A Lei Geral de Proteção de Dados entrou em vigor em 18 de setembro de 2020, estabelecendo uma série de regras para empresas e organizações que atuam no Brasil. A partir dessa data, todos os usuários passam a ter o direito de saber como as organizações coletam, armazenam e utilizam seus dados pessoais. Assim, é muito importante que as empresas demonstrem o seu compromisso com a adequação do tratamento de dados pessoais, visto que ela é aplicável a todos os setores da economia.
Resumo do texto informativo:
- Panorama Internacional da LGPD
- Contexto brasileiro
- Qual é o objetivo da LGPD?
- Qual é o órgão fiscalizador?
- Valores da multa por infração?
A Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709/2018) é uma norma brasileira que regula o tratamento de dados de pessoas naturais. De acordo com a LGPD, os dados pessoais são informações capazes de identificar uma pessoa e o tratamento destes dados representa qualquer operação que os envolvem, como a sua coleta, uso, transmissão, compartilhamento, arquivamento e exclusão.
A Lei representa o esforço mundial para que se tenha maior segurança sobre as informações e privacidade de dados das pessoas naturais, sendo o seu objetivo permitir que o cidadão tenha mais controle sobre o tratamento de suas informações pessoais.
Panorama Internacional
O tema de proteção de dados pessoais parece ser novo, mas não é tão recente assim, tendo em vista que a primeira lei que tratou sobre o tema surgiu na Alemanha, ainda em 1970, em pleno século XX.
A partir daí, o debate se expandiu, até que, em 2012, surge na Europa o GDPR (General Data Protection Regulation), ou o Regulamento Geral sobre a Proteção de Dados.
Esta lei, que entrou em vigor em 2018 e passou a regular todo o tratamento de dados pessoais da União Europeia e influenciou outros países a criarem seus próprios regulamentos, inclusive o Brasil, em sua Lei Geral de Proteção de Dados – LGPD.
Em 2013, Edward Snowden, ex-técnico da CIA, divulgou diversos esquemas de espionagem por parte dos EUA, relatando um uso mal-intencionado de dados pessoais. Tal caso teve uma repercussão muito grande e, no âmbito brasileiro, acelerou a criação do Marco Civil da Internet, que buscou regular o uso da internet e em menor escala proteger os dados pessoais.
Em razão da entrada em vigor da Lei europeia, a GDPR, e do escândalo da Cambridge Analytica, muitas empresas brasileiras precisaram se adequar para esta nova realidade, resultando no aumento da pressão pela aprovação da LGPD.
Contexto Brasileiro
No Brasil, as políticas públicas de proteção de dados pessoais passaram a ter certa importância a partir de 2010, quando ocorreu a primeira consulta pública sobre o tema.
Neste período surgiram algumas leis, como a Lei de Acesso à Informação (Lei nº 12.527/2011) e a Lei Carolina Dieckmann (Lei nº 12.737/2012), relacionadas ao acesso à informação e à criminalização da obtenção de dados pessoais através de aparelhos eletrônicos.
Em 2014, o Marco Civil da Internet entrou em vigor, reforçando o direito à privacidade na Internet. No entanto, não trouxe exatamente a mesma proteção que a LGPD nos proporciona hoje.
A partir de 2015, as discussões sobre o tema ganharam mais espaço no Brasil: período em que foi realizada uma segunda consulta pública que viria a ser a base de diversos projetos de lei.
Por fim, em 2018, o escândalo da Cambridge Analytica e a entrada em vigor da GDPR influenciaram para que a LGPD fosse aprovada ainda em agosto deste ano.
Criação da LGPD
A Lei Geral de Proteção de Dados passou por um longo processo de criação no Congresso Nacional e, também, por grande debate entre os mais diversos setores da sociedade.
Todo esse debate teve como objetivo assegurar aos usuários o direito de saber como seria realizado o consentimento, uso e tratamento de seus dados.
Publicada em 14 de agosto de 2018, logo após a entrada em vigor da GDPR na Europa, a LGPD passaria a valer, inicialmente, após 18 meses da data de sua publicação.
No entanto, a aprovação da LGPD passou por mudanças significativas durante todo o processo de debate para sua validação. Muitos entendiam que havia a necessidade de um tempo maior para que as empresas e instituições conseguissem se adequar às inovações trazidas pela Lei, o que gerou constantes debates.
A Lei 13.853, de 8 de julho de 2019, prorrogou a entrada em vigor da LGPD por mais 6 meses, ou seja, para agosto de 2020, porém as sanções administrativas só poderiam ser emitidas a partir de agosto de 2021, conforme previu a Lei 14.010/20.
Qual é o objetivo da LGPD?
A Lei Geral de Proteção de Dados (13.709/2018) tem como principal objetivo proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Também tem como foco a criação de um cenário de segurança jurídica, com a padronização de regulamentos e práticas para promover a proteção aos dados pessoais de todo cidadão que esteja no Brasil, de acordo com os parâmetros internacionais existentes.
A lei define o que são dados pessoais e explica que alguns deles estão sujeitos a cuidados ainda mais específicos, como os dados pessoais sensíveis e dados pessoais sobre crianças e adolescentes.
Para além disso, a Lei destaca que todos os dados tratados, tanto no meio físico quanto no digital, estão sujeitos à regulação, estabelecendo que não importa se a sede de uma organização ou o centro de dados dela estão localizados no Brasil ou no exterior: se há o processamento de informações sobre pessoas, brasileiras ou não, que estão no território nacional, a LGPD deve ser observada.
A lei autoriza o compartilhamento de dados pessoais com organismos internacionais e com outros países, desde que observados os requisitos nela estabelecidos.
Consentimento
Na LGPD, o consentimento do titular dos dados é considerado elemento essencial para o tratamento, com exceções previstas na própria lei, trazendo várias garantias ao cidadão, como: poder solicitar que os seus dados pessoais sejam excluídos; revogar o consentimento; transferir dados para outro fornecedor de serviços, entre outras ações.
O tratamento dos dados deve ser feito levando em conta alguns requisitos, como finalidade e necessidade, a serem previamente acertados e informados ao titular, para que o consentimento seja dado de forma legítima.
Quem fiscaliza?
Para fiscalizar e aplicar penalidades pelos descumprimentos da LGPD, o Brasil conta com a Autoridade Nacional de Proteção de Dados Pessoais, a ANPD. A instituição terá as tarefas de regular e de orientar, preventivamente, sobre como aplicar a lei.
No entanto, não basta a ANPD (Lei nº 13.853/2019) e é por isso que a Lei Geral de Proteção de Dados Pessoais também prevê a existência dos agentes de tratamento de dados e estipula suas funções, nas organizações, como: o controlador, que toma as decisões sobre o tratamento; o operador, que realiza o tratamento, em nome do controlador; e o encarregado, que interage com os titulares dos dados pessoais e a autoridade nacional.
Com relação à administração de riscos e falhas, o responsável por gerir dados pessoais também deve redigir normas de governança; adotar medidas preventivas de segurança; replicar boas práticas e certificações existentes no mercado; elaborar planos de contingência; fazer auditorias; resolver incidentes com agilidade, com o aviso imediato sobre violações à ANPD e aos indivíduos afetados.
As falhas de segurança podem gerar multas de até 2% do faturamento anual da organização no Brasil – limitado a R$ 50 milhões por infração. A autoridade nacional fixará níveis de penalidade segundo a gravidade da falha e enviará alertas e orientações antes de aplicar sanções às organizações.
