A Lei Geral de Proteção de Dados Pessoais — popularmente referida como “LGPD” — é um mecanismo legislativo que regulamenta a coleta, uso e compartilhamento de dados de clientes e usuários, feitos por empresas ou departamentos de tecnologia. Originalmente sancionada em 2018, a lei ainda estabelece parâmetros de como as empresas devem armazenar tais informações, o grau de segurança que lhes deve ser atribuído e as penalidades em caso de violação ao que rege a norma. A MP aprovada ontem foi inicialmente editada pelo presidente Jair Bolsonaro (sem partido) em abril deste ano, com a finalidade original de adiar o início da vigência da LGPD para maio de 2021. A Câmara dos Deputados aprovou a medida com a sugestão de um prazo menor (31 de dezembro de 2020), mas o Senado rejeitou o trecho por completo. Com isso, a MP agora volta à avaliação do presidente, que tem até 15 dias para sancionar o texto — a partir da aprovação presidencial, a LGPD terá sua vigência assegurada. Para todos os efeitos, ela pode entrar em vigor até o início de setembro de 2020. Entretanto, caso o presidente traga algum veto ou peça por revisão, a medida volta à Câmara dos Deputados para recomeçar o processo. Inicialmente, a imprensa brasileira noticiou o fato como se, devido à emoção do trecho, a LGPD entraria em vigor hoje (27) mas uma nota informativa divulgada pelo portal do Senado esclareceu o processo a ser seguido. Vale citar que, embora a vigência da lei tenha validade a partir de setembro, ela só terá capacidade punitiva para empresas que violarem seus termos em agosto de 2021, pois sua fiscalização depende da Autoridade Nacional de Proteção de Dados (ANPD), uma entidade que ainda não foi estabelecida, mas que ficará responsável pela nova lei.
LGPD: preceitos básicos e punições
Instituída em 2018 e derivando diretamente do Marco Civil da Internet aprovado pelo Senado e sancionado pela então presidente Dilma Rousseff (PT) em 2014, a Lei Geral de Proteção dos Dados Pessoais (Lei nº 13.709/2018) estabelece a criação de dois novos conceitos para categorizar dados coletados por empresas de tecnologia: “dados pessoais” e “dados pessoais sensíveis” são os dois pilares que estabelecem condições pelas quais informações dos usuários podem ser tratadas, além de estabelecer direitos dos usuários titulares de tais dados e uma série de obrigações para empresas do setor, como quais dados podem ser coletados e armazenados, quais podem ser coletados mas imediatamente excluídos e quais estarão sob proteção, sem nenhuma coleta. A LGPD brasileira foi inspirada por duas leis similares aprovadas no exterior: o California Consumer Privacy Act (2018, nos EUA) e a General Data Protection Regulation (GDPR, válida por toda a União Europeia também em 2018). As três estabelecem parâmetros legais de sanção a empresas que violem suas diretrizes, tais como:
Advertência, com indicação de prazo para adoção de medidas corretivasMulta simples, de até 2% do faturamento líquido da empresa ou entidade que cometer a infração (com limite total de até R$ 50 milhões por infração)Multa diária em caso de não obediência a sanções como remoção de informações sigilosas e afinsPublicação da infração após devidamente apuração (ou seja, impede o “segredo de Justiça”)Bloqueio dos dados pessoais envolvidos na infração até a sua regularizaçãoEliminação dos dados pessoais envolvidos na infração
A questão é “o que” se entende por dado pessoal: além das óbvias atribuições (RG, CPF etc.) outras informações podem recair sob esse guarda-chuva, como hábitos de consumo (número de cartões de crédito, endereços de perfis nas redes sociais) e padrões de navegação do usuário pela internet (preferências musicais em plataformas de streaming), por exemplo. A grosso modo, qualquer informação que possa levar à identificação do usuário é passível de análise segundo as normas da LGPD. Há também uma constante preocupação quanto a “quais” entidades são afetadas pela LGPD, e a resposta para isso é simples: todas. Segundo diversos especialistas, não apenas empresas de tecnologia — como Google ou Facebook, para citar exemplos — mas também entidades de outros setores, como agentes públicos, organizações não governamentais, varejistas e fábricas, terão que responder à lei. Basicamente, se tem um CNPJ e há algum tipo de credenciamento que identifique um indivíduo, a entidade já está passível de sanção pela norma. Simplificando: imagine que você trabalhe em uma empresa de “chão de fábrica”. Seu trabalho é estritamente manual e quase nada tecnológico pode ser atribuído a você dentro desta função. Entretanto, você tem um crachá que o identifica como funcionário e esse crachá traz uma matrícula ou outro identificador exclusivo a você. Apenas isso já serve para estabelecer uma conexão que, caso a empresa cometa algum erro que leve ao vazamento e mau uso dessa informação, ela pode ser implicada pela LGPD. O mesmo vale, por exemplo, para cartões de visita que tenham seu nome e seus contatos. A diferença fica na punição: os parâmetros acima referem-se a empresas privadas, autarquias governamentais e outros escritórios do funcionalismo público também devem obedecer à LGPD. As sanções destes é que serão avaliadas à parte, uma vez que órgãos públicos não contam com o mesmo entendimento de faturamento e crivo fiscal estabelecido a companhias particulares. Fonte: G1 / Portal do Senado