Lei Geral de Proteção de Dados: principais impactos e urgência em se adaptar
Fernanda Galvão e Rômulo Caldas
Com a iminência da chegada da totalidade dos efeitos da Lei Geral de Proteção de Dados (“LGPD”), Lei nº 13.709/2018, prevista para agosto de 2020, cresce também a preocupação em adequar as operações empresariais aos requisitos da referida lei, especialmente quando se tem em mente que traz multas por descumprimento que podem corresponder a 2% sobre o faturamento da pessoa jurídica em seu último exercício financeiro, podendo alcançar seu limite máximo de cinquenta milhões de reais.
A LGPD traz uma série de exigências com impacto direto no desenvolvimento de soluções digitais que podem refletir, por exemplo, no levantamento de requisitos para a estruturação de um banco de dados que atenda a preceitos legais, sob o risco da necessidade de excessivos trabalhos manuais para evitar os riscos de incorrer em multas. É necessário compreender, primeiro, quem são os principais destinatários da lei, ou seja, quem sofrerá seus maiores impactos.
Inicialmente, é essencial ter em mente que a LGPD não abarca a proteção a todo e qualquer tipo de dado, mas apenas aqueles definidos como dados pessoais e dados pessoais sensíveis (1). O dado pessoal é definido como aquele referente a uma pessoa natural identificada ou identificável, como nome, CPF e número de identidade etc. Dados pessoais sensíveis referem-se a dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
A LGPD dispõe sobre as regras do tratamento de dados, delimitando seu campo de ação ao trazer a definição de “tratamento” como sendo: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Assim, considerando a definição ampla de tratamento de dados prevista na legislação, se sua empresa oferece um simples sistema de registro de dados por meio de login e senha, essa operação já pode ser considerada um tratamento de dados. Conclui-se, pois, que, raros serão os casos em que o tratamento de dados pessoais não será abarcado pela LGPD. O mesmo pode ser dito para sistemas de cadastro de informações de clientes, mesmo que ocorram fora dos meios digitais. Três princípios são essenciais ao se estruturar uma operação que colete dados de um usuário: finalidade, adequação e necessidade.
Resumidamente, a coleta e tratamento de dados devem ser orientados por uma finalidade explícita e pertinente ao exercício das atividades da empresa, que deve coletar exclusivamente, os dados necessários à execução desta tarefa. Mais do que isso, o titular dos dados deve ainda ser informado a respeito do destino de seus dados para que, em alguns casos previstos na lei, possa consentir ou não com seu uso. Na prática, o que se verifica por vezes é a listagem de dados coletados e seu destino por meio de políticas de uso ou políticas de privacidade, combinados com formulários de consentimento e concordância aos referidos termos.
Mas nem só de princípios é feita a LPGD. Como dito anteriormente, a lei estabelece requisitos que influenciam diretamente no planejamento e desenvolvimento de aplicações. Como regra, após a conclusão do tratamento dos dados, eles terão de ser necessariamente excluídos da base de dados (2). Todavia, os responsáveis pelas decisões relacionadas ao tratamento de dados têm o dever de manter registros sobre as operações de tratamento, pois podem ser solicitados pelo poder público para prestar contas, por meio de relatórios, a respeito do impacto da proteção de dados referentes a estas operações.
Outros exemplos de requisitos extremamente importantes definidos pela LGPD são a possibilidade do titular requerer a eliminação da totalidade de seus dados pessoais tratados com consentimento (3); ou ainda a possibilidade de solicitar a portabilidade de seus dados pessoais para outro fornecedor do produto ou serviço de interesse. Assim, ou se contrata uma grande equipe de suporte para operacionalizar todas estas exigências legais, ou incorporam-se estas possibilidades desde a fase de planejamento da criação de um sistema.
Mais uma exigência que pode resultar em ônus para as empresas é a nomeação de um profissional que será o encarregado (4) pelo tratamento de dados pessoais. Conforme as regras da LGPD, este encarregado deve ter sua identidade e dados para contato publicamente divulgados, e deve-se responsabilizar por atos como aceitar reclamações e comunicações de usuários, receber comunicações do Poder Público e tomar providências pertinentes. Até o momento, não fora definida formação legal específica ou requisitos legais específicos para ocupação do cargo “encarregado de dados”, havendo quem especule que a recém-criada Autoridade Nacional de Proteção de Dados (“ANPD”) venha a fazê-lo em um futuro próximo.
Os recentes casos de vazamento de dados, suspensões de serviços por ordens judiciais ou mesmo por falhas técnicas de empresas, além de preocupações com o resguardo e segurança da informação vêm impulsionando as preocupações globais com a privacidade. Em 2018, uma grande rede de farmácias de Belo Horizonte (5) foi multada em 7 milhões de reais por condicionar descontos de produtos ao fornecimento do CPF por parte do cliente, sem com isso detalhar qual seria o uso da referida informação. Ressalte-se que isto ocorreu antes da promulgação da LGPD, já evidenciando a gravidade do problema e sua relevância atual.
Assim, quem ainda não adequou seus sistemas, soluções, produtos e serviços aos aspectos diretamente relacionados à proteção de dados – e tratados por legislações já vigentes, como o Marco Civil da Internet, ou o Código de Defesa do Consumidor – já corre grande risco e está exposto a diversas penalidades. A LGPD é um novo capítulo na história da regulação de assuntos referentes à proteção de dados, mas, sem dúvida nenhuma, a urgência pela adequação já está aqui.
Para estes e demais assuntos pertinentes à proteção de dados, entre em contato com a equipe VLF Advogados.
Fernanda Galvão
Sócia executiva da equipe de consultoria do VLF Advogados.
Rômulo Caldas
Estagiário da equipe de consultoria do VLF Advogados.
(1) Muito embora, mesmo para estes, ainda há exceções em que a LGPD não se aplica. Como, por exemplo, ao tratamento de dados por pessoas naturais para fins particulares e não econômicos.
(2) Também há exceções previstas na lei.
(3) Ressalvadas as hipóteses do art. 16 da lei que determinam que os dados podem ser mantidos mesmo após o seu tratamento para algumas finalidades, a saber: cumprimento de obrigação legal ou regulatória pelo controlador; estudo por órgão de pesquisa; a transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos na lei; ou o uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
(4) Também conhecido por Data Privacy Officer (“DPO”), figura instituída pela lei europeia equivalente à LGPD no Brasil, denominada General Data Protection Regulation, ou GDPR.
(5) DROGARIA Araújo deverá pagar multa de R$ 7 milhões por capturar CPF dos consumidores. Disponível em: https://www.mpmg.mp.br/comunicacao/noticias/drogaria-araujo-devera-pagar-multa-de-r-7-milhoes-por-capturar-cpf-dos-consumidores.htm. Acesso em: 22 ago. 2019.
