A Lei Geral de Proteção de Dados (LGPD), Lei Federal nº 13.709, de 14 de agosto de 2018, entrou em vigor no Brasil no mês de setembro e obriga as empresas e órgãos públicos a terem políticas apropriadas para o recebimento, privacidade, uso, fornecimento, compartilhamento, retificação e até eliminação dos dados das pessoas físicas, em papel ou em meios digital.
A ideia central é proteger a privacidade das pessoas, cujos dados vinham sendo utilizados indiscriminadamente e até vendidos livremente, sem o mínimo pudor, sem ética. Regras similares já existem em mais de 130 países, inclusive na União Europeia, que desde 2018 tem um Regulamento para o uso e a proteção dos dados, visando fazer frente a muitas violações que estavam sendo cometidas. As sanções para quem descumprir a nova lei brasileira variam, de uma simples advertência até multa de R$ 50 milhões, que passam a valer a partir de agosto de 2021.
Mas, a lei deve ser implementada imediatamente nas empresas e órgãos públicos porque já existe até condenação na justiça pelo compartilhamento de dados dos clientes por uma construtora, com base na LGPD, e uma ação do Ministério Público contra um site que vendia pacote de dados até para uso político, o que sempre foi proibido.
O direito ao sigilo dos dados pessoais não é novidade em lugar nenhum e nem no Brasil, aonde a Constituição Federal, que completou no dia 5 de outubro, 32 anos, já trazia esta garantia, assim como o Código de Defesa do Consumidor (CDC), a Lei do Marco Civil da Internet, a Lei do Cadastro Positivo, o Código Civil, a Lei de Acesso às Informações, dentre muitas outras que continuam vigentes e protegem os direitos dos cidadãos contra o uso e o abuso dos seus dados.
A diferença é que agora as ações e sanções estão compiladas nesta nova Lei Geral, que criou até uma Autoridade Nacional de Proteção de Dados (ANPD) e um Conselho, para fiscalizar o uso adequado das informações das pessoas no Brasil. O consentimento, que vem a ser a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais, para uma finalidade determinada, passou a ser primordial para a coleta e o uso dos dados das pessoas. Como há uma corrida para se adaptar à nova lei, seguem algumas dicas bem básicas para você começar:
1º) Capacitação: conheça e treine os seus colaboradores sobre a LGPD. É necessário orientar empresários e equipes, advogados, jurídico, TI, auditoria, “compliance”, RH, ouvidoria, servidores, colaboradores, etc., para que saibam que devem pedir autorização para o uso de dados e tratá-los de acordo com a nova lei e para a finalidade informada ao cliente/paciente/usuário/correntista, etc. Identifique pessoas/equipe para cuidar desse assunto em sua empresa. A própria lei prevê os agentes de tratamento dos dados: o controlador, que pode ser uma pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais; o operador, uma pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador; e, o encarregado (Data Protection Officer ou DPO): que será uma pessoa indicada pelo controlador e pelo operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), que já foi criada pelo Governo Federal e deve atuar em breve.
2º) Levantamento dos dados: você pode fazer os relatórios de impactos, o mapeamento do fluxo de dados pela pessoa que administra, mapear os seus sistemas, por onde trafegam, como são guardados e compartilhados os dados, avaliando quais mudanças devem ser realizadas para a implementação da nova lei. Vale levantar as perguntas a serem respondidas pelas equipes: Quais são os dados armazenados? Onde estão? Quem usa? Qual a finalidade? Necessitam de consentimento? Quem é o responsável pelos dados? Quem está envolvidos nesse processo? Quem são as pessoas nas empresas que vão cuidar dos dados?
3º) Limpeza de dados: descarte o que não é necessário e o que não pode ser justificado, porque quanto mais dados, maior o risco e o esforço para protegê-los e para buscar o necessário consentimento. Esta etapa deve ser feita com o responsável legal ou com uma comissão especial para análise de documentos e prazos, para analisar o tempo e a necessidade de guarda dos dados e como deve ser feito o descarte, para que não haja outras responsabilizações pela eliminação sem cuidados, que possa expor os dados da pessoa natural que lhe confiou as informações;
4º) Autorização: prepare um termo formal para utilização de dados, informando ao titular como vai usá-los, para qual propósito. Explique que para atender a nova lei de proteção de dados, você precisa do consentimento expresso da pessoa, que a qualquer momento pode pedir os dados, a retificação e a eliminação. Vale ainda rever os contratos, para colocar uma cláusula de privacidade, confidencialidade, proteção e tratamento de dados;
5º) Proteção e Privacidade dos dados: Avaliar a segurança dos dados que restaram após a limpeza e implementar ações, políticas, comitês, planos, programas, planejamento, tudo para garantir a sua proteção e o monitoramento, com segurança física, lógica, controles de acesso, rastreabilidade, etc.
6º) Gestão dos dados: Implementar processos de gerenciamento, governança e funções para responder demandas de usuários, clientes e órgãos de controle. Deve ser permitido que o titular do dado consinta expressamente o uso específico dos seus dados, que possa retificá-los, que sejam excluídos dos sistemas e bancos quando solicitado e que seja informado sobre o término da utilização. Lembre-se que dados não podem ser compartilhados ou vendidos sem a autorização do titular, que é a pessoa detentora do direito ao sigilo e à privacidade.
Proteja a sua atividade, pública ou privada, evite exposições indevidas, multas e processos. Sorria, você agora está sendo monitorado pelo seu cliente!
Acesse a LGPD na íntegra:
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm