Transparência e privacidade: o que muda com a chegada da LGPD
Rodrigo Andrade Santos e Fernanda Galvão
Após longas discussões sobre o início da vigência da Lei Geral de Proteção de Dados (Lei Federal nº 13.709/18), a seguir referida como “LGPD”, ela entrou em vigor no dia 18 de setembro de 2020 (1). A possibilidade de aplicação de sanções administrativas permanece prevista a partir do dia 1º de agosto de 2021 conforme a Lei Federal nº 14.010/2020.
O objetivo principal da LGPD é estabelecer regras gerais para um fluxo adequado do tratamento de dados pessoais na sociedade, de forma ética e de modo a coibir os abusos frequentes que ocorrem no Brasil. Assim, a LGPD se aplica a todas as operações de dados pessoais entendidos como informações capazes de identificar ou permitir a identificação, ainda que indiretamente, de uma pessoa física. Essas operações com dados pessoais, definidas pela LGPD como tratamento, podem abranger diversas ações, tais como a coleta, utilização, acesso, reprodução, transmissão, arquivamento, armazenamento, dentre outras (art. 5º, inciso X, da LGPD).
A LGPD parte da premissa de que os dados pessoais não pertencem às empresas custodiantes, mas sim aos respectivos titulares. Em linha com essa perspectiva, os titulares passam a ter direitos fundados no princípio da autodeterminação informativa. Por tal princípio, o titular tem direito ao acesso facilitado às informações referentes ao tratamento de seus dados, sem custos.
Além disso, ele deve ser informado sobre a finalidade específica do tratamento e pode solicitar a confirmação da existência de tratamento, além da correção de dados incompletos, desatualizados ou inexatos. Por exemplo, é possível que uma mulher grávida, ao pesquisar produtos e/ou serviços referentes à gravidez em plataformas de vendas on-line, passe a receber publicidade de produtos para bebê. Nesse caso, se, mesmo após ter sua gravidez interrompida por qualquer motivo, ela continuar recebendo as referidas publicidades, é cabível o exercício imediato do direito à exclusão ou correção de seus dados pessoais.
Para que seja possível o tratamento de dados pessoais conforme as regras da LGPD, é preciso ocorrer o enquadramento em uma das 10 bases legais previstas no artigo 7º. O consentimento do titular dos dados pessoais é uma dessas bases legais. A sua obtenção deve ocorrer de forma livre, informada e inequívoca, sendo assegurada a prerrogativa da revogação. Isso gera relevantes reflexos sob o ponto de vista da conduta das organizações.
Por exemplo, os Termos de Uso de Softwares e Avisos de Privacidade usualmente escritos com termos técnicos difíceis de entender e letras reduzidas não caracterizam o consentimento ‘informado’ e, por isso, estão em desconformidade com a LGPD. As organizações deverão estar atentas a essa mudança e utilizar uma forma de comunicação mais clara, visual e simples, a fim de garantir maior transparência e a tomada de decisões mais conscientes pelos titulares dos dados pessoais.
Para garantir a conformidade das empresas com a LGPD, um primeiro passo importante é promover o envolvimento multidisciplinar de várias áreas das organizações, tais como o departamento de TI, compliance, jurídico, marketing, RH etc.
Outra mudança relevante que a LGPD passará a impor às organizações diz respeito aos programas de segurança da informação, os quais não devem ser voltados apenas à proteção de informações estratégicas para o negócio, como por exemplo, os segredos industriais. Tais programas deverão incluir a segurança das informações pessoais em sua matriz de riscos. É importante avaliar se os processos internos, hardwares e softwares utilizados são capazes de garantir a proteção dos dados pessoais no estado de desenvolvimento tecnológico atual.
Além disso, é necessário mapear todas as operações de tratamento de dados pessoais para identificar: (i) quais são os dados tratados e espécies (por exemplo, dados sensíveis, dados pessoais etc.); (ii) o local onde são arquivados; e (iii) para que servem (ou seja, se eles são realmente necessários para as atividades da empresa).
O mapeamento dos dados é uma das partes mais relevantes dos processos de adequação das empresas à LGPD. Tal processo gera um inventário das operações de tratamento de dados pessoais, o qual deve ser utilizado como base para um plano de ação com as etapas a serem cumpridas no processo de adequação e criação das políticas corporativas de proteção de dados pessoais. Essas políticas, cujo objetivo é gerenciar e mitigar os riscos, também deverão prever a estruturação da organização para remediar e responder adequadamente no caso de eventual incidente, tal como o vazamento de dados pessoais, inclusive com a previsão de notificação às autoridades competentes.
Outro aspecto de atenção para as empresas consiste no desenvolvimento de processos internos capazes de atender os direitos dos titulares perante os controladores de dados (2), inclusive com a criação de um canal aberto para o exercício desses direitos. Esse canal pode consistir na disponibilização de um endereço físico ou eletrônico para recebimento das requisições, sempre com o objetivo de promover uma atuação transparente, ética e segura da empresa.
Assim, se os titulares requisitarem informações sobre os dados em tratamento ou solicitarem correção de dados inexatos, essas requisições devem ser atendidas adequadamente. No caso específico de pedido para confirmação da existência ou acesso a dados pessoais, a disponibilização deve ocorrer imediatamente em formato simplificado, ou em até 15 dias por meio de declaração clara e completa (conforme art. 19 da LGPD).
A adoção da premissa da privacidade desde a concepção (Privacy by Design) também é um ponto relevante a ser considerado com a entrada em vigor da LGPD. Segundo ela, o desenvolvimento de novos produtos ou serviços (tais como processos internos, sistemas, hardware ou software) deve ocorrer desde a fase da concepção conforme as medidas capazes de assegurar a proteção de dados. Além disso, os mecanismos de proteção da privacidade em produtos e serviços devem estar pré-ativados, sem a necessidade de qualquer atuação adicional do titular, de maneira a garantir a privacidade como padrão (Privacy by Default).
Por fim, ressaltamos um aspecto relevante da LGPD, referente à previsão sobre a criação da Autoridade Nacional de Proteção de Dados, conhecida pela sigla ANPD, com as atribuições regulatória, fiscalizatória e sancionatória.
A ANPD foi regulamentada pelo Decreto nº 10.474/2020 editado pelo Poder Executivo Federal em 26 de agosto de 2020 (3). Dentre outras, destacamos sua missão educativa para difundir o conhecimento quanto à aplicação das normas e políticas públicas ligadas à proteção de dados pessoais. Essa atuação é essencial para conscientizar as pessoas da importância e do valor da proteção dos seus dados pessoais, que ainda não é uma realidade no Brasil. Quanto maior o grau de conscientização dos brasileiros com relação à importância, o cuidado e o valor dos seus dados pessoais, maiores serão os benefícios da LGPD para toda a sociedade.
O VLF conta com uma equipe de especialistas para auxiliar a sua empresa nos projetos de adequação à LGPD.
Rodrigo Andrade Santos
Advogado da Equipe de Consultoria e Compliance do VLF Advogados
Fernanda Galvão
Sócia e Coordenadora da Equipe de Consultoria e Compliance do VLF Advogados
(1) A vigência da LGPD se iniciou com a publicação da Lei Federal nº 14.058/2020 em 18 de setembro de 2020, oriunda do Projeto de conversão de Lei (PLV) 34/2020. Este, por sua vez, tem origem na MP 959/2020, cujo artigo 4º (que previa a prorrogação da vigência da LGPD) foi considerado prejudicado pelo Senado Federal.
(2) BRASIL. Decreto nº 10.474, de 26 de agosto de 2020. Aprova a Estrutura Regimental e o Quadro Demonstrativo dos Cargos em Comissão e das Funções de Confiança da Autoridade Nacional de Proteção de Dados e remaneja e transforma cargos em comissão e funções de confiança. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2020/decreto/D10474.htm. Acesso em: 12 set. 2020.
(3) De acordo com a LGPD, controlador é a “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais” (Artigo 5º, VI, da LGPD).
