A Lei 13.709, também conhecida como Lei Geral da Proteção de Dados – LGPD, entrará em vigor em 2020 e muitas empresas ainda precisam se adaptar a essa regulamentação. O objetivo da lei é regulamentar o tratamento de dados pessoais dos clientes e usuários dos serviços ou produtos de uma empresa. A lei brasileira foi baseada na regulamentação da União Europeia com a diferença de que a LGPD contempla as mesmas responsabilidades para empresas públicas. As empresas que não se adequarem as exigências estão sujeitas a multas e sanções.
Nos últimos anos os escândalos envolvendo dados pessoais compartilhados online se tornaram bastante comum. Isso motivou a discussão no cenário internacional sobre como proteger dados, ou pelo menos punir os responsáveis pelo compartilhamento antiético desses dados. Somado a isso, temos a questão das empresas tradicionais estarem atuando mais enfaticamente com negociações online e a emersão de grandes empresas que funcionam completamente no mundo digital.
A União Europeia já possui desde 1995 uma Lei de Privacidade, mas essa não contempla especificamente a troca de dados pela internet. Em 2018, entrou em vigor no Bloco o Regulamento Geral de Proteção de Dados com o objetivo de proteger os dados pessoais diante do cenário online. No Brasil, alguns casos também foram polêmicos e em 2018 a Lei de Proteção de Dados foi sancionada pelo presidente Michel Temer.
O que é tratamento de dados?
Entendem-se por tratamento de dados todo o processamento de um dado inserido por um cliente ou usuário. Esse processamento pode englobar a coleta, classificação, utilização, acesso, reprodução, distribuição, armazenamento, compartilhamento até sua eliminação.
O que muda na forma como os dados são processados nas empresas?
As empresas brasileiras têm até agosto de 2020 para se adaptar e criar políticas que garantam a segurança dos dados dos clientes, sejam esses dados processados por elas mesmas ou por terceiros.
Por isso é importante fazer um diagnóstico das suas políticas internas e a avaliação das políticas de seus fornecedores de serviços de TI. No quadro de funcionários da empresa torna-se obrigatório a figura do controlador – que é quem toma as decisões sobre o tratamento dos dados, do operador – quem as coloca em prática e do encarregado – que é a ponte entre o controlador, o indivíduo dono dos dados e a agência reguladora.
Não há uma obrigação, mas um diferencial para gerir essas políticas é ter um compliance que também atue em práticas digitais. Ou seja, definir as normas e políticas internas, treinar seus funcionários sobre a nova lei e auditar se suas diretrizes internas estão sendo cumpridas.
O texto da lei é bem claro sobre a proteção de dados, dando ênfase a fatores mais sensíveis como origem racial e étnica, convicções religiosas, opiniões políticas, filiações a sindicatos ou organizações religiosas, filosóficas e políticas, dados sobre à vida sexual, genéticos ou biométricos. Basicamente a LGPD determina que os clientes/usuários devem ter conhecimento sobre como será feito o tratamento dos seus dados.
Toda e qualquer mudança na forma do tratamento dos dados deve ser imediatamente comunicada aos clientes/usuários. Além disso, o cliente também pode solicitar a qualquer tempo que os seus dados sejam excluídos da base da empresa.
As informações sobre o tratamento de dados que os clientes/usuários terão o direito de saber são:
- Finalidade do tratamento do dado;
- Forma e duração do tratamento;
- Identificação e informações de contato do controlador;
- Sendo o caso, informações sobre o uso compartilhado dos dados;
- Responsabilidade e obrigações das pessoas envolvidas com o tratamento;
- Direitos que os titulares dos dados possuem.
Para a fiscalização do cumprimento da LGPD foi criado o ANPD – Agência Nacional de Proteção de Dados, com características de uma agência reguladora. Ela ficará submissa à presidência da República nos primeiros anos e deve se tornar uma autarquia, com atuação independente.
As penalidades para quem infringir a nova lei são advertência, multa simples de até 2% do faturamento estando limitada à R$50 milhões por infração. As punições seguem com multas diárias, publicização da infração após apuração e confirmação da ocorrência, bloqueio dos dados a que se refere à infração até a sua regularização e eliminação dos dados pessoais referente à infração.
Agora é o momento para as empresas analisarem como administram o tratamento de dados e principalmente buscarem especialistas. A contratação de softwares e a aplicação de compliance dentro da empresa pode ser determinante para se adaptar a nova Lei Geral de Proteção de Dado.