A partir de 2020, qualquer empresa que desejar ter informações pessoais dos seus clientes terá que fazer isso de acordo com a Lei Geral de Proteção de Dados. Nem que seja apenas para coletar dados básicos como nome e e-mail. Quem não cumprir, estará sujeito a multa que pode chegar até R$ 50 milhões. É o que estabelece a Lei Geral de Proteção de Dados Pessoais nº 13.709 (LGPD), sancionada em 2018 no governo Temer.
Neste artigo vamos explicar o que essa lei regulamenta e como ela vai funcionar na prática. Antes de tudo, é importante saber que a LGPD tem como objetivo regulamentar o tratamento de dados pessoais de clientes e usuários que são administrados por empresas públicas e privadas.
Esta nova lei alterou a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet), que dispunha sobre os princípios, garantias, direitos e deveres para uso da internet do Brasil. A lei do Marco Civil estabelecia questões jurídico-virtuais, como o tratamento aos delitos cibernéticos. Já a LGPD vem para suprir a lacuna deixada pela Marco Civil em relação ao tratamento de dados pessoais.
A Lei Geral de Proteção de dados é um grande avanço para o Brasil para regulamentar o tratamento de dados pessoais. Visa garantir o direito dos clientes e usuários em ter transparência de como estão sendo utilizadas suas informações pelas empresas.
Leia também: Cibersegurança: saiba por que é importante proteger seus dados
Quais dados estarão protegidos?
Quando a Lei Geral de Proteção de Dados entrar em vigor o tratamento de dados será exigido às empresas. A proteção envolverá os processos de coleta, classificação, utilização, processamento, armazenamento, compartilhamento, a transferência, etc.
Por enquanto, as empresas estão se estruturando para não se adequarem a mudança, que deve ocorrer a partir de 2020. Assim, com esse prazo, elas têm o tempo necessário para aderir às novas práticas exigidas, em relação a proteção. Como também, a transparência dos dados dos seus clientes.
Por que a Lei de Proteção de Dados é necessária?
É crescente o número de vazamentos de dados pessoais de clientes de empresas e usuários de redes sociais sem o consentimento das usuários. A União Europeia criou recentemente uma Lei de proteção, a Lei Geral de Proteção de Dados (GDPR), em decorrência desses vazamentos. A nova legislação, que é uma atualização de uma outra lei de 1995, tem como objetivo auxiliar a dinâmica do uso de dados na rede. Com a internet, os dados se tornaram fáceis de serem coletados e armazenados. Mas seu compartilhamento tornou-se inseguro.
Até o século passado, todos os dados pessoais coletados pelas empresas eram armazenados em arquivos físicos (papéis). Com a informatização, eles passaram a ser guardados em servidores das empresas. O grande perigo é que sendo fáceis de serem armazenadas, as informações podem também ser compartilhadas de forma ilegal.
Diante desta facilidade, o Brasil corre o risco de que os dados pessoais coletados sejam objetos de vazamentos. Além disso, há uma questão ética em discussão em relação a crescente utilização dos dados pessoais dos internautas para estabelecer padrões de comportamento e para acelerar a venda de produtos e serviços.
Leia também: O que são crimes cibernéticos
O que as empresas terão que fazer?
Assim que a lei estiver em rigor, as empresas terão que ter uma estrutura diferente das que têm atualmente. Elas devem criar uma estrutura interna de governança, tendo três cargos específicos: cargo de controlador, de operador e encarregado.
Cada um desses cargos terão atividades particulares. O controlador será quem tomará as decisões sobre o tratamento dos dados e demandará as atividades a serem realizadas. Já o operador será quem colocará em prática as tarefas solicitadas pelo controlador. Por fim, o encarregado é quem fará a ponte entre o controlador, o usuário/cliente dono dos dados e a agência governamental que fiscaliza a lei. Por esse motivo, é necessário um tempo para que as empresas se adequem ao novo modelo de negócio.
A nova tendência acompanha as mudanças de leis em relação ao tratamento de dados que vem ocorrendo no mundo todo.
Outros cuidados importantes
Antes de mudarem as estruturas é primordial que as empresas façam um impacto de risco das novas exigências. Para que além de saber em qual estágio estão em relação ao tratamento de dados, saibam os fatores de risco da nova adequação.
Para tanto, devem ainda criar grupos para elaboração de políticas internas, metas e planos do novo gerenciamento de proteção de dados. É necessário fazer avaliações anuais para corrigir possíveis erros e pensar em planos de emergência, caso ocorra uma crise envolvendo segurança e privacidade de dados, como no caso de vazamentos indesejáveis.
Outra possibilidade para as empresas é pensar na capacitação de seus funcionários em relação a essas novas diretrizes. Dessa forma, as empresas estarão aptas a operar em qualquer eventualidades ou em crises futuras. Estarão fortalecidas e bem avaliadas pelo público externo. Por fim, é obrigatório que elas sejam transparentes quanto o tratamento de dados e suas diretrizes de negócio.
Afinal, o que vai mudar com a Lei Geral de Proteção de Dados?
A principal mudança que a lei de proteção de dados trará é a garantia de segurança com as informações pessoais dos clientes e usuários. Haverá um tratamento diferenciado quanto a temas sensíveis. São eles origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organizações, dado genético ou biométrico, etc. Para que assim, esses dados não sejam usados de forma indevida.
A lei vai proibir o uso indevido desses dados e garantir ao cidadão o esclarecimento do tratamento de suas informações. O cidadão saberá as finalidades que seus dados estão sendo usados.
Assim, haverá um consentimento prévio antes dos usuários ou clientes passarem seus dados às empresas. Além disso, as empresas deverão informar no processo de coleta qual a finalidade dos dados e se vão transferir essas informações a outras empresas. Deve existir uma proteção e privacidade dos dados dos clientes e usuários.
Com seus direitos assegurados, os cidadãos poderão até mesmo exigir a exclusão de seus dados quando acharem que não estão seguros. Além disso, poderão exigir informações para empresas sobre determinado dado seu como saber o que elas possuem sobre eles em seus bancos de dados.
Quem vai fiscalizar a Lei?
Como falamos anteriormente, a empresa terá o encarregador que fará o contato entre o controlador e o órgão responsável pela fiscalização. Esse órgão foi escolhido pelo Senado como Autoridade Nacional de Proteção de Dados (ANPD). Com o objetivo de zelar e fiscalizar o cumprimento da Lei de Proteção de Dados, além de aplicar as diretrizes previstas contra as empresas que não cumprirem as exigências.
Em contrapartida, a proposta de lei para criação da ANPD foi tida como inconstitucional. Isso porque de acordo com a Constituição brasileira, o Legislativo não pode criar leis que encareçam o poder Executivo. Por isso, em 2018, foi excluído da lei de Proteção de Dados os artigos que dispunham sobre a proposta de criação da ANPD.
A proposta foi reinserida em uma Medida Provisória, sob o número 869/2018, e aprovada na Câmara dos Deputados, em 2018. A medida alterou a Lei Geral de Proteção de Dados. Fez assim, que fosse inserida na pauta de discussão a criação da ANPD, novamente. Neste ano, a Lei 13.853, que modifica a Lei de Proteção de Dados para criar a ANPD, foi sancionada pelo presidente Jair Bolsonaro, em julho de 2019, com apenas 9 votos de rejeição.
Por fim, a ANPD ficará subordinada à Presidência da República, de forma direta e terá independência autárquica após dois anos de implementação.
Conclusão
Até o momento não sabemos se os problemas de proteção de dados serão resolvidos e se a população estará realmente segura com a nova Lei. O que se sabe é que talvez algumas adequações modifiquem toda a estrutura de negócio empresas, ou seja, as que têm a tendência de usar dados pessoais para vender produtos não podem mais.
Gostou do nosso artigo? Continue acompanhando o nosso blog, sempre estamos esclarecendo dúvidas sobre o mundo tecnológico.
