Muitas vezes confundida com Segurança da Informação, a Proteção de Dados, diferente disso, é na verdade um conjunto de normas e procedimentos, técnicos e jurídicos, com o objetivo de proteger a coleta, o uso e o tratamento de dados pessoais na Internet e fora dela, para que não sejam usados para fins indevidos ou explorados sem consentimento do dono.
A lei vem para tratar da proteção de dados de pessoas naturais (PF) e harmonizar e unificar as mais de 45 leis federais, de diversos setores, que tratam do tema. No caso de Empresas (PJ) os remédios corretos seriam as leis de direito autoral e propriedade intelectual.
O impacto da lei se dará em todos os segmentos da economia. Saúde, educação, finanças, serviços, indústria, todos os setores, de uma forma ou outra serão impactados.
Elaborado em 2018, o projeto brasileiro vem na esteira de discussões sobre proteção de dados na Europa, amplamente divulgado com o avanço dos dispositivos digitais. A lei da União Europeia que protege dados pessoais entrou em vigor há mais de dois anos e aqueceu os debates no mundo todo.
No Brasil, o novo conjunto de regras passa a valer a partir desta sexta-feira (18 de setembro de 2020).
LGPD: o que é?
A Lei Geral de Proteção de Dados é a lei nº 13.709, aprovada em agosto de 2018. Ela cria normas para a coleta e tratamento de dados pessoais pelas empresas. O objetivo do projeto é assegurar a privacidade e a proteção de dados pessoais e promover a transparência na relação entre pessoas físicas e jurídicas.
O projeto garante que a coleta, o tratamento e a comercialização de dados pessoais serão feitos somente com a autorização dos titulares. Segundo o texto, o tratamento de dados pessoais pode ser realizado “mediante fornecimento de consentimento pelo titular por escrito ou por outro meio que demonstre a manifestação de vontade do titular”.
Tipos de dados
A lei se aplica a dados que podem identificar uma pessoa. Ou seja: números de telefone, características pessoais, documentos etc.
Existem ainda os dados sensíveis: aqueles que podem ser usados de forma discriminatória, como convicção religiosa, origem racial ou étnica, opinião política, filiação a sindicato e dados referentes à saúde ou vida sexual.
Há ainda outro tipo de dado, o pessoal anonimizado. São informações referentes a alguém que não possa ser identificado. Esses dados estão fora do escopo de aplicação da lei, desde que o processo de anonimização não possa ser revertido e que não sejam usados na formação de perfis comportamentais.
Os dados anônimos são importantes para as empresas que desenvolvem tecnologias como inteligência artificial e machine learning. No ano passado, por exemplo, a varejista de vestuário Hering, famosa por suas peças de roupas básicas, precisou explicar ao Idec o que fazia com os dados de reconhecimento facial que coleta em sua loja no Morumbi, em São Paulo.
Segundo a varejista, os dados passam pelo processo de anonimização e, portanto, não é possível saber quem são as pessoas que aparecem nas imagens. A ideia da companhia com a medida é captar a reação dos consumidores ao ver os produtos.
Direitos do titular: donos dos dados
Um dos objetivos do projeto aprovado pelo Senado é fazer com que os consumidores se sintam “donos” de seus dados – ou seja: aumentar o empoderamento do consumidor em relação aos seus próprios dados e o que as empresas farão com eles.
Com essa medida, o consumidor passa a ganhar alguns direitos, como perguntar às empresas quais dados elas armazenam, acessar esses dados ou até exigir que informações sejam apagadas se obtidas em desconformidade com a LGPD.
Os donos dos dados ainda podem pedir a portabilidade de suas informações para outro fornecedor. Este movimento é similar ao que pode ser feito entre empresas de telefonia e permite ao titular não só requisitar uma cópia de todos os seus dados, mas também que eles sejam fornecidos em um formato interoperável, que facilite a transferência para outros serviços, mesmo que para concorrentes.
Em seu artigo 18, a LGPD traz os direitos dos titulares de dados pessoais.
Os titulares poderão solicitar, a qualquer momento:
- Confirmação da existência de tratamento.
- Acesso aos seus dados.
- Correção de dados incompletos, inexatos ou desatualizados.
- Anonimização, bloqueio ou eliminação de dados tratados em desconformidade com a LGPD.
- Portabilidade dos dados a outro fornecedor de serviço ou produto.
- Eliminação dos dados pessoais tratados com o consentimento do titular
- Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados.
- Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
- Revogação do consentimento.
- Oposição ao tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto na lei.
- Revisão de decisões automatizadas.
A LGPD é apenas para empresas?
Não. Pessoas Físicas que coletam, manipulam e usam dados pessoais com a finalidade de prestar um serviço lucrativo, também precisam se adequar à Lei.
O que muda para as empresas?
Esse poder dado ao consumidor vai exigir uma série de adaptações para as empresas. Isso porque elas precisarão atender as demandas desses consumidores. Com isso, deverão adaptar seus sites, criando áreas dedicadas ao cumprimento de solicitações dos titulares dos dados, e mudar seus processos internos de coleta e tratamento, além de reforçar a segurança contra ataques cibernéticos que podem resultar no vazamento de informações.
Hoje, muitas empresas se utilizam do big data – a análise e interpretação de grande volumes de dados – para moldar seus produtos e serviços. É o que fazem os varejistas que atuam na internet, por exemplo. Eles coletam dados sobre o consumo dos clientes e navegação dos clientes nos e-commerces para determinar o que colocar em destaque e quais itens devem ter descontos, por exemplo. E os algoritmos são os responsáveis por essas interpretações.
Sobre isso, o texto da MP diz que “o titular dos dados tem direito a solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, inclusive de decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito, ou aspectos de sua personalidade”.
Quem trata os dados só não é obrigado a fornecer critérios e procedimentos se isso revelar segredos comerciais.
O que acontece se uma empresa não cumprir com as normas da nova Lei de Proteção de Dados Pessoais?
As corporações que violarem as diretrizes da LGPD podem receber punições, que podem variar dependendo da gravidade da infração.
As multas por não conformidade podem chegar até a 2% do faturamento da organização, limitadas a R$50 milhões. Em casos mais graves, a empresa pode sofrer penalidades como ter suas atividades suspensas, parcial ou totalmente. Além disso, a empresa ainda deve se submeter à fiscalização da Agência Nacional de Proteção de Dados (ANPD), que é responsável por controlar a atividade do tratamento das informações do país.
Essa entidade pode exigir que a empresa apresente relatórios e informações periódicas, além de aplicar sanções administrativas, como a execução de medidas corretivas, bloqueio e eliminação dos dados.
As empresas que realizam o processamento desses ativos ainda estarão sujeitas à fiscalização e eventual responsabilização pelo Ministério Público (Estadual e Federal) e Procon, que podem, inclusive, manejar ações judiciais para realizar a apuração de dados coletivos. Nestes casos, as penalizações podem ser caríssimas, já que são destinadas a indenizar toda a comunidade.
Como você pode ver, a Lei Geral de Proteção de Dados exige que todas as empresas, independente de seu setor ou tamanho, que desenvolvam atividades de captura, tratamento, compartilhamento ou fornecimento de dados adequem suas operações.
Para ajudar as empresas nessa adequação à LGPD é preciso conhecer quais medidas devem ser tomadas.
O primeiro passo para a regularização é contar com uma equipe multidisciplinar especializada nas questões jurídicas e de segurança da informação.
Em seguida, é necessário adotar políticas de governança, implementar normas de segurança, readequar processos, revisar instrumentos contratuais e realizar treinamentos com a equipe. No entanto, é crucial conhecer a realidade de cada negócio e identificar o nível atual de conformidade da empresa para ficar em total concordância com a LGPD.
Quem vai fiscalizar?
A fiscalização e a regulação da LGPD ficarão a cargo da Autoridade Nacional de Proteção de Dados Pessoais (ANPD). Este é o órgão que vai definir punições em caso de descumprimento da lei.
A ANPD também terá uma função educativa, para orientar a sociedade sobre as novas normas e mediar conflitos entre empresas e clientes. A autoridade é ligada à Casa Civil e o ministro da pasta indica seu conselho diretor.
Se você tem alguma dúvida ou quer entender melhor o novo panorama no tratamento de dados no seu segmento de atuação, entre em contato e poderemos auxiliá-lo a entender em que estágio sua empresa se encontra para se adequar à LGPD.