Esse é o assunto do momento, e por isso vamos tratá-lo de forma simples para que o empresário saiba o que deve e pode fazer agora.

Afinal, por que o empresário deve se preocupar e implantar a LGPD?

Antes de tudo se faz necessário demonstrar algumas situações bem conhecidas de todos nós: a ligação de uma operadora oferecendo planos, uma imobiliária oferecendo imóveis, ou até mesmo uma financeira oferecendo empréstimos facilitados sem que a pessoa tenha o menor interesse. Com isso vem a dúvida: como eles conseguiram os meus dados?

Sim, alguém enviou para eles, e não só isso, alguém obteve lucros vendendo dados para essas empresas.

A Lei Geral de Proteção de Dados Pessoais, nº 13.853, de 2019, conhecida como LGPD, foi criada para estabelecer e garantir direitos para os titulares dos dados, os protegendo contra irregularidades como as citadas acima. Ou seja, o uso dos dados pessoais das pessoas, sem o devido consentimento ou finalidade específica permitida na lei.

Para entender um pouco melhor como o assunto é delicado, vejamos um breve histórico sobre a proteção de dados pessoais no Brasil:

Uma das primeiras citações referente à proteção de dados no Brasil foi em 1988, no artigo 5º inciso X, da Constituição Federal:

“X – São invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação.”

Mais tarde, em 1996 foi incluído o inciso XII que relata:

“XII – é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal;”.

Relacionados aos direitos do consumidor, em 1990 a lei Nº 8.078, conhecida como Código de Defesa do Consumidor, já citava alguns direitos do consumidor, agora os titulares na LGPD:

“Art. 43 O consumidor, sem prejuízo do disposto no art. 86, terá acesso às informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre as suas respectivas fontes.

(…)§ 2° A abertura de cadastro, ficha, registro e dados pessoais e de consumo deverá ser comunicada por escrito ao consumidor, quando não solicitada por ele.

§ 3° O consumidor, sempre que encontrar inexatidão nos seus dados e cadastros, poderá exigir sua imediata correção, devendo o arquivista, no prazo de cinco dias úteis, comunicar a alteração aos eventuais destinatários das informações incorretas.”.

Mais tarde, tivemos o Decreto 7.962/2013 explicando que o fornecedor deve utilizar mecanismos de segurança para pagamento e tratamento de dados do consumidor em ambiente de comércio eletrônico.

À medida que a tecnologia e o uso dos dados na internet crescem, as regulamentações atuam para proteção do uso inadequado destes dados.

Assim, após diversos problemas de vazamentos de dados e de falta de regulamentação específica para o uso da internet, foi criado em 2014 o Marco Civil da Internet, que trouxe diversos direitos e deveres para os usuários.

Neste ínterim, com a extrema velocidade e evolução de tecnologias ligadas aos bancos de dados pessoais, a Europa preocupada com o que poderia acontecer (e já estava acontecendo), criou em maio de 2018 a GDPR – General Data Protection Regulation.

Logo, por questões de relações comerciais, o Brasil se viu obrigado a adequar-se à GDPR, bem como a criar sua própria lei, nascendo então LGPD – Lei nº 13.709, de 14 de agosto de 2018.

Todavia, infelizmente, o início da vigência da lei no Brasil se deu de forma pouco convencional devido à algumas indecisões no poder legislativo, vejamos:

❏      A medida provisória que posterga alguns itens da lei, passa a valer assim que for apreciada pela Presidência e obter a sanção ou o veto.

❏      Contudo a mesma medida provisória não posterga as exigências de atendimento dos direitos do titular, que podem continuar exercendo seus direitos conforme o artigo 18, a partir de setembro de 2020.

❏      Ademais, a medida aprovada pelos senadores e aguardando a sanção, posterga as multas previstas em lei no artigo 52, 53 e 54 para dia 01 de agosto de 2021.

Na iminência da lei entrar em vigor, ainda existem lacunas que deverão ser preenchidas pelo órgão fiscalizador da adequação nas empresas à lei, a Agência Nacional de Proteção de Dados(ANPD), órgão que teve sua hierarquia sancionada dia 27/08/2020, data relativamente atrasada, pois a ANPD precisa definir diversas diretrizes pendentes, o que nos traz enorme insegurança jurídica.

Com todas as determinações impostas para as empresas que coletam dados, na lei chamadas de controladores, surge o desafio da adequação dos processos para atender tais exigências.

Portanto, se a sua empresa ainda não tomou certas providências, seguem algumas que devem ser implantadas o quanto antes, independente da sanção ou veto presidencial:

❏      Controles organizacionais;

❏      Normas e políticas de privacidade;

❏      Atualização da política de segurança da informação;

❏      Ferramentas de controle de solicitações de titulares;

❏      Mapeamento de riscos de privacidade de dados;

❏      Termos de ciência de funcionários;

❏      Controle de solicitações de titulares;

❏      Conscientização geral. A sua empresa deve implantar treinamentos e eventos que tragam conhecimento relacionado a dados pessoais, segurança da informação e a importância do papel de cada um dentro da organização. 

Curitiba, 1º de setembro de 2020.

Luana de Sá Bodon – Advogada especialista em Direito Empresarial, LLM (Legal Law Master) pela FGV e Pós Graduação em Direito Digital e Tecnologia pela FAE Business School.

Luís Guilherme Ribeiro – Analista de Segurança da Informação| Membro ANPPD®| Analista de Proteção de Dados Pessoais – Especialista em Auditoria e Segurança da Informação pela Universidade Positivo e Pós Graduação em Direito Digital e Tecnologia pela FAE Business School

Repost FACIAP: https://site.faciap.org.br/blog/post/4803/LGPD-e-o-Impacto-na-Atividade-Empresarial