[1]Por Ana
França Rios e [2]Júlia Pereira Belisário
A Lei Geral de Proteção de Dados Pessoais, comumente conhecida
como LGPD, Lei
nº 13.709, de 14-08-2018, foi publicada no dia 15 de agosto de 2018 e entrará
em vigor por completo no dia 15 de agosto de 2020. As obrigações contidas na
norma implicam diretamente nas práticas de compliance.
A LGPD no Contexto atual
Depois de tantos escândalos de vazamentos de informações pessoais,
como o do Facebook e o da Consultoria Cambridge Analytica, o
mundo passou a perceber a importância e o valor do gerenciamento de dados.
A UNIÃO EUROPÉIA COMO PIONEIRA NO ÂMBITO LEGAL DE TRATAMENTO DE DADOS:
A União Europeia já há muito muito tempo, mais precisamente desde o
ano de 1995, unificou as regras de proteção de dados. Entretanto, com o avanço da internet
e da tecnologia, as normas tornaram-se obsoletas, e, com isso, surgiu a
necessidade de serem estipuladas novas obrigações legais sobre como empresas e
órgãos públicos devem administrar os dados pessoais dos indivíduos dentro da
União Europeia[3].
Nesse
sentido, em 25 de maio de 2018, o conhecido Regulamento Geral de Proteção de
Dados da União Europeia, ou GDPR, na sigla em inglês, entrou em vigor,
tornando-se um modelo
internacional, com forte influência, inclusive, sobre à LGPD.
Quais são os Princípios da LGPD?
A Lei nº 13.709, de 14-08-2018 veio para regulamentar alguns
princípios e direitos fundamentais, já previstos na Constituição da República
Federativa do Brasil, dos quais destacamos:
- respeito à privacidade,
- a
inviolabilidade da intimidade, da honra e da imagem;
- a livre
iniciativa, a livre concorrência e a defesa do consumidor;
- os direitos
humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da
cidadania pelas pessoas naturais, dentre outros.
Logo, todos os dados de pessoa natural, sejam dados físicos ou
eletrônicos, passam a ser protegidos pela referida lei.
O que é Dado Pessoal? E quem são os Agentes de Gerenciamento?
Em síntese, o dado pessoal consiste em toda informação de pessoa
física natural que possa torná-la identificada ou identificável.
De um lado, temos então o titular do dado, que, como dito, é toda
pessoa natural a que se referem os dados que são objeto do tratamento[4].
Por outra perspectiva, temos os agentes do tratamento que são o
“controlador” e o “operador de dados”. O controlador é a pessoa que toma as
decisões sobre o tratamento de dados pessoais, ou seja, é o responsável pela
prova de autorização do tratamento. Já o operador é a pessoa que realiza o
tratamento de dados pessoais, em nome do controlador. Entre o controlador e o
operador está o “encarregado”, também conhecido como o data protection
officer, que faz a interface entre um e outro, assim como com os titulares
dos dados e a Autoridade Nacional de Proteção de Dados (ANPD) – órgão criado
para fiscalizar e aplicar sanções da LGPD.
Quais os Direitos do Titular Previstos na Lei? Quando é permitido tratar Dados?
A LGPD traz vários direitos do titular, sendo os seguintes
principais: (i) consentir ou não com o tratamento de dados; (ii) revogar o
consentimento a qualquer tempo; (iii) peticionar perante à autoridade nacional;
(iv) requerer anonimização, portabilidade, bloqueio ou eliminação de dados; (v)
acesso facilitado aos dados e informações sobre o seu tratamento, dentre
outros.
Diante do exposto, surge a dúvida sobre quando será permitido
tratar dados e a lei responde, mediante: (i) o consentimento inequívoco e
específico do titular (que pode ser revogado a qualquer tempo); (ii) nos casos
de execução de políticas públicas; (iii) para o cumprimento de obrigação legal;
(iv) para a realização de estudos por órgão de pesquisa; (v) para execução de
contrato e pedido do titular; (vi) exercício de direitos em processo judicial;
(vii) proteção da vida e tutela da saúde; (viii) interesse legítimo do
controlador; (ix) tutela do crédito.
Nesse
sentido, fica evidente o
subjetivismo das hipóteses de tratamento de dados que serão mais bem
especificadas com os entendimentos jurisprudenciais que estão por vir com a
vigência da lei. Dessa mesma forma, não se sabe ainda se a Autoridade Nacional
de Proteção de Dados – ANPD – atuará como órgão arrecadador de multas, em
desfavor das empresas, ou como órgão fiscalizador, orientador, necessário e
justo.
O que é ANPD? E o que faz a ANPD?
As funções da ANPD são aplicar sanções, realizar auditorias e
orientar as empresas quanto a como se adequar à Lei. As possíveis penalidades a
serem aplicadas são: (i) advertência; (ii) multa de 2% do faturamento anual de
uma empresa por infração (até R$ 50.000.000,00); (iii) multa diária limitada a
R$ 50.000.000,00; (iv) Publicização da infração; (v) Bloqueio e eliminação dos
dados.
A ANPD aplicará as sanções observando sempre os princípios da: (i)
proporcionalidade com a infração cometida; (ii) reincidência; (iii) adoção de
procedimentos internos para mitigar o dano; (iv) políticas de boas práticas e
governança; (v) condição econômica do infrator. A LGPD, assim como a Lei
Anticorrupção, Lei nº 12.846, de 01-08-2013, prevê as hipóteses de atenuantes para base de
cálculo das penalidades a serem aplicadas pela ANPD.
COMPLIANCE e a LGPD
Compliance significa
estar de acordo com o ordenamento jurídico. Sendo assim, para estar em compliance
também com a LGPD, as Organizações precisarão gerenciar os dados nos termos da
lei, garantindo que qualquer uso de dados tenha consentimento expresso e
inequívoco da pessoa natural que os presta. Além disso, é imprescindível
garantir o sigilo desses dados, bem como a suspensão imediata da utilização deles,
caso a pessoa revogue a permissão de uso destes.
O ideal,
para garantir que as empresas estejam em compliance com a LGPD, seria
criar um Comitê de Compliance, responsável por gerenciar todas
obrigações legais, bem como implementar um efetivo Programa de Compliance/Integridade/Conformidade
que trará diretrizes, regras e sanções que auxiliarão no cumprimento legal.
Além disso, é imprescindível tanto o patrocínio desta cultura de compliance
pela Alta Administração, bem como o engajamento de todos os colaboradores da
empresa, definir métodos de adequação a norma, implementar cronogramas (auditorias
periódicas, reuniões) bem definidos para desenvolver o tratamento de obrigações
ainda não conformes é também essencial. A utilização da tecnologia em favor da
empresa para organizar informações é fator de contribuição positiva, assim como
a contratação de seguros de riscos cibernéticos, o que resguarda mais uma vez a
empresa e seus clientes neste mundo tecnológico.
Sabemos que a transformação cultural será o maior desafio
para estar em compliance com a LGPD, já
que além de conteúdo formal, ela traz mudanças de hábitos, conceitos e valores.
Entretanto, sendo essa a nova realidade, cabe a nós nos empenharmos ao máximo
para superarmos todos os obstáculos impostos por este novo paradigma, com o
único objetivo de ver o Brasil crescer e de sempre estar em conformidade
com todas as normas legais, garantindo seu efetivo cumprimento.
[1]
Ana França Rios é advogada, formada em Direto pela Faculdade Milton Campos, e
trabalha no Departamento de Compliance Ambiental e Riscos do Grupo Verde Ghaia.
[2] Júlia Pereira Belisário é advogada, formada em Direito pelo Centro Universitário UNA, com MBA em direito civil e processual civil pela FGV, curso de Compliance pela IBS/FGV, e trabalha no Departamento de Compliance Ambiental e Riscos do Grupo Verde Ghaia.
[3]
Link para matéria:
https://www.nexojornal.com.br/expresso/2018/05/25/O-que-diz-a-nova-lei-de-prote%C3%A7%C3%A3o-de-dados-da-Europa.-E-o-efeito-no-Brasil
[4] Art. 5º Para os fins desta Lei, considera-se (…) V –
titular: pessoa natural a quem se referem os dados pessoais que são objeto de
tratamento.
.entry-footer -->
