidade que possa resultar em vazamento. Caso essa segurança dos dados pessoais seja violada, a nova lei de proteção de dados dispõe que o controlador comunique à Autoridade Nacional e ao titular dos dados essa ocorrência.
Entre outras informações, deve ser indicado:
- a natureza dos dados afetados;
- os riscos relacionados ao incidente;
- as medidas adotadas pela empresa para reverter ou mitigar os prejuízos.
Quais são as obrigações dos governos?
Aos governos, cabe a responsabilidade pela segurança das informações em seus bancos de dados, principalmente para inibir a transferência aos setores privados — exceto em atividade pública, prevista na Lei de Acesso à Informação, ou quando os dados já forem públicos.
Quais serão os direitos adquiridos pelos usuários?
O usuário ou titular dos dados (coletados, armazenados, tratados ou disseminados) terá o direito de solicitar, a qualquer momento, o acesso total às suas informações pessoais, relacionado à forma, finalidade e prazo de uso. Além disso, deve ser informado quanto ao motivo do compartilhamento desses dados com outra empresa ou governo e pode requisitar a correção de uma informação incompleta ou eliminar registros desnecessários ou excessivos.
A portabilidade desses dados para outro provedor de serviço também é um direito do usuário — mudança que será muito significativa para aumentar a qualidade dos serviços prestados pelas empresas. Será possível ainda requerer a revisão de decisões automatizadas, ou seja, o tratamento de dados de forma classificatória com o intuito de conceder ou retirar benefícios aos usuários. Um exemplo disso é a concessão de empréstimos baseada em análise feita por computadores.
Crianças com idade de até 12 anos, por terem informações com nível mais crítico, terão garantias mais específicas: sua coleta será sujeita à restrições mais rígidas e condicionada à autorização de, pelo menos, um dos seus responsáveis. Já a transferência das informações pessoais de brasileiros para outros países deverá respeitar duas condições:
- o país de destino deve ter um grau de segurança da informação similar ao do país de origem;
- a empresa que recebe os dados deve oferecer garantias de correto cumprimento dos mesmos requisitos estabelecidos pela LGPD.
Quais são as formas de punição pelo descumprimento da lei?
O descumprimento da lei, decorrendo em violação da confidencialidade e integridade dos dados e resultando em dano relevante aos titulares, deverá ser comunicado imediatamente pelo controlador à Autoridade Nacional e ao proprietário dos dados.
Assim, as empresas responsáveis por esses danos arcarão com multas de até 2% do seu faturamento total — desde que não ultrapasse 50 milhões de reais. A punição de suspensão parcial ou total das atividades de negócio não foi instituída pela lei, como foi discutido no projeto inicial.
Enfim, como podemos ver, ao garantir aos usuários a segurança de seus dados e a correta punição das empresas e governos que não assumirem essa responsabilidade, a nova lei de proteção de dados será benéfica aos negócios realizados no Brasil. Afinal, as empresas poderão expandir suas atividades de forma global sem desrespeitar o compliance exigido por outros países — o que, além de um serviço melhor, significa novas oportunidades de negócios.
Então, gostou do nosso artigo? Agora que já sabe quais são os principais aspectos da Lei Geral de Proteção de Dados, que tal conhecer uma empresa que realmente respeita a integridade da informação dos seus clientes? Entre em contato com a SVLabs e conheça nossas soluções!