Entenda a lei de proteção de dados que entra em vigor em setembro

Empresas precisam se adaptar para cumprirem exigências e não serem multadas. Já o consumidor ganhará o direito de proibir que companhias usem dados sem consentimento

 A Lei Geral de Proteção de Dados (LGPD) entra em vigor agora no mês de setembro. Em linhas gerais, ela regulamenta como as empresas, pessoas e o poder público vão tratar as informações do cidadão e como isso deve ser fiscalizado. Nesse momento, as companhias precisam se adaptar para cumprirem as regras e não serem multadas. Já o consumidor ganhará o direito de exigir que os negócios, digitais ou físicos, não usem ou excluam os dados coletados. 

Mesmo às vésperas da lei entrar em vigor, no entanto, ainda não existe o órgão que fará regulação desse sistema. A Autoridade Nacional de Proteção de Dados (ANPD) foi criada na legislação, porém, ainda não houve a implementação na prática. Existe também indefinição dos nomes que devem assumir a direção da agência reguladora, o que vem criando uma polêmica em torno de sua aplicação.

Em uma retrospectiva rápida, a LGPD (Lei nº 13.709) foi aprovada em agosto de 2018, durante o governo Michel Temer. A previsão inicial era de que entrasse em vigor no dia 14 de agosto deste ano. Porém, em abril, com uma Medida Provisória (959/2020) do presidente Jair Bolsonaro (sem partido), a vigência da lei foi adiada para maio de 2021.

Segundo o governo, o adiamento partia do entendimento de que parte da sociedade não teve condições de se adaptar à LGPD até o mês de agosto, devido à pandemia do novo coronavírus.

Na última terça-feira (25), essa MP foi aprovada na Câmara dos Deputados, definindo um prazo menor e adiando o início da vigência da LGPD para 31 de dezembro de 2020. Mas, na quinta-feira (27), o Senado retirou esse artigo, enviando o texto à sanção presidencial.

O presidente tem 15 dias úteis para sancionar o projeto, a partir do momento em que o texto for protocolado na Presidência da República. Mas, caso Bolsonaro não assine, acontece automaticamente a "sanção tácita", quando o texto se torna lei e retorna ao Congresso Nacional para ser promulgado. Dessa forma, a LGPD deve entrar em vigor ainda durante o mês de setembro, período em que esse processo será concluído.

REGULAÇÃO E FISCALIZAÇÃO

De acordo com a Serasa Experian, 85% das empresas ainda não se adequaram para as novas exigências legais. O percentual é muito elevado para uma regra que está prestes a valer. Um  outro estudo do site Reclame Aqui mostrou que, em todo o país, 12% das companhias preferem esperar “para ver se a lei vai funcionar” antes de investir em ações de segurança e proteção de dados.

As empresas que não cumprirem as normas ditadas pela nova legislação federal poderão ser penalizadas de nove formas diferentes. Elas podem ser isoladas ou cumulativas.

1. Advertência: elas terão indicação do prazo de adoção de medidas corretivas; 
2. Multa simples: de até 2% do faturamento da pessoa jurídica, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada a R$ 50 milhões por infração; 
3. Multa diária: ela segue as mesmas condições de valor limite da multa simples; 
4. Publicização da infração: após devidamente apurada e confirmada a sua ocorrência, a empresa terá que publicar em um veículo de comunicação um comunicado informando sobre o incidente;
5. Bloqueio do uso dos dados pessoais: as informações a que se refere a infração deverão ser bloqueadas até a sua regularização; 
6. Eliminação dos dados pessoais: as informações a que se refere a infração deverão ser excluídas pela empresa;
7. Suspensão parcial: o funcionamento do banco de dados a que se refere a infração é parcialmente suspenso pelo período máximo de seis meses. Esse prazo poderá ser prorrogado pelo mesmo período, até a regularização da atividade de tratamento pelo controlador; 
8. Suspensão do exercício da atividade de tratamento de dados pessoais a que se refere a infração: essa suspensão pode durar no máximo seis meses, podendo ainda ser prorrogada por igual período; e
9. Proibição parcial ou total: a empresa ou grupo fica proibido de exercer atividades relacionadas a tratamento de dados.
   

De acordo com a lei, as sanções administrativas acima não substituem a aplicação de outras penalidades administrativas, civis ou penais definidas no Código de Defesa do Consumidor.

A implementação, regulamentação e fiscalização do cumprimento da lei ficará a cargo da Autoridade Nacional de Proteção de Dados (ANPD) e é na agência reguladora que está o maior problema da lei. A ANPD foi constituída apenas na última semana e os nomes do corpo técnico e diretor dela ainda não foram escolhidos.

O decreto remaneja 36 cargos e funções do Ministério da Economia, além de transformar cargos. De acordo com a lei, a ANPD será composta por um Conselho Diretor de cinco membros escolhidos pelo presidente e terá o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, corregedoria, ouvidoria, assessoramento jurídico e unidades administrativas.

A advogada Fernanda Ronchi aponta que, enquanto não houver nomeação da ANPD, o controle pode ser realizado pela própria sociedade civil, por meio das associações de defesa do consumidor, Procon e Ministério Público.

QUAIS SÃO OS DIREITOS DO CONSUMIDOR

Nos último anos, tornou-se comum ir até uma farmácia ou supermercado, por exemplo, para comprar um produto e o atendente te pedir o número do CPF. Já para fazer uma conta em um site ou aplicativo são solicitadas informações pessoais, como nome completo, data de nascimento e localização. Além de todas essas informações, ainda há a coleta dos rastros digitais de quando você faz um pesquisa na internet.

Esse conjunto de informações coletadas e armazenados por diferentes empresas é usado para criar um perfil de comportamento do usuário. Com ele, as empresas conseguem personalizar propagandas e oferecer serviços direcionados àquele indivíduo.

Na nova lei, dados considerados sensíveis – aqueles que revelam, por exemplo, religião, opinião política, filiação sindical, origem racial, orientação sexual, questões genéticas e biométricas e que podem ocasionar algum tipo de prática discriminatória ou permitir a identificação de forma inequívoca e persistente – e os dados de crianças e adolescentes são os que têm maior proteção.

A advogada especialista em Direito Empresarial Fernanda Ronchi explica que os dados sensíveis necessitam de consentimento específico e destacado, do titular ou de seu responsável legal. No caso de menores de idade, é necessário consentimento com finalidade especificada de um dos pais ou pelo representante legal.

A advogada especialista em Direitos Digitais do Instituto de Defesa do Consumidor (Idec), Bárbara Simão, aponta que, com isso tudo, ainda vêm os riscos de fraude e oportunismo. A lei, inspirada nos padrões europeus, será um mecanismo de proteção do cidadão contra esses perigos.

Já advogado da Caper Advogados e especialista em Direito Empresarial Carlos Felyppe Tavares Pereira observa que a lei exige cuidados com as informações tanto dos clientes quanto dos colaboradores.

"A empresa precisa de informar os mecanismos de proteção daquelas informações, quais são as formas de prever que não ocorra um incidente como o vazamento de dados, dar livre acesso às informações pessoais para o consumidor a quem elas pertencem. Também é preciso fazer tudo isso de forma clara, gratuita e transparente", pontua.

A partir da data em que a Lei de Proteção de Dados entrar em vigor, as empresas terão que solicitar aos usuários a autorização para o uso das informações pessoais deles.

"Algumas pessoas já começaram a receber algumas atualizações de política de privacidade e termos de uso de sites e aplicativos que têm. Todas as empresas precisarão pedir a renovação de consentimento para continuar a sua atividade econômica", explica Bárbara Simão.

Se a pessoa não renovar o contrato com a empresa, ela vai ter que eliminar as informações a não ser em algumas exceções. "O Marco Civil da Internet autoriza que as empresas de rede sociais, por exemplo, retenham as informações por um período de seis  meses a um ano depois que uma conta é encerrada", diz a especialista.

A LGPD estabelece ainda uma série de outros direitos que o consumidor tem com relação aos seus dados. Entre eles estão:

• Confirmar o uso de dados: a empresa precisa informar ao usuário se está usando os dados dele;
• Tratamento das informações: o usuário tem direito de saber de que forma as suas informações estão sendo usadas e com qual finalidade;
• Compartilhamento: o cidadão também tem o direito de saber se a empresa compartilha os dados seus com outras empresas;
• Realizar portabilidade: funciona como se fosse uma portabilidade de linha telefônica entre operadoras, mas no lugar do número são as informações do consumidor que passam de uma empresa para outra;
• Correção de informações: o cidadão pode pedir para a empresa corrigir o endereço ou o número de telefone cadastrado, por exemplo;
• Eliminação dos dados: o usuário pode pedir para que a empresa exclua os dados. Existem alguns casos específicos em que a empresa pode levar alguns meses até eliminar todas as informações. 
• Paralisação do uso de dados: o usuário que não quiser que a empresa exclua seus dados pode escolher que ela paralise seu uso;
• Notificação: caso o usuário tenha os dados vazados ele terá que ser notificado pela empresa.

PAPEL DAS EMPRESAS

A advogada especialista em Direito Empresarial Fernanda Ronchi complementa que as empresas devem garantir o controle e a segurança dos dados pessoais tratados. Mas que, para isso, necessitam conhecer com rigorosidade todas as etapas de tratamento de dados existentes, classificando-os e determinando os procedimentos a serem adotados para cada tipo. Apenas dessa forma será possível garantir a licitude e a segurança dessas informações.

"É importante criar um comitê formado por representantes de todas as áreas envolvidas no tratamento de dados pessoais para conscientização e tomada de decisão centralizada. É imprescindível o estabelecimento de diretrizes para as adequações necessárias e o treinamento dos profissionais envolvidos para a implementação", diz.

A lei determina que as empresas criem a figura do "encarregado" ou  DPO (Data protection officer), a pessoa que será o canal de comunicação entre consumidor, empresa e autoridade nacional. Porém, o advogado Carlos Felyppe Tavares Pereira aponta que ainda não está claro se todas as empresas, independentemente do tamanho, terão que ter esse profissional. 

"A autoridade nacional vai dizer que tipos de empresas precisam ter esse profissional. Porque, por exemplo, pode ser que uma pequena papelaria não precise ter esse profissional, pois o custo dele será alto", aponta o advogado.

EMPRESAS QUERIAM MAIS PRAZO

De acordo com a gerente de linhas financeiras da Willis Towers Watson – empresa de gerenciamento de risco, corretora de seguros e consultoria –, Ana Albuquerque, em geral, a maioria das organizações esperava por uma prorrogação da lei, tendo em vista algumas dificuldades para se adaptarem às novas diretrizes, principalmente em meio à atual crise em que vivemos. 

"O setor de saúde, por exemplo, foi muito impactado pelo evento da Covid-19, e muitos hospitais, laboratórios e centros de saúde não conseguiram realizar as alterações necessárias. Além disso, as pequenas e médias empresas também podem sofrer devido à necessidade de trabalho remoto, dificultando a implementação das regras em atendimento à LGPD", diz.

Ela ainda afirma que nunca essa lei foi tão necessária no Brasil como no momento atual. "Há necessidade de ampliar a segurança cibernética devido à adoção do modelo de trabalho remoto ou home office. Independentemente da data em que começará a valer, a LGPD é uma certeza futura e significa um avanço para o país na garantia dos direitos individuais, além de possibilitar um maior desenvolvimento econômico e tecnológico", aponta.

Este vídeo pode te interessar