[1]Por Ana França Rios e [2]Júlia Pereira Belisário
A Lei Geral de Proteção de Dados Pessoais, comumente conhecida como LGPD, Lei nº 13.709, de 14-08-2018, foi publicada no dia 15 de agosto de 2018 e entrará em vigor por completo no dia 15 de agosto de 2020. As obrigações contidas na norma implicam diretamente nas práticas de compliance.
A LGPD no Contexto atual
Depois de tantos escândalos de vazamentos de informações pessoais, como o do Facebook e o da Consultoria Cambridge Analytica, o mundo passou a perceber a importância e o valor do gerenciamento de dados.
A UNIÃO EUROPÉIA COMO PIONEIRA NO ÂMBITO LEGAL DE TRATAMENTO DE DADOS:
A União Europeia já há muito muito tempo, mais precisamente desde o ano de 1995, unificou as regras de proteção de dados. Entretanto, com o avanço da internet e da tecnologia, as normas tornaram-se obsoletas, e, com isso, surgiu a necessidade de serem estipuladas novas obrigações legais sobre como empresas e órgãos públicos devem administrar os dados pessoais dos indivíduos dentro da União Europeia[3].
Nesse sentido, em 25 de maio de 2018, o conhecido Regulamento Geral de Proteção de Dados da União Europeia, ou GDPR, na sigla em inglês, entrou em vigor, tornando-se um modelo internacional, com forte influência, inclusive, sobre à LGPD.
Quais são os Princípios da LGPD?
A Lei nº 13.709, de 14-08-2018 veio para regulamentar alguns princípios e direitos fundamentais, já previstos na Constituição da República Federativa do Brasil, dos quais destacamos:
- respeito à privacidade,
- a inviolabilidade da intimidade, da honra e da imagem;
- a livre iniciativa, a livre concorrência e a defesa do consumidor;
- os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais, dentre outros.
Logo, todos os dados de pessoa natural, sejam dados físicos ou eletrônicos, passam a ser protegidos pela referida lei.
O que é Dado Pessoal? E quem são os Agentes de Gerenciamento?
Em síntese, o dado pessoal consiste em toda informação de pessoa física natural que possa torná-la identificada ou identificável.
De um lado, temos então o titular do dado, que, como dito, é toda pessoa natural a que se referem os dados que são objeto do tratamento[4].
Por outra perspectiva, temos os agentes do tratamento que são o “controlador” e o “operador de dados”. O controlador é a pessoa que toma as decisões sobre o tratamento de dados pessoais, ou seja, é o responsável pela prova de autorização do tratamento. Já o operador é a pessoa que realiza o tratamento de dados pessoais, em nome do controlador. Entre o controlador e o operador está o “encarregado”, também conhecido como o data protection officer, que faz a interface entre um e outro, assim como com os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD) – órgão criado para fiscalizar e aplicar sanções da LGPD.
Quais os Direitos do Titular Previstos na Lei? Quando é permitido tratar Dados?
A LGPD traz vários direitos do titular, sendo os seguintes principais: (i) consentir ou não com o tratamento de dados; (ii) revogar o consentimento a qualquer tempo; (iii) peticionar perante à autoridade nacional; (iv) requerer anonimização, portabilidade, bloqueio ou eliminação de dados; (v) acesso facilitado aos dados e informações sobre o seu tratamento, dentre outros.
Diante do exposto, surge a dúvida sobre quando será permitido tratar dados e a lei responde, mediante: (i) o consentimento inequívoco e específico do titular (que pode ser revogado a qualquer tempo); (ii) nos casos de execução de políticas públicas; (iii) para o cumprimento de obrigação legal; (iv) para a realização de estudos por órgão de pesquisa; (v) para execução de contrato e pedido do titular; (vi) exercício de direitos em processo judicial; (vii) proteção da vida e tutela da saúde; (viii) interesse legítimo do controlador; (ix) tutela do crédito.
Nesse sentido, fica evidente o subjetivismo das hipóteses de tratamento de dados que serão mais bem especificadas com os entendimentos jurisprudenciais que estão por vir com a vigência da lei. Dessa mesma forma, não se sabe ainda se a Autoridade Nacional de Proteção de Dados – ANPD – atuará como órgão arrecadador de multas, em desfavor das empresas, ou como órgão fiscalizador, orientador, necessário e justo.
O que é ANPD? E o que faz a ANPD?
As funções da ANPD são aplicar sanções, realizar auditorias e orientar as empresas quanto a como se adequar à Lei. As possíveis penalidades a serem aplicadas são: (i) advertência; (ii) multa de 2% do faturamento anual de uma empresa por infração (até R$ 50.000.000,00); (iii) multa diária limitada a R$ 50.000.000,00; (iv) Publicização da infração; (v) Bloqueio e eliminação dos dados.
A ANPD aplicará as sanções observando sempre os princípios da: (i) proporcionalidade com a infração cometida; (ii) reincidência; (iii) adoção de procedimentos internos para mitigar o dano; (iv) políticas de boas práticas e governança; (v) condição econômica do infrator. A LGPD, assim como a Lei Anticorrupção, Lei nº 12.846, de 01-08-2013, prevê as hipóteses de atenuantes para base de cálculo das penalidades a serem aplicadas pela ANPD.
COMPLIANCE e a LGPD
Compliance significa estar de acordo com o ordenamento jurídico. Sendo assim, para estar em compliance também com a LGPD, as Organizações precisarão gerenciar os dados nos termos da lei, garantindo que qualquer uso de dados tenha consentimento expresso e inequívoco da pessoa natural que os presta. Além disso, é imprescindível garantir o sigilo desses dados, bem como a suspensão imediata da utilização deles, caso a pessoa revogue a permissão de uso destes.
O ideal, para garantir que as empresas estejam em compliance com a LGPD, seria criar um Comitê de Compliance, responsável por gerenciar todas obrigações legais, bem como implementar um efetivo Programa de Compliance/Integridade/Conformidade que trará diretrizes, regras e sanções que auxiliarão no cumprimento legal.
Além disso, é imprescindível tanto o patrocínio desta cultura de compliance pela Alta Administração, bem como o engajamento de todos os colaboradores da empresa, definir métodos de adequação a norma, implementar cronogramas (auditorias periódicas, reuniões) bem definidos para desenvolver o tratamento de obrigações ainda não conformes é também essencial. A utilização da tecnologia em favor da empresa para organizar informações é fator de contribuição positiva, assim como a contratação de seguros de riscos cibernéticos, o que resguarda mais uma vez a empresa e seus clientes neste mundo tecnológico.
Sabemos que a transformação cultural será o maior desafio
para estar em compliance com a LGPD, já
que além de conteúdo formal, ela traz mudanças de hábitos, conceitos e valores.
Entretanto, sendo essa a nova realidade, cabe a nós nos empenharmos ao máximo
para superarmos todos os obstáculos impostos por este novo paradigma, com o
único objetivo de ver o Brasil crescer e de sempre estar em conformidade
com todas as normas legais, garantindo seu efetivo cumprimento.
[1] Ana França Rios é advogada, formada em Direto pela Faculdade Milton Campos, e trabalha no Departamento de Compliance Ambiental e Riscos do Grupo Verde Ghaia.
[2] Júlia Pereira Belisário é advogada, formada em Direito pelo Centro Universitário UNA, com MBA em direito civil e processual civil pela FGV, curso de Compliance pela IBS/FGV, e trabalha no Departamento de Compliance Ambiental e Riscos do Grupo Verde Ghaia.
[3] Link para matéria: https://www.nexojornal.com.br/expresso/2018/05/25/O-que-diz-a-nova-lei-de-prote%C3%A7%C3%A3o-de-dados-da-Europa.-E-o-efeito-no-Brasil
[4] Art. 5º Para os fins desta Lei, considera-se (…) V – titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
