Em 14 de agosto de 2018, foi sancionada a Lei número 13.709/2018, a Lei Geral de Proteção de Dados Pessoais (LGPDP ou LGPD) do Brasil a qual dispõe sobre como os dados pessoais dos cidadãos brasileiros poderão ser coletados e tratados, alterando, também, o Marco Civil da Internet (Lei número 12.965/2014, de 23 de abril de 2014).

 

A LGPDP do Brasil começará a valer 18 (dezoito) meses após sua publicação e estabelece como deverão ser tratados os dados pessoais dos indivíduos, inclusive nos meios digitais, quer seja por pessoa natural ou jurídica de direto público ou privado, para proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

 

De forma geral, a LGPDP constitui Legislação no Brasil que passará a regular a atividade sobre o uso de dados pessoais por quaisquer organizações que operam em território brasileiro e promoverá severas sanções a todo aquele (seja pessoa física ou jurídica) que não cumpra as correspondentes determinações.

 

Seguindo características do General Data Protection Regulation (GDPR), o qual desde 25 de maio de 2018 passou a ser obrigatório na União Européia, e do California Consumer Privacy Act of 2018 (CCPA), implementado nos Estados Unidos da América por iniciativa da Califórnia e aprovado em 28 de junho de 2018, a LGPDP do Brasil marca um novo horizonte na proteção de dados e na privacidade de dados dos brasileiros contribuindo, em muito, para a civilidade e compliance. 

Uma das principais características da LGPDP é a determinação que todo e qualquer tipo de dado que identifique ou torne uma pessoa identificável, tais como dados cadastrais, genéticos, biométricos, fisiológicos, mentais, de localização, econômicos, culturais, sociais, dentre outros, somente poderão ser coletados mediante o consentimento expresso da pessoa detentora daqueles dados. Além do mais, passam a ser estabelecidas pela LGPDP regras muito específicas para a recepção, a utilização e o sigilo dos dados das pessoas.

 

Para editar normas e fiscalizar o cumprimento da LGPDP foi criada pela Lei número 13.853/2019, de 8 de julho de 2019, a Autoridade Nacional de Proteção de Dados (ANPD). Originada a partir da Medida Provisória 869/2018, de 27 de dezembro de 2018, a Lei número 13.853/2019 foi sancionada com alguns vetos e já alterou a recente Lei número 13.709/2018.

 

À ANPD, de natureza transitória, podendo ser transformada em autarquia vinculada à Presidência da República após dois anos, a critério do Governo, caberá zelar pela proteção dos dados pessoais, elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade, bem como aplicar as devidas sanções nos casos em que os dados pessoais tenham sido tratados de forma irregular.

 

Formada por membros diretores nomeados para mandatos fixos a ANPD terá a seguinte estrutura organizacional: Conselho Diretor (o órgão máximo da ANPD), Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, Corregedoria, Ouvidoria, Órgão de Assessoramento Jurídico próprio e Unidades Administrativas responsáveis pela aplicação da LGPDP.

 

As sanções administrativas para o não cumprimento da nova LGPDP (previstas no artigo 52) variam de uma simples advertência a cobrança de multa diária de até R$ 50.000.000,00 ou até 2% do faturamento da empresa por infração.

 

Dado o exíguo prazo para a entrada em vigor da LGPDP e os muitos (e difíceis) desafios a serem enfrentados quanto à adequação às novas regras de proteção de dados pessoais foi iniciado um forte chamado para que as Organizações se adequarem o mais rápido possível e vários trabalhos começam a ser executados objetivando disseminar a LGPDP e como resolver os diversos problemas que serão gerados caso ocorram descumprimentos das suas normas.

Estimativas dão conta que a implantação de um Sistema de Proteção de Dados em Organizações de grande porte poderá durar, em média, de 12 a 18 meses e custará cerca de US$ 400 mil nos primeiros seis meses, com possibilidades reais de se atingir até US$ 1,6 milhão durante o prazo de implantação. Claro que todo custo do processo de implantação do Sistema de Proteção de Dados em conformidade com a LGPDP dependerá, também, e muito, do quanto a Organização já esteja “digitalizada” e o quanto seu Departamento de TIC (Tecnologias da Informação e Comunicação) seja bem estruturado, eficiente e preparado para enfrentar disrupções promovidas pela inovação.

 

Entretanto, certamente, Organizações que controlem regularmente grande quantidade de dados pessoais e que tratem dados sensíveis em grande escala, deverão nomear um DPO (Data Protection Officer) para ser o encarregado da proteção dos dados das pessoais com as quais opera, como, também, serão exigidas a capacitar seus colaboradores para atender os novos direitos e deveres que a LGPDP promoverá nos mais distintos setores.

 

É importante ressaltar que cada Organização deverá estar preparada para comunicar imediatamente o titular do dado e para a ANPD sobre quaisquer que sejam as violações que ofereça risco de vazamento de informações, bem como se fará necessário documentar o cumprimento de todas as etapas de implantação dos requisitos da LGPDP e manter os correspondentes registros comprobatórios dos passos seguidos.

Conforme a LGPDP institui, a guarda dos dados é de responsabilidade da Organização que os obteve originalmente e, assim, caberá a esta Organização instituir protocolos de segurança daqueles dados de forma a garantir confidencialidade, integridade e disponibilidade. A preocupação com segurança deverá ser redobrada haja vista que a Organização será penalizada caso dados pessoais sejam vazados em algum meio contando tanto o meio virtual quanto o físico.

Outro aspecto importante a salientar, e muito preocupante, também, é que como as regras da LGPDP são estendidas aos subcontratados e parceiros da Organização que captou os dados originalmente, todo o controle e responsabilidade do processo cabe àquela Organização inicial. A Organização que deteve o dado inicial é responsável pelo mesmo “eternamente”.

 

É importante pontuar, também, que caberá à Organização, quando for o caso, obter o consentimento do titular dos dados para poder utilizar aqueles dados; isto sempre de forma explícita e por ato inequívoco.

 

Uma nova realidade começará a ser instituída quando a LGPDP estiver valendo de fato, pois que trará muito mais segurança para todos, principalmente para o usuário uma vez que o mesmo poderá ter completo controle de como suas informações serão tratadas e coletadas pelas Organizações com as quais se associa.

 

Dentre os vários benefícios para o usuário, decorrentes da LGPDP, cabem destacar que este poderá: solicitar, a qualquer tempo, para se tornar anônimo ou bloqueado ou, ainda, requisitar a eliminação de seus dados que julgar desnecessários, excessivos ou tratados em desconformidade com a LGPDP; acessar de forma descomplicada as informações sobre a forma como seus dados estão sendo tratados; solicitar portabilidade dos dados a outros fornecedores de serviços ou produtos; ser notificado, com clareza, quando não é possível fornecer consentimento e sobre as correspondentes consequências de semelhante negativa; solicitar, mesmo que já tenha solicitado o consentimento, a qualquer tempo, a eliminação de seus dados; e, revogar o consentimento de seus dados a qualquer momento, sem custos e sem burocracias.

 

A despeito dos muitos cuidados a se tomar a partir da aplicação da LGPDP, redobrada, porém, deverá ser a atenção quanto ao tratamento dos dados sensíveis tais como: dados sobre origem racial; convicção religiosa; dados referentes à saúde; dados genéticos ou biométricos; dados sobre opinião política ou vida sexual; dados sobre filiação a sindicatos ou demais organizações de caráter religioso; dados de natureza filosófica.

 

Assim, nenhuma Organização poderá fazer uso dos correspondentes dados sensíveis para os chamados fins discriminatórios, tais como, por exemplo, proibir a pessoa de fazer algo devido a uma dada convicção política ou opção sexual.

 

Seguramente os desafios para se implantar um Sistema de Proteção de Dados conforme as regras da LGPDP serão muitos e a operacionalização de todo processo será demasiadamente difícil envolvendo a solução de não poucos problemas. Todavia, a LGPDP estabelece um padrão de compliance e respeito importante para transferência de dados para servir de base nos negócios dos mais distintos setores possibilitando, também, a garantia da soberania da Nação e a preservação da civilidade e da dignidade das pessoas.

 

 

Artigo escrito por Carlos Magno Corrêa Dias, conselheiro sênior do Conselho Paranaense de Cidadania Empresarial (CPCE) do Sistema Fiep, conselheiro efetivo do Conselho das Mil Cabeças da CNTU, líder/fundador do Grupo de Pesquisa em Desenvolvimento Tecnológico e Científico em Engenharia e na Indústria (GPDTCEI), líder/fundador do Grupo de Pesquisa em Lógica e Filosofia da Ciência (GPLFC), personalidade empreendedora do Estado do Paraná pela Assembleia Legislativa do Estado do Paraná (Alep).