Quando foi sancionada a Lei de Proteção de Dados da União Europeia, diversas empresas tiveram que se adaptar às novas regras. E não foram só empresas europeias, mas todas as empresas do mundo que tratavam dados ou prestavam serviços para pessoas daquele bloco econômico, sob pena de sofrerem multas ou perderem contratos, tendo em vista a aplicação extraterritorial da lei.
Dessa forma a Lei Geral de Proteção de Dados Brasileira sofreu uma grande pressão e influência da regulação europeia, não apenas para a sua aprovação, mas também ganhou uma redação muito parecida à GDPR. E ontem, terça-feira (14 de agosto), o Presidente Michel Temer sancionou a Lei Geral de Proteção de Dados Brasileira, que passará a valer em 18 meses.
A indústria 4.0 é caracterizada por ser uma economia movida a dados, e, dessa forma, existindo no Brasil uma Lei que protege e regulamenta o tratamento de dados, eleva o país a um patamar diferenciado perto daqueles que ainda não possuem uma legislação com esse teor.
Além de fomentar o desenvolvimento econômico e tecnológico, a LGPD abre caminhos para que as empresas brasileiras possam processar dados de países estrangeiros que exigem um nível de proteção de dados adequados, e oferece uma proteção maior aos direitos fundamentais de liberdade e privacidade.
A LGDP possui aplicação extraterritorial e vale para todos os setores da economia, tanto no âmbito público quanto privado, online e offline.
O que são dados pessoais?
A lei define como sendo dados pessoais, informações relacionadas à pessoa natural identificada ou identificável. Como por exemplo, nome e apelido, endereço residencial, endereço eletrônico, CPF, RG, CNH ou outro, dados de localização, endereço de IP, dados obtidos por um hospital ou médico, que permitam identificar uma pessoa de forma inequívoca.
Também é mencionado dentro do regulamento os dados sensíveis, que devem receber tratamento diferenciado, e são dados pessoais referentes a origem racial ou étnica, convicção religiosa, opinião política, a filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Consideram-se os dados pessoais obtidos em qualquer tipo de suporte (papel, eletrônico, informático, som, imagem, etc.).
Um diferencial que é trazido pela LGPD são os dados anonimizado, que são os relativos a um titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. E assim não serão considerados dados pessoais para os fins da Lei, salvo quando a anonimização puder ser revertida.
O que é tratamento de dados:
Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Possibilidades de tratamento de dado pessoais:
– Consentimento expresso pelo titular. Essa solicitação deve ser feita de maneira clara ao titular para que o mesmo saiba quais os dados serão coletados e qual a finalidade.
– Cumprimento de obrigação legal ou regulatória pelo controlador, que é a pessoa a quem competem as decisões referentes ao tratamento de dados pessoais;
– Administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas;
– Realização de estudos por órgão de pesquisa sem a individualização da pessoa;
– Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual é parte o titular, a pedido do próprio titular dos dados;
Nos contratos de adesão, quando o tratamento de dados pessoais for condição para o fornecimento de produto ou serviço, o titular deverá ser claramente informado.
– Para pleitos em processo judicial, administrativo ou arbitral;
– Para a proteção da vida ou da integridade física do titular ou terceiro;
– Para a tutela da saúde, com procedimento realizado por profissionais da área ou por entidades sanitárias;
– Para a proteção do crédito nos termos do Código de Defesa do Consumidor;
Sobre o tratamento:
A atividade de tratamento de dados pessoais deverá observar os seguintes princípios: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas.
Referente aos dados sensíveis, será necessário garantir sua máxima proteção e os mesmos serão utilizados de maneira mais restrita, jamais utilizados para fins discriminatórios. A lei pontua em quais situações os dados pessoais sensíveis poderão ser tratados.
Dados de crianças devem ser tratados com o consentimento dos pais.
Toda e qualquer atividade de tratamento de dados pessoais deve ser registrada, desde sua coleta até a sua exclusão, indicando quais os dados que serão coletados, sua finalidade, tempo de retenção e práticas de segurança.
A Lei ainda obriga a possibilidade de opções para o usuário visualizar, corrigir, bloquear ou eliminar dados desnecessários e, ainda, de anonimização.
A transferência internacional de dados deve observar se os países ou organizações internacionais proporcionam o mesmo grau de proteção de dados pessoais que a LGPD prevê.
O consentimento pode ser revogado a qualquer momento.
Vazamento e término do tratamento:
Caso ocorra o vazamento ou falhas de segurança que comprometam dados pessoais dos usuários, o controlador deverá comunicar à autoridade nacional e ao titular a ocorrência, em tempo hábil, afim de tomar as medidas necessárias e evitar risco ou dano relevante ao titular.
Os agentes evolvidos no tratamento de dados podem ser solidariamente responsabilidades por incidentes de segurança da informação e/ou uso indevido e não autorizado de dados, ou pela não conformidade com a lei.
Os dados pessoais deverão ser eliminados após o término de seu tratamento, autorizada a conservação apenas para cumprimento de obrigação legal do controlador; estudo por órgão de pesquisa; transferência a terceiros, desde que respeitados os requisitos de tratamento; e uso exclusivo do controlador, vedado o seu acesso por terceiros e desde que anonimizados os dados.
Multas:
Nos casos em que os agentes de tratamento de dados descumprirem a lei, ficarão sujeitos a sansões administrativas que vão desde advertências até uma multa equivalente a 2% do seu faturamento, limitada a R$ 50 milhões.
Cabe ressaltar que a lei previa a possibilidade de suspensão das atividades da empresa, porém essas punições foram vetadas, assim como foram vetados os artigos que tratavam sobre criação da Autoridade Nacional de Proteção de Dados, algumas regram que impediam o compartilhamento de informações entre órgãos públicos e privados, bem como o uso compartilhado de banco de dados entre diferentes esferas do setor público.