A Lei Geral Brasileira de Proteção de Dados (LGPD)

Por Kaio César Pedroso

Após mais de oito anos de debates junto à sociedade civil, foi sancionada aos 14 de agosto de 2018, a Lei Geral de Proteção de Dados (LGPD) brasileira, completando agora seu início de vigência em 1º de agosto de 2021.

Diante da referida sanção, o Brasil passou a contar com um nível elevado de legislação, em termos de proteção dos dados pessoais, superando o que era apenas então um estágio de tratamento setorial, em que havia diversos dispositivos abordando a temática, o que inclui o Marco Civil da Internet, o Código de Defesa do Consumidor, a Lei de Acesso à Informação, a Lei do Cadastro Positivo, dentre outros.

Em termos gerais, aqueles que são titulares de dados passaram a deter maior controle sobre todo o processamento dos seus dados pessoais, assim compreendidos como sendo qualquer informação que identifique diretamente ou torne identificável uma pessoa natural, do que decorrem diversas obrigações para os chamados controladores, ou seja, aqueles a quem competem as decisões sobre o tratamento dos dados, bem como os operadores, quais sejam, aqueles que tratam os dados por ordem dos controladores.

Dentre inúmeros destaques, passam a vigorar o princípio da finalidade, por meio do qual os dados deverão ser utilizados apenas para as finalidades específicas para as quais foram coletados e devidamente informadas aos titulares, juntamente com o princípio da minimização da coleta, pelo que, somente deverão ser coletados os dados mínimos necessários para que se alcance a finalidade necessária, além do princípio da retenção mínima, o qual determina a imediata exclusão dos dados, após atingida a finalidade pela qual eles foram coletados.

Ademais, surgem os direitos dos usuários, cabendo destaque ao direito de acesso, por meio do qual os titulares poderão solicitar aos controladores que lhes forneçam todos os dados que mantêm sobre si, o qual traz como consequência os direitos de retificação e atualização, por meio dos quais os agentes deverão manter os dados sempre corretos e atualizados.

Outrossim, necessário se faz atentar ao direito de portabilidade dos dados, por meio do qual será possível ao titular solicitar que seus dados, resguardados aqueles compreendidos como sendo segredos industriais e de negócio, sejam encaminhados, ou seja “portados”, para outros controladores, o que certamente trará ampla necessidade de que os diversos agentes industriais se ajustem, na tentativa de criar padrão único para promover as referidas trocas.

Necessário se faz destacar que o cumprimento da integralidade da norma precisará ser comprovado por todos os agentes que tratarem dados pessoais, diante do princípio da prestação de contas.

E uma das formas de atender a esse princípio será por meio da elaboração do denominado Relatório de Impacto de Proteção de Dados, por meio do qual os controladores deverão avaliar o ciclo de vida completo do tratamento de dados pessoais, contemplando desde a coleta, o uso, armazenamento, compartilhamento e exclusão dos dados, passando pela indicação do fundamento que autoriza o tratamento dos dados, sendo que, dentre as hipóteses previstas, o consentimento será apenas uma dessas possibilidades, bem como das medidas de segurança da informação implementadas, incluindo os procedimentos para mitigação de eventuais incidentes que venham a ocorrer.

Nesse sentido, surge como de fundamental importância a estipulação do Encarregado de Proteção de Dados (DPO – Data Protection Officer), que ficará responsável, entre outros, por criar a cultura de proteção de dados dentro das companhias (com especial atenção para as boas práticas e a governança), bem como por ser a ponte com a Autoridade Nacional de Proteção de Dados (ANPD).

É fato que incidentes envolvendo dados pessoais, sempre que acarretarem em risco aos seus titulares, deverão ser reportados à ANPD, assim como às próprias vítimas. Essa comunicação já deverá conter diversas informações envolvendo: o tipo de dado vazado; a quantidade de pessoas afetadas; as medidas tomadas para conter o incidente, dentre outros.

Além disso, companhias que mantém fluxo de dados para outros países, também precisam ficar atentas às novas obrigações para que tal seja concretizado, dentro dos ditames legais, devendo ainda observar as regras de validade extraterritorial da futura lei, a qual poderá ser aplicável mesmo a companhias que não possuam estabelecimento em nosso país, nas situações em que os dados forem tratados em território nacional, aí se incluindo a coleta, o uso, o compartilhamento ou o armazenamento, bem como quando houver oferta de bens ou serviços a usuários localizados no Brasil, independentemente da nacionalidade e do local de residência do titular.

Tais obrigações precisarão ser seguidas com bastante atenção, especialmente diante das sanções administrativas que surgem, as quais passam por advertências e multas, que podem atingir o patamar de 50 milhões de reais, por infração.

Em suma, a LGPD terá um impacto na sociedade como poucas leis antes tiveram, uma vez que, hoje, praticamente toda e qualquer prática se vale do uso de dados pessoais. Empresas de todos os setores necessitam se adaptar e uma nova cultura sobre o uso adequado de dados, algo de difícil alcance, levando em consideração que o Brasil, diferente de outras regiões do mundo, principalmente da Europa, ainda engatinha com relação a esse tema.

Kaio César Pedroso é advogado

Deixe uma resposta

Your email address will not be published.

error: Conteúdo protegido por direitos autorais.