A Lei Geral de Proteção de Dados Pessoais – LGPD (Lei nº 13.709/2018) determina regras sobre como devem ser tratados os dados, em meios físico ou digital, de clientes, empregados, fornecedores, parceiros e qualquer outro envolvido nas atividades de uma organização. É um instrumento para a garantia da privacidade das pessoas. Ou seja, a lei não está restrita à internet, determina obrigações para a coleta e manejo dos dados e assegura direitos para os titulares dos dados – as pessoas naturais (físicas).
Dados pessoais vão além do nome, e-mail, RG e CPF. Compreendem toda informação sobre a pessoa, como, interesses, rotina, origem racial ou étnica, religião, opinião política, saúde, dados genético ou biométrico, entre outros.
De acordo com a LGPD, os dados pessoais devem ser tratados de forma responsável, ética e transparente pelos que os detêm, por meio de regras como:
- o uso de acordo com as normas previstas em lei quando necessários para o desenvolvimento de atividades, como por exemplo, a entrega de um produto ou a prestação de serviço;
- a informação, de forma clara e acessível, sobre os dados coletados, para qual finalidade, por quanto tempo serão utilizados e se serão compartilhados;
- a garantia de segurança dos dados, evitando vazamentos e usos ilícitos.
A Lei é bem-vinda ao determinar os princípios e regras que orientam a proteção dos dados pessoais, consolidando a legislação já existente que vem tratando o tema de forma genérica. Ela não tem o objetivo de impossibilitar negócios, contudo, reconhece que os dados pessoais podem ser usados para benefícios comerciais e eleitorais e aponta medidas para o uso correto, viabilizando a transformação digital em curso mitigando abusos.
Hoje, diante do momento político, há muitas incertezas e temos três possíveis datas para o início da vigência da LGPD: 16/08/20; 03/05/21; ou 01/08/2021. Independentemente da definição, grandes empresas já cobram de seus fornecedores, distribuidores, parceiros etc., a comprovação de adequação à lei para a celebração de contratos (negócios) com base em legislações de outros países, assim como, no Brasil, decisões judiciais estão sendo proferidas, fundamentadas na proteção de dados pessoais, de acordo com a Constituição Federal e em leis como o Código de Defesa do Consumidor e o Marco Civil da Internet. É o caso da decisão do Plenário do STF em 07/05/2020, que suspendeu a eficácia da Medida Provisória 954/2020, que libera o compartilhamento de dados pessoais por empresas de telefonia com o Instituto Brasileiro de Geografia e Estatística (IBGE), fundamentada na violação da privacidade e proteção de dados pessoais (ADI 6387).
Emerge uma nova cultura protetiva com a definição de responsabilidades. Os que fizerem o uso indiscriminado de dados pessoais, podem ser acionados na justiça pelo Ministério Público, por exemplo.
A infração à LGPD implicará a abertura de procedimento administrativo para aplicação de sanções, como a multa de até 02% do faturamento no seu último exercício, excluídos os tributos, e limitada a R$ 50 milhões por infração, entre outras sanções.
Para estar em conformidade com a nova lei, as organizações devem rever como tratam os dados pessoais, promovendo as adequações necessárias nos contratos, processos internos, ferramentas tecnológicas e, especialmente, na cultura organizacional.
Denise De Stefano Guedes é advogada associada do escritório Aversa Araújo Advogados. Mediadora e conciliadora. Certificação EXIN-PDPE. Extensão em gestão de riscos, compliance e LGPD pela FIA. Pós-graduanda em Direito Digital e Proteção de Dados pela ESA/OAB.