Lei geral de proteção de dados
O que é a Lei Geral de Proteção de Dados?
- A Lei Geral de Proteção de Dados (Lei 13.709/18 ou LGPD), é uma Lei que veio para regulamentar os procedimentos a serem adotados em relação à privacidade e proteção dos dados pessoais. Teve sua entrada em vigor alterada de fevereiro para agosto de 2020 por meio da MP 869/18. Quem está no escopo da lei? Ou seja, quais são as empresas que deverão se adequar? Toda a pessoa natural, ou jurídica de direito público ou privado que, em suas atividades realize tratamento de dados, tanto em meios digitais como físicos. Há contudo, as exceções previstas no art. 4º da Lei “Esta Lei não se aplica ao tratamento de dados pessoais: I – realizado por pessoa natural para fins exclusivamente particulares e não econômicos; II – realizado para fins exclusivamente: a) jornalístico e artísticos; ou b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei; III – realizado para fins exclusivos de: a) segurança pública; b) defesa nacional; c) segurança do Estado; ou d) atividades de investigação e repressão de infrações penais”.
O que é considerado tratamento de dados?
Toda a operação realizada com dados pessoais: coleta, armazenamento, processamento, arquivamento, transmissão, utilização, acesso, compartilhamento. Dentre os demais contidos no inciso X do artigo 5º da LGPD: ” produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração; Quais serão as sanções para quem não estiver em conformidade? As sanções não serão aplicadas pela não conformidade, mas sim pela ocorrência de incidente de segurança (vazamento de dados). Nesse caso, para quem não cumprir as regras previstas na Lei, as sanções são as previstas no artigo 52 da Lei: Advertência, com indicação de prazo para adoção de medidas corretivas; Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total a 50.000.000,00 (cinquenta milhões) por infração; Multa diária, observado o limite total acima; Publicização da infração após ser apurada e comprovada a ocorrência do incidente; Bloqueio dos dados pessoais a que se refere a infração até a sua regularização; Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados; Eliminação dos dados pessoais a que se refere a infração. Lembrando que além de destas sanções no âmbito administrativo, a empresa poderá vir a sofrer processo judicial, onde o usuário poderá requerer indenizações por eventuais danos morais ou materiais, a depender do impacto que o incidente de segurança trouxe para a vida do usuário. Ex: dados relacionados à saúde, orientação sexual, utilização de dados de cartão de crédito por meio de fraude, etc.. Importante referir que as sanções somente serão aplicadas após procedimento administrativo que possibilite a ampla defesa.
Quem fiscalizará?
O poder de fiscalização será da ANPD (Autoridade Nacional de Proteção de Dados), órgão com autonomia técnica para editar normas e procedimentos para a proteção de dados pessoais e com de fiscalização para a aplicação de sanções.
Qual o prazo para adequação?
A Lei passará terá a sua entrada em vigor no dia 16/08/2020. Entretanto, tramita hoje a PL nº 5.762/2019, proposta pelo deputado Carlos Bezerra, onde este requer o adiamento da entrada em vigor da Lei para Agosto de 2022, sob o argumento de que somente uma pequena parcela das empresas brasileiras teria iniciado o processo de adequação à LGPD, tendo em vista que segundo uma pesquisa realizada, apenas 17% estariam tomando iniciativas concretas de adequação à LGPD, o que pra ele justificaria a prorrogação da entrada em vigor da legislação.
Como se adequar à Lei Geral de Proteção de Dados?
O processo de conformidade à LGPD demandará: além do mapeamento de todo o fluxo de dados pessoais dentro da empresa; a revisão de contratos com os parceiros comerciais e fornecedores para que também busquem a conformidade com a LGPD, bem como com os demais envolvidos na relação empresarial com a companhia (aqui também compreendida a relação contratual com colaboradores); adoção de novas políticas internas e externas, bem como de mecanismos eficazes de controle para a proteção dos dados dos quais a empresa detém o controle, aqui compreendida a segurança da informação.
Lembramos que o Plano de Adequação não é estático, que ele está sempre se modificando conforme as atividades da empresa (crescimento da base de dados, novos projetos, contratações, demissões e etc..)