No dia 25 de agosto, a Câmara dos Deputados havia votado a Medida Provisória nº 959/2020 (“MP 959”) de forma a determinar que a LGPD deveria entrar em vigor apenas a partir de 31 de dezembro de 2020. Para que essa nova data fosse confirmada, contudo, restava pendente sua aprovação pelo Senado Federal. Após uma reviravolta legislativa inesperada, o Senado entendeu que a discussão da entrada em vigor da LGPD estaria prejudicada por já ter sido tratada pela Lei nº 14.010/2020. Desta forma, a proposição da Câmara dos Deputados para que a LGPD entrasse em vigor em 31 de dezembro de 2020 foi negada pelo Senado, o que significa que a LGPD passaria a vigorar a partir do presente momento. Em nota de esclarecimento publicada em seu site oficial, contudo, o Senado Federal se manifestou no sentido de que a LGPD não entrará em vigor imediatamente, mas somente após sanção ou veto presidencial, o que deve ocorrer até o dia 17 setembro de 2020. Apesar de a prorrogação da data de vigência da LGPD não ter sido aprovada, os artigos da lei relacionados às penalidades e multas entrarão em vigor somente em 1º de agosto de 2021, nos termos da Lei nº 14.010/2020. Mas afinal, por que estamos falando de processo legislativo em um site de tecnologia? O que é LGPD? E por que tem se falando tanto nela ultimamente?
O que é a Lei Geral de Proteção de Dados (LGPD)?
A Lei Geral de Proteção de Dados foi originalmente editada em 14 de agosto de 2018, e desde então sofreu diversas mudanças, principalmente em relação à sua data de vigência. Ela é a primeira lei brasileira que versa especificamente sobre a proteção de dados pessoais, e foi fortemente inspirada no regulamento da União Europeia que está atualmente em vigor (o tão famoso “GDPR” – General Data Protection Regulation). Até então, o Brasil tinha dispositivos específicos em leis diversas (como Código de Defesa do Consumidor, Constituição Federal e Marco Civil da Internet) que tratavam em certa medida de questões relacionadas a privacidade e tratamento de dados pessoais. Entretanto, não havia nenhuma lei geral específica para tratar desse tema de extrema importância, especialmente considerando o papel fundamental que os dados pessoais exercem em diversos negócios e em nossa sociedade. A LGPD, portanto, vem para regular essa questão e garantir a proteção aos dados pessoais de indivíduos. Vale ressaltar que a lei diz respeito somente a dados/informações que identifiquem pessoas físicas (indivíduos). Ou seja, informações de empresas, ainda que confidenciais (como segredos de negócio, por exemplo), não fazem parte do escopo de aplicação da LGPD. Quando falamos de dados pessoais protegidos pela LGPD é comum pensar na relação típica de um consumidor que tem os seus dados coletados por um e-commerce, ou então por aplicativo, rede social ou website. A verdade é que a lei não se aplica somente aos dados pessoais que são coletados no meio digital, mas também em outros tipos de relação, como de emprego, por exemplo. Os dados que uma empresa coleta e mantém em relação aos seus empregados também estão sujeitos às disposições da LGPD. A LGPD traz uma série de princípios que devem ser observados por empresas e órgãos públicos que fazem uso de dados pessoais, tais como transparência, segurança, não discriminação, livre acesso, adequação e finalidade. Se você, leitor, é uma pessoa observadora, já deve ter percebido que diversas empresas estão atualizando seus termos de uso e políticas de privacidade, e até mesmo incluindo novas funcionalidades em serviços relacionadas com controles e notificações sobre privacidade. Essas mudanças são um reflexo e decorrem justamente da necessidade de adequação por qual essas empresas estão sujeitas em razão da LGPD. Uma das grandes novidades trazidas pela lei é a definição clara das hipóteses que permitem o tratamento de dados pessoais, conhecidas como “bases legais”. Isso significa que, para fazer uso de dados pessoais, é necessário o enquadramento em uma das seguintes dez possibilidades: Vale ressaltar que nem todas essas possibilidades acima se aplicam quando estivermos falando do tratamento de dados pessoais sensíveis. Dados pessoais sensíveis são aqueles sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, saúde ou vida sexual, dado genético ou biométrico. Especificamente em relação a esses dados, assim como em relação a dados de crianças e adolescentes, a lei é mais restrita e rigorosa quanto às possibilidades para o seu tratamento. Falando em tratamento, é importante deixar claro o que esse termo significa. De acordo com a LGPD, “tratamento” é toda operação realizada com dados pessoais, como a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Ou seja, basicamente qualquer coisa que for feita com um dado pessoal é considerada como tratamento, e não apenas o seu uso efetivo.
Obrigações das empresas conforme a LGPD
A LGPD também impõe algumas obrigações que deverão ser colocadas em prática pelas empresas em relação ao tratamento de dados pessoais. Veja abaixo algumas dessas principais obrigações:
Manter registro das operações de tratamento de dados pessoais – isso significa que as empresas deverão manter um controle (uma espécie de inventário) de suas atividades relacionadas com dados pessoais.
Indicar um encarregado (mais conhecido como “DPO” – Data Protection Officer) que será o responsável por atuar como canal de comunicação com os titulares dos dados e a Autoridade Nacional de Proteção de Dados (“ANPD”).
Adotar medidas de segurança aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Comunicar à ANPD e ao titular dos dados a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante.
Direitos dos usuários sobre dados pessoais
Do ponto de vista dos direitos que a lei garante aos titulares de dados, podemos mencionar os seguintes:
Confirmação da existência de tratamento;Acesso aos dados;Correção de dados incompletos, inexatos ou desatualizados;Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na lei;Portabilidade dos dados a outro fornecedor de serviço ou produto;Eliminação dos dados pessoais tratados com o consentimento do titular;Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;Revogação do consentimento.
A lei traz penalidades em caso de violação de seus dispositivos, que podem variar desde uma advertência até multa que pode chegar até R$ 50.000.000,00, ou até mesmo proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. Conforme mencionado acima, essas penalidades somente começarão a valer a partir de 1º de agosto de 2021.
O papel da Autoridade Nacional de Proteção de Dados
Em relação à Autoridade Nacional de Proteção de Dados (“ANPD”), que ainda não está estabelecida, foi publicado o Decreto n° 10.474 de 26 de agosto, que aprova a sua estrutura regimental (como órgão integrante da Presidência da República) e o quadro demonstrativo dos seus cargos em comissão e das funções de confiança, remanejando cargos em comissão do Grupo-Direção e Assessoramento Superiores (DAS) e Funções Comissionadas do Poder Executivo (FCPE), da Secretaria de Gestão da Secretaria Especial de Desburocratização, Gestão e Governo Digital do Ministério da Economia para a ANPD. Esse Decreto entrará em vigor na data de publicação da nomeação do Diretor-Presidente da ANPD no Diário Oficial da União, o que ainda deverá ocorrer. A ANPD é essencial para que a LGPD “funcione” da melhor forma, uma vez que tal autoridade será responsável por, dentre outras funções, zelar pela proteção dos dados pessoais, elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade, fiscalizar e aplicar sanções, promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança. Independentemente da plena vigência da LGPD e do efetivo funcionamento da ANPD, é importante ressaltar que diversas autoridades, como Ministérios Públicos, SENACON, Procons, e até mesmo juízes, já utilizam a LGPD como base para orientar suas investigações e decisões. Sendo assim, é importante que as empresas estejam atentas e preparadas para cumprirem com as disposições da lei. Esta matéria foi escrita por Carla do Couto Hellu Battilana, sócia na área de Tecnologia, Cybersecurity e Data Privacy de TozziniFreire Advogados.