Os desafios e as oportunidades da Lei Geral de Proteção de Dados brasileira
A Lei Geral de Proteção de Dados brasileira (LGPD), que disciplinará o uso de dados pessoais no Brasil, é o assunto do momento. A nova legislação, após sancionada, entrará em vigor no prazo de 18 meses. Nesse contexto, é imprescindÃvel entender o que esperar da nova legislação.A Lei Geral de Proteção de Dados brasileira (LGPD), que disciplinará o uso de dados pessoais no Brasil, é o assunto do momento. A nova legislação, após sancionada, entrará em vigor no prazo de 18 meses. Nesse contexto, é imprescindível entender o que esperar da nova legislação.
A evolução do tema proteção de dados no âmbito nacional: por que agora temos uma Lei Geral?
Não é novidade que, há algum tempo, a LGPD tem sido alvo de uma grande exposição. É importante notar, no entanto, que a discussão sobre a necessidade de criação de uma lei para unificar e aprofundar a proteção de dados pessoais no Brasil é antiga e remonta ao ano de 2010, quando o Ministério da Justiça lançou a primeira consulta pública sobre um Anteprojeto da Lei.
Os anos seguintes sobrevieram sem que o tema recebesse a devida atenção até que, em 2013, as polêmicas revelações de Edward Snowden envolvendo o monitoramento de dados pessoais reacenderam as discussões, situação que contribuiu para acelerar a aprovação do Marco Civil da Internet, em 2014, o qual representou um importante passo em direção à regulamentação da coleta, tratamento e uso de dados relacionados à internet.
Em 2015, foi lançada a segunda consulta pública sobre proteção de dados pessoais no Brasil, ocasião em que foi possível notar maior intimidade do público com o assunto, tanto em razão de um surpreendente aumento na quantidade de sugestões enviadas quanto da sofisticação no conteúdo sugerido. As discussões originadas desse processo contribuíram para a construção de um texto sólido sobre o tema, o qual foi utilizado como base para o que hoje integra o conteúdo do Projeto de Lei 53/2018.
A entrada em vigor do novo Regulamento Geral sobre Proteção de Dados da União Europeia (GDPR), em maio deste ano, estimulou igualmente novas discussões sobre a matéria e figurou como fator considerável para apressar o andamento do processo legislativo do novo diploma legal. Além disso, o polêmico caso da utilização indevida de dados pessoais para fins eleitorais nos Estados Unidos, envolvendo a Cambridge Analytica e o Facebook, reforçou a importância de regulamentar a proteção de dados.
Nesse contexto, após um longo período de tramitação, em 10 de julho deste ano o Projeto de Lei foi aprovado no Congresso Nacional e aguarda a sanção presidencial, o que deverá ocorrer até o dia 14 de agosto.
Além do Marco Civil da Internet, já havia normas específicas e setoriais com a finalidade de tratar de temas como privacidade e proteção de dados no país. O próprio Banco Central publicou, em abril deste ano, a Resolução nº 4.658, por meio da qual trata da política de segurança cibernética e dos requisitos para a contratação de serviços de processamento e de armazenamento de dados, bem como serviços de computação em nuvem a serem observados pelas instituições financeiras.
Apesar da existência dessas normas esparsas, a criação de uma lei geral para integrar as disposições legais até então existentes, complementá-las e/ou substituí-las, tal como a LGPD, insere o Brasil no grupo dos países que estabeleceram regras gerais sobre o tema com maior propriedade, tais quais Argentina, Chile, Colômbia, Peru e Uruguai.
Além disso, a adoção de legislação geral com um nível internacional de proteção de dados é uma importante etapa para a entrada do Brasil da Organização para a Cooperação e Desenvolvimento Econômico (OCDE). Diante desse cenário, avançar no andamento do processo legislativo para a sanção de uma Lei Geral sobre o assunto foi um caminho natural a ser percorrido.
O que esperar da Lei Geral de Proteção de Dados?
A LGPD promoveu o “empoderamento” dos titulares dos dados pessoais, motivo pelo qual parece haver um clima prematuro de apreensão entre as empresas que exploram esse tipo de informação.
Com a redação inspirada no Regulamento Geral de Proteção de Dados da União Europeia (GDPR), a nova legislação, a ser aplicada tanto na esfera privada quanto na pública, viabilizará ao titular maior conhecimento e controle sobre a coleta, tratamento, armazenamento e uso dos seus dados pessoais, ensejando mais obrigações – e oportunidades – para as empresas e entidades que, de alguma maneira, usam esse tipo de informação.
O Brasil, a partir desse marco, passa a integrar o rol de países que podem ser considerados adequados para proteger a privacidade e o uso de dados pessoais. Em tempos de big data, cruzamento de informações e transações envolvendo dados internacionais, essa inclusão do país no cenário internacional deve ser encarada com uma porta aberta para a geração de negócios.
A adequação dos modelos de negócio de maneira tempestiva será o grande diferencial das empresas que sairão na frente na exploração dessas oportunidades de negócio. A legislação que está por vir demandará uma compreensão célere das novidades e em um período de 18 meses exigirá a adequação das empresas ao seu conteúdo.
Diante disso, alguns aspectos merecem destaque:
Dados pessoais: O conceito de dados pessoais da LGPD é bastante abrangente e engloba informações relacionadas à pessoa natural identificada ou identificável. Dessa maneira, dados que, isolados ou em conjunto, possam identificar uma pessoa natural são considerados pessoais.
Princípios gerais: A LGPD levou em consideração dez princípios gerais para guiar as atividades de tratamento de dados, quais sejam: necessidade, adequação, finalidade, transparência, livre acesso, qualidade dos dados, segurança, prevenção, responsabilização e prestação de contas.
Consentimento: Compreendido como manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada, o consentimento é uma entre as dez hipóteses que autorizam a realização de tratamento de dados nos termos da LGPD. É fundamental observar se há outras hipóteses, adequadas ao caso concreto, que podem igualmente autorizar o tratamento de dados nos termos da lei.
Ampliação de direitos do titular: De acordo com a LGPD, o titular dos dados poderá, mediante solicitação, acessar seus dados, corrigir dados incorretos ou incompletos, revogar o consentimento, bloquear ou eliminar dados excessivos, entre outras opções.
Controlador e operador: A LGPD indica duas figuras de agentes de dados – o controlador e o operador. O operador é o agente responsável por efetivar o tratamento em nome do controlador. O controlador será o responsável por tomar as decisões relacionadas ao tratamento realizado pelo operador. Dessa maneira, a depender das atividades desempenhadas, as empresas poderão se enquadrar unicamente em um dos perfis ou em ambos.
Autoridade Nacional de Proteção de Dados: Há a previsão da criação de uma Autoridade Nacional de Proteção de Dados, integrante da administração pública indireta, que ficará responsável por zelar, implementar e fiscalizar o cumprimento da LGPD. Esse órgão é figura fundamental para empregar eficácia à aplicação da lei de maneira adequada, sendo de grande utilidade para, entre outras ações, promover a edição de regulamentos sobre o tema com o objetivo de mitigar interpretações equivocadas que devem surgir em razão da especificidade do assunto.
Encarregado: É tratado na LGPD como canal de comunicação entre o controlador e os titulares e a Autoridade Nacional. A figura do encarregado seria indicada pelo controlador e ficaria responsável por orientar os funcionários e contratados sobre práticas de proteção de dados, por receber reclamações dos titulares e por tomar providências requeridas pela Autoridade Nacional, entre outras atribuições.
Sanções: As sanções administrativas são aplicadas de acordo com a gravidade e a natureza das infrações cometidas pelos agentes e podem chegar até R$ 50 milhões ou, entre outras possibilidades, ensejar a proibição do exercício de atividades relacionadas a tratamento de dados.
Os desafios não serão poucos e muitos modelos de negócio, atualmente explorados sem o adequado cuidado com os dados pessoais, podem ter que passar por verdadeiras reestruturações. Apesar disso, as novidades trazidas pela LGPD são uma vantagem competitiva.
É importante, portanto, que as empresas atentem para iniciar o processo de reestruturação necessário para adequação ao novo marco o mais cedo possível, viabilizando uma transição sustentável e consolidando novos negócios.