LEI GERAL DE PROTEÇÃO DE DADOS – REGULAMENTAÇÃO NO BRASIL

Lei Geral de Proteção de Dados LGPD

A Lei 13.709, também conhecida como LGPD, foi sancionada em agosto de 2018 e entrará em vigor em agosto de 2020 para que até lá as empresas consigam fazer a adaptação. Tal regulamentação veio para alterar a lei popularmente denominada Marco Civil da Internet, de nº. 12.965/14. Com isso o Brasil passará a fazer parte do grupo de países que tratam da normatização da proteção de dados.

Mas o que é a Lei Geral de Proteção de Dados e como funcionará?

A lei vigorará para estabelecer que dado pessoal é toda informação de qualquer pessoa natural ‘’identificável’’ ou ‘’identificada’’ e que as empresas deverão seguir alguns princípios de privacidade descritos na norma. Em síntese, o objetivo é dar transparência e proteger o consumidor principalmente de eventuais empresas que fornecem dados e de eventuais empresas que buscam através da obtenção de informações junto a outros fazer uso em benefício próprio.

As empresas portadoras dos dados pessoais deverão garantir sigilo e segurança se não houver o consentimento do consumidor para divulgação, e, no caso de algum incidente de vazamento de informação, o titular dos dados e o órgão regulador deverão ser comunicados. Além disso, determinados dados que não forem relacionados ao que a empresa comercializa só poderão ser obtidos com a autorização do consumidor e comprovando que será útil para a interação entre cliente e empresa.

É sabido que algumas empresas solicitam às pessoas, no momento do cadastro, informações que em nada tem a ver com a atividade fim do produto ou serviço. E qual o objetivo? Em muitos casos, o que deveria ser confidencial, é comercializado a empresas terceiras podendo gerar grande importunação às pessoas, como exemplo: telefonemas indesejados, mala-direta, oferecimento maçante de produtos e serviços, spam, etc. A busca é desde gostos pessoais, hábitos de internet, endereços pessoais, e-mail, dentre outros, com o intuito de direcionar o conteúdo específico em favor da empresa.

Em se tratando de incapazes, obrigatoriamente deverá haver consentimento dos pais na coleta de dados. E mais, não estão excluídas da lei empresas com sede no exterior que prestam serviço e tratam de dados em território brasileiro. Inclusive se essas informações forem utilizadas em outros países após coleta de dados pessoais no Brasil, tais empresas estrangeiras também estão vinculadas à lei.

Importante destacar que as empresas deverão retificar ou excluir informações pessoais (ainda que irreversível) caso seja solicitado a qualquer momento pelo consumidor. Na lei é esclarecido também quando uma empresa pode armazenar, processar e transferir os dados de alguém (por exemplo na hipótese de consentimento inequívoco, que não pode estar sob ‘’entre linhas’’ de termos e condições de contrato).

Um caso emblemático que aconteceu nos EUA foi o da Cambridge Analytica. Essa empresa comprava dados obtidos através de cadastros em rede social e fornecia a movimentos políticos ligados ao então candidato a presidente Donald Trump, que em conseqüência direcionavam a campanha eleitoral com o conteúdo específico a cada eleitor. O objetivo da lei é também evitar que situações como essa aconteçam no Brasil.

A Lei Geral de Proteção de Dados veio justamente para esse combate e para regulamentar a questão em favor dos cidadãos. O órgão responsável pela fiscalização, Autoridade Nacional de Proteção de Dados (ANPD), foi criado através da Medida Provisória 869/18 e aplicará as possíveis sanções. Atualmente essa Medida Provisória que criou o órgão está aguardando aprovação por parte do Congresso Nacional para posterior sanção ou veto.

E essas multas também já estão estabelecidas na LGPD. A pena pode ser de 2% do faturamento bruto até o conglomerado de 50 milhões de reais por cada infração (vazamento de dados ou descumprimento de alguma regra legal). O órgão regulador Autoridade Nacional de Proteção de Dados eventualmente solicitará relatórios de riscos às empresas para certificar que questões de privacidade estão sendo cumpridas internamente. Sem as multas as empresas não entram em conformidade com a lei.

Outro ponto de grande relevância serão as indenizações pessoais que estará sujeito o descumpridor da lei, que certamente gerará enorme demanda ao judiciário. E isso faz com que os operadores do direito devam se preparar para a entrada da norma. Desde os advogados percebendo ‘’a dor’’ de seu cliente e buscando a comprovação do direito, além de atuação em consultivo para as empresas entenderem e adequarem a lei, até os Magistrados que julgarão as demandas observando as hipóteses de indenização e o grau de indenização para reparar o consumidor e coibir as empresas em caráter disciplinar de nova prática. E demandará ainda mais tempo para os processos chegarem em instâncias superiores e surgirem jurisprudências uníssonas sobre a interpretação de cada artigo da LGPD.

Assim, as empresas que não se prepararem para a lei e não fizerem efetiva governança do sigilo das informações, como a gestão de clientes que dão consentimento para divulgação de dados e a gestão dos que terão ‘’anonimato’’ para a não divulgação, poderão estar sujeitas, em caso de prejuízo ao que teve os dados vazados, a processos judiciais para reparação e multas da lei.

 Marcos Luiz Egg Nunes é advogado, sócio proprietário do escritório Egg Nunes Advogados Associados em Belo Horizonte – MG.