Nova Lei Geral de Proteção de Dados (LGPD)
Adriana CansianSócia e Diretora da Resh Cyber Defense
Doutoranda pela Faculdade de Direito da USP
Especialista em Direito Digital e Eletrônico pela Escola Paulista de Direito
Membro da Comissão de Direito Digital e Compliance da OAB/SP
Mestre em Estudos Linguísticos pelo IBILCE/UNESP
Licenciada em Letras pelo IBILCE/UNESP
Consultora da área de Educação Digital do Comitê Gestor da Internet do Brasil
Colunista da rádio CBN Grandes Lagos
Em que consiste e quais os principais objetivos da Lei Geral de Proteção de Dados (LGPD)?
O espírito da LGPD é, fundamentalmente, o de preservar a privacidade e os direitos fundamentais do titular dos dados, no que diz respeito à sua privacidade e intimidade. Em outras palavras, todas as empresas que coletam dados de seus clientes/usuários terão como obrigação legal informar a finalidade para a qual estes dados estão sendo coletados, oferecer garantias de boas práticas no âmbito da segurança da informação, evitando um possível vazamento e, além disso, a possibilidade de esses dados serem excluídos a qualquer tempo, sem que, para isso, o titular precise de uma justificativa específica.
Quais serão as principais mudanças, para as corporações brasileiras, a partir da implantação da nova lei?
Todas as empresas, independentemente do segmento em que atuam, deverão adequar técnica e documentalmente toda a cadeia de coleta, armazenamento e tratamento dos dados, de acordo com as obrigações previstas na lei, indicando para isso um responsável por esta atividade dentro da instituição. Salienta-se, ainda, que as empresas que tem negócios com cidadãos de países pertencentes à União Europeia precisam também se preocupar com a transferência internacional dos dados pessoais, respeitando a legislação sobre a matéria vigente nos países que compõe este bloco europeu.
O que deve fazer a pessoa que tenha suas informações pessoais usadas de forma indevida? Como podemos detectar isso, já que nem todos têm conhecimento sobre a LGPD?
Quando a legislação entrar em vigor em agosto de 2020, todas as pessoas que se sentirem lesadas terão dois caminhos para reclamar seus direitos: levar o caso à autoridade Nacional de Proteção de Dados (ANPD) que acabou de ser instituída por meio da Medida Provisória 869/2018 ou discutir judicialmente o dano sofrido. Lembrando que estas duas providências não são excludentes, podem ser ambas tomadas.
Em sua opinião de especialista, era uma mudança necessária? Como isso pode impactar as experiências que temos no mundo online?
A nova legislação, certamente, refletirá nos modelos de negócios, especialmente na área de tecnologia, uma vez que os conceitos de privacy by design e privacy by default que preceituam que a segurança deve estar presente desde o início do desenvolvimento de um produto, não foram considerados pela maioria dos players de mercado. Do ponto de vista das empresas, com a nova legislação o elo de confiança melhorará consideravelmente suas relações com os clientes e do ponto de vista dos usuários/clientes o direito garantido legalmente de que suas informações pessoais não serão disponibilizadas a outros que não aqueles para quem foram autorizadas, também é motivo de tranquilidade.
Sabemos que existe um extenso debate sobre o tema desde 2010, muitos países têm como exemplo o modelo europeu - GPDR. Em que a LGPD difere desse modelo? Fale um pouco sobre sua opinião a respeito do modelo europeu e em que sentido é um caminho importante para nos espelharmos.
A nossa Lei Geral de Proteção de Dados, assim como o Marco Civil da Internet - Lei 12.965/2014 - guarda grandes semelhanças principiológicas com a legislação europeia. Obviamente que a nossa legislação observou as características de natureza prática do nosso país, incluindo as leis que já estão em vigor e que, de alguma forma, tocam em questões relacionadas à privacidade, mas de uma forma bastante objetiva podemos dizer que ambas as legislações são muito parecidas. Importante ressaltar, ainda, que não só a Europa, como também o Brasil olham para o tema da privacidade com olhos bem atentos, prova disso é que na nossa Constituição de 1988, no art. 5º, que trata dos direitos e garantias fundamentais dos cidadãos brasileiros, há mais de um inciso em que se pode encontrar se não de forma direta, indiretamente, a preocupação do legislador com a preservação da intimidade, da honra e da privacidade dos brasileiros. Isto posto, falta-nos apenas nos organizarmos melhor, sob o prisma da fiscalização, para que tenhamos a mesma efetividade que a legislação europeia tem tido.
A lei detalha os papeis de quatro diferentes agentes: o titular, o controlador, o operador e o encarregado. Pode nos dar mais informações sobre essa divisão?
O titular dos dados é o cidadão que disponibiliza suas informações pessoais para os mais diferentes objetivos ao qual a lei chama de pessoa natural. O controlador é aquele que toma as decisões referentes ao tratamento de dados, ainda que não seja ele o profissional que realizará a operação. E o operador é quem, efetivamente, trata os dados. O encarregado ou DPO, na sigla em inglês, é o profissional responsável pela comunicação entre o titular dos dados, a empresa e a autoridade Nacional. Dois esclarecimentos se fazem necessários aqui: a legislação europeia também explicita a necessidade de todos esses profissionais e o tratamento de dados, segundo a lei em seu art. 5º, inciso X, refere-se a toda e qualquer operação em que o dado é manipulado, ou seja, classificado, reproduzido, arquivado, controlado, dentre outras situações que a lei enumera.
Qual o prazo para que as empresas brasileiras se adaptem? Como podem ser punidas em caso de descumprimento?
Com a publicação da MP 869/2018, o prazo para a entrada em vigor foi alterado, passando para 24 meses, ou seja, agosto de 2020. Este período que chamamos de vacatio legis, que vai da data da sanção à data de entrada em vigor da lei, é fundamental para que todas as empresas se adaptem às novas exigências, visto que para cada vazamento de dados ou qualquer infração que contrarie a norma legal está prevista uma multa a partir de 2% do faturamento bruto da empresa, respeitando o limite de 50 milhões de reais.
Que instruções você deixaria para as empresas que precisam se adequar à nova lei? É importante procurar ajuda especializada?
Todas as empresas que desejarem permanecer no mercado a partir de agosto de 2020 precisam se readequar para atender às novas exigências legais. Para tanto, é necessária a orientação de profissionais especializados, tanto da área da segurança da informação, quanto de advogados que conheçam a matéria. Tempo para essa readequação há, basta que haja investimento!