Novas regras entrarão em vigor em agosto de
2020
A Lei
Geral de Proteção de Dados (No 13.709 de 2018) estabelece regras de coleta e
tratamento de informações de pessoas, empresas e instituições públicas, os
direitos de titulares de dados, as responsabilidades de quem processa esses
registros e as estruturas e formas de fiscalização e eventuais reparos em caso
de abusos nesta prática.
Contudo,
as novas regras só entrarão em vigor em agosto de 2020. O período de adaptação
foi definido pelos legisladores com o argumento de que os diversos atores
envolvidos precisavam de tempo para se organizarem de modo a dar conta das
exigências. Chegado ao meio deste caminho, sobram desafios para empresas,
cidadãos, órgãos públicos e autoridades regulatórias.
Cidadãos
Segundo
a norma, dados pessoais são informações que podem identificar alguém. Dentro do
conceito, foi criada uma categoria chamada de "dado sensível", informações
sobre origem racial ou étnica, convicções religiosas, opiniões políticas, saúde
ou vida sexual. Registros como esses passam a ter nível maior de proteção, para
evitar formas de discriminação. Mas quem fica sujeito à lei? Todas as atividades
realizadas ou pessoas que estão no Brasil. A norma valerá para coletas operadas
em outro país desde que estejam relacionadas a bens ou serviços ofertados a
brasileiros. Mas há exceções, como a obtenção de informações pelo Estado para
segurança pública.
Ao
coletar um dado, as empresas deverão informar a finalidade. Se o usuário
aceitar repassar suas informações, como ao concordar com termos e condições de
um aplicativo, as companhias passam a ter o direito de tratar os dados
(respeitada a finalidade específica), desde que em conformidade com a lei. A
Lei previu uma série de obrigações, como a garantia da segurança dessas
informações e a notificação do titular em caso de um incidente de segurança. A
norma permite a reutilização dos dados por empresas ou órgãos públicos, em caso
de "legítimo interesse" desses, embora essa hipótese não tenha sido
detalhada, um dos pontos em aberto da norma.
De
outro lado, o titular ganhou uma série de direitos. Ele poderá, por exemplo,
solicitar os dados que a empresa tem sobre ele, a quem foram repassados (em
situações como a de reutilização por "legítimo interesse") e para qual
finalidade. Caso os registros estejam incorretos, poderá cobrar a correção. Em
determinados casos, o titular terá o direito de se opor a um tratamento. A lei
também permitirá a revisão de decisões automatizadas tomadas com base no
tratamento de dados (como as notas de crédito ou perfis de consumo).
Fiscalização
A
fiscalização ficará a cargo da Autoridade Nacional de Proteção de Dados (ANPD).
Após vetos, uma Medida Provisória (No 869 de 2018) editada e aprovada (na forma
da Lei No 13.353 de 2019) mudando a Lei e novos vetos pelo presidente
Bolsonaro, a Autoridade perdeu poderes frente ao previsto na primeira redação
da Lei aprovada pelo Congresso em 2018. Diferentemente da versão do Parlamento,
o órgão não terá uma estrutura independente, mas ficará subordinado à
Presidência da República, com um compromisso de revisão de sua natureza
institucional após dois anos.
As
sanções também sofreram mudanças com a MP No 869. Ao fim, a Autoridade poderá
aplicar multas de até 2% do faturamento da empresa (com limite de R$ 50
milhões) e bloqueio ou eliminação dos dados relacionados a uma infração. A
suspensão parcial ou total de banco de dados de um ente que violar a Lei havia
sido prevista na Lei de Conversão da MP (No 13.353 de 2019) foi um dos pontos
vetados pelo presidente Jair Bolsonaro, que ainda passarão por análise do
Congresso Nacional.
Empresas
O
gerente executivo de política industrial da Confederação Nacional da Indústria
(CNI), João Emílio Gonçalves, relata que a entidade tem recebido empresas
preocupadas com a adaptação às exigências da lei. Muitos negócios que antes não
se percebiam como relacionados à coleta e tratamento de dados estão percebendo
seu envolvimento com essas atividades, especialmente na adoção de novos
modelos.
Empresas
de logística, exemplifica o executivo, passam a ter mecanismos de controle de
frota, o que demanda o tratamento desses registros.
"Empresas
estão olhando negócios em transformação pela possibilidade de passar a
incorporar cada vez mais serviços que dependem muito da coleta e tratamento de
dados Principalmente nas empresas líderes a gente vê uma atuação para se
adaptar à lei. As empresas de maior porte elas mais ou menos atendem, estão
mais preparadas para lidar com questão de tecnologia da informação (TI) e
segurança da informação. Já firmas menores vão ter que fazer novos
investimentos em TI. Acho que é um processo de aprendizado", comenta Gonçalves.
Segundo
a Federação Brasileira de Bancos (Febraban), as instituições financeiras também
estão se movimentando para se adaptar às obrigações da LGPD. Entre as medidas
neste sentido estão a nomeação de responsáveis pela proteção de dados, a
obtenção de consentimento dos clientes para a utilização de seus dados em
diversas finalidades, a atualização de documentos como contratos e políticas
internas, a adequação de contratos com fornecedores e a processos para
atendimento aos novos direitos dos clientes.
Para o
diretor-executivo no Brasil da empresa de segurança da informação Kaspersky,
Roberto Rebouças, há ainda muita falta de compreensão de companhias sobre a
adequação às regras da LGPD. "A sensação é que a gente tem que empresas acham
que não serão afetadas, que não tem nada de muito extraordinário. Empresas têm
funcionários, tem folha de pagamento, têm dados dos funcionários. Até mesmo um
dentista tem que tomar cuidado com vazamento de dados do cliente dele",
exemplifica.
Autoridade
Tanto
para o gerente executivo da CNI quanto para o diretor-executivo da Kaspersky, o
disciplinamento e a orientação da adequação às normas passam pela criação da
Autoridade Nacional de Proteção de Dados. É a posição também do Google.
"A Autoridade Nacional de Proteção de Dados terá um papel
fundamental para guiar a interpretação da lei e unir os objetivos de inovação e
supervisão regulatória eficaz, proporcionando transparência e confiança aos
cidadãos", ressaltou a companhia em nota enviada à Agência Brasil. Na avaliação do advogado
especialista em proteção de dados do escritório Pereira, Neto e Macedo
Associados Rafael Zanatta, a eficácia dessas funções passa pela garantia de
fato de independência técnica e funcional do órgão regulador, o que envolve a
composição da sua direção e da equipe bem como a definição de como irá atuar.
"O
desafio vai ser montar estrutura interna que demonstre funcionalidade. Pessoas
capazes de produzir a parte burocrática, estrutura de recebimento de denúncias,
investigações externas, processo administrativo, cooperação internacional.
Mesmo com possibilidade de supervisão pela Casa Civil, a autoridade deve ter
autonomia de fato", diz. Caso isso não ocorra, acrescenta, o vácuo pode ser
ocupado por outros entes, como na fiscalização e punição pelo Ministério
Público.
O
líder do Programa de Telecomunicações e Direitos Digitais do Instituto
Brasileiro de Defesa do Consumidor (Idec), Diogo Moyses, destaca que a
Autoridade terá papel fundamental de disciplinar a adequação do tratamento dos
dados à finalidade para a qual eles foram coletados e para evitar abusos em
exceções previstas na Lei, como no caso do uso de informações de saúde ou das
notas (scores) de crédito.
"No
caso das empresas avaliadoras de risco de crédito, ainda é preciso delimitar
com maior precisão quais dados podem ser utilizados e em quais circunstâncias o
score do consumidor pode ser empregado como referência para relações de
consumo. Esses são somente alguns exemplos das inúmeras tarefas que serão
reservadas à ANPD, daí a importância de ela ser criada o mais rapidamente
possível", defende Moyses.
Ele
lembra que, enquanto a lei não entra em vigor, ainda assim o cidadão pode
recorrer à legislação em vigor caso se sinta lesado, como é o caso do Marco
Civil da Internet ou do Código de Defesa do Consumidor. Essa norma assegura ao
cidadão direitos como à informação, à transparência e, de forma objetiva e a
ser informado em caso de coleta de dados do consumidor. Já o Marco Civil prevê,
na Internet, a obrigação de consentimento do usuário para a coleta de
informações sobre ele. O indivíduo também pode cobrar juntamente à Justiça ou
ao Ministério Público violações à privacidade e problemas como vazamento de
dados.
Fonte: Agência
Brasil
Gostou da matéria e quer
continuar aumentando os seus conhecimentos com os nossos conteúdos?
Assine, gratuitamente, a
nossa Newsletter Semanal M&M Flash, clicando no link a seguir:
https://www.mmcontabilidade.com.br/FormBoletim.aspx, e
assim você acompanha as nossas atualizações em primeira mão!