Publicações

Veja Também

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

Como a Lei de Proteção de Dados Influenciará a Vida das Pessoas e Empresas

Em compasso com a dinâmica mundial para regulamentação dos dados pessoais, em 14 de fevereiro de 2020, entrará em vigor a Lei 13.709/18 denominada LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS e, por esta razão, se faz necessário entender o impacto na vida das pessoas e também nas empresas que serão afetadas com a nova obrigação de proteger os dados das pessoas em qualquer formato, inclusive no meio digital.

O objetivo da lei é estabelecer o conceito de dados e regulamentar como as informações pessoais devem ser protegidas e tratadas pelas pessoas físicas ou jurídicas de direito público ou privado que de alguma forma acessam ou obtém os dados de seus clientes, usuários ou de terceiros.

O dado pessoal é entendido como um conjunto de informações que individualiza e identifica a pessoa natural e deverá a partir da entrada em vigor da lei ser objeto de tratamento em conformidade com regras claras de proteção, sigilo e armazenamento das informações, utilizando-se novos instrumentos tecnológicos para que este patrimônio imaterial não seja exposto ou utilizado indevidamente.

O primeiro limite se refere à utilização dos dados pessoais de acordo com a finalidade específica para a qual foi coletada e mediante o consentimento do titular, isto é, a coleta de dados pela empresa precisa apresentar um propósito específico e útil, além de ser compatível com a utilidade da empresa receptora, excluindo-se as informações suplementares com propósitos abusivos, ou seja, prestigiar a ideia da coleta mínima.

Para as pessoas, titulares dos dados, os principais direitos em resumo são:

  1. ter direito à confirmação da existência de tratamento, entende-se tratamento como toda a operação realizada com dados pessoais a exemplo de: coleta, produção, recepção, utilização, reprodução, transmissão, distribuição, processamento, arquivamento, modificação, comunicação, transferência, difusão, dentre outros.
  2. ter direito ao acesso e correção aos seus dados armazenados;
  • anonimização (o dado anonimizado é relativo ao titular que não possa ser identificado);
  1. portabilidade;
  2. eliminação dos dados após o término do tratamento;
  3. informação a respeito do compartilhamento de dados;
  • possibilidade de receber informação sobre não fornecer o consentimento e suas consequências;
  • revogação do consentimento;

As empresas, por sua vez, deverão adotar medidas de segurança e governança, cuja obrigação afetará todo e qualquer negócio que obtenha, acesse ou armazene dados pessoais. São exemplos de requisitos legais a serem observados: a prova do consentimento pelo titular, autorizando o tratamento de seus dados pessoais para uma finalidade determinada; dever de proteger os dados coletados, transparência e prazo de armazenamento; política restritiva de compartilhamento de dados; a presença da figura do operador, pessoa responsável na companhia pelo tratamento dos dados pessoais. Por fim, deverão ser estabelecidas as medidas de controle e segurança do banco dados, assim como a sistematização da proteção dos dados com instrumentos para mitigar riscos aos titulares.

É vedado o compartilhamento de dados sensíveis, assim entendidos os dados pessoais relativos à raça ou étnica; convicção religiosa; opinião política; saúde; enfim dados que revelem opções e opiniões pessoais.

A exceção é compartilhamento pelos órgãos públicos dos dados destinados às políticas públicas nos termos da lei (artigo 11, II, "b"), porém sempre tratado de acordo com uma finalidade pública e no cumprimento de competências legais do serviço público.

Para tanto, haverá fiscalização pela Agência Nacional de Proteção de Dados (ANPD) a ser instituída pelo Governo a partir da vigência da lei, além do próprio Poder Judiciário que atua na composição de conflitos decorrentes da norma específica e que fixará entendimentos conforme os litígios sobre o tema chegar aos Tribunais.

As penalidades aplicáveis pela inobservância da lei vão desde a advertência até a multa simples e diária que pode atingir o limite de R$ 50.000.000,00 (cinquenta milhões de reais) por infração, ou ainda bloqueio e eliminação dos dados pessoais.

Sob o ponto de vista de responsabilidade civil, há também a previsão do dever de indenizar a pessoa que suportar dano patrimonial ou moral por violação da legislação de proteção de dados, facultando ao Juiz inverter o ônus da prova em favor do titular, de modo a recair sobre a empresa o ônus de comprovar em juízo que observou a legislação e não foi responsável pelo alegado dano.

A norma inova também ao determinar a responsabilidade solidária entre o operador (quem realiza o tratamento de dados pessoais em nome do controlador) e o controlador (a quem competem as decisões sobre o tratamento de dados pessoais) pelos danos causados quando aquele descumprir as normas de proteção de dados ou não seguir com as instruções lícitas do controlador.

Mas na prática o que as empresas da iniciativa privada devem fazer?

  1. Estudo interno para revisar as rotinas na coleta de dados e implementar instrumentos de proteção dos dados, inclusive com programas de computador, bem como adoção de medidas de segurança para: a.1) controle de acessos às informações; a2) salvaguarda dos bancos de dados; a3) combate contra invasão, perda ou vazamento de informações;
  2. Avaliação jurídica das potenciais responsabilidades dependendo do tipo de atividade empresarial, com elaboração de contratos e documentos legais para proteção da empresa, além de orientação jurídica para adequação à lei (compliance);
  3. Desenvolvimento de projeto de proteção de dados com sistema de mitigação de riscos, emissão de relatórios e práticas de governança corporativa;
  4. Designação de um líder para organização de todas as atividades da empresa ligada aos dados pessoais dos clientes e de terceiros, responsável inclusive pela gestão e acompanhamento deste segmento dentro da corporação.
  5. Revisão da forma de comunicação e troca de informações entre a empresa e os titulares de dados pessoais fornecidos (transparência).
  6. Treinamento da equipe de colaboradores para divulgação das novas práticas, implicações jurídicas e responsabilizações pessoais.

Em suma, este avanço legislativo é salutar pois, eleva o Brasil a um patamar de boas práticas e de segurança jurídica neste assunto, favorecendo as relações comerciais e institucionais com outros países. Também, não se pode olvidar que este regramento é primordial para proteger o cidadão que é alvejado negativamente de diversas formas por meio do uso indevido de seus dados pessoais sejam eles bancários, de opinião, sexo ou raça, tanto no âmbito individual quanto coletivo.

Para compreender a importância deste assunto, podem ser relembrados os grandes casos que ganharam repercussão nacional com o vazamento de dados nas empresas como: Netshoes e Uber, nas quais houve divulgação pública de vazamento de dados dos consumidores, assim como os correntistas do Banco Inter que foram afetados pelo vazamento de suas informações.(fonte://www1.folha.uol.com.br/tec/2019/01/relembre-os-principais-vazamentos-de-dados-de-brasileiros-em-2018.)

A divulgação e esclarecimento sobre esta lei é de suma importância para conhecimento geral e possibilidade de adequação das empresas para observância das novas regras já em 2020.

Remo Higashi Battaglia – Advogado. Sócio Fundador do Battaglia & Pedrosa Advogados. Pós-graduado em Direito Tributário pela PUC e em Direito Societário pela FGV. Especialista em Gestão Estratégica de Projetos – INSPER/SP e Negociação (Program on Negotiation) – Harvard Law (Cambridge USA).

WhatsApp chat