A Lei Geral de Proteção de Dados, popularmente conhecida como LGPD, vem sendo alvo de muitas discussões, seja sobre o seu conteúdo ou sobre quando ela entrará, de fato, em vigor. Nesse último ponto, ainda que a Câmara dos Deputados tenha aprovado a Medida Provisória (MP) 959/2020, que previa que a lei começasse a valer em 31 de dezembro deste ano (com as penalidades sendo aplicadas apenas a partir de agosto de 2021, de acordo com a Lei 14.010), o Senado pensou diferente.
A casa transformou a MP em questão em Projeto de Lei de Conversão (PLC) 34/2020 e que agora vai para a sanção do presidente Jair Bolsonaro. Feito isso, a LGPD finalmente entraria em vigor, 15 dias úteis depois da assinatura do mandatário brasileiro. Ou seja, seu funcionamento está mais próximo do que nunca. Mas, mesmo essa data ainda está inteiramente clara, já que a lei pode entrar em vigor de maneira retroativa.
E agora que já sabemos quando a LGPD entra em vigor, cabe aqui uma pergunta igualmente importante: você sabe do que se trata a lei? Ou melhor dizendo: você sabe quais são os seus direitos legais dentro deste novo cenário ou como a empresa que você trabalha pode ser impactada?
Para responder essas e outras questões a respeito da LGPD, o Canaltech conversou com Gustavo Quedevez, advogado especializado em Direito Digital e Novas Tecnologias e sócio do BVA Advogados. De uma forma didática, ele explica como funciona a lei, como seus dados devem ser protegidos pelas empresas que os utilizam e quem você deve procurar caso suas informações não estejam sendo tratadas conforme estipula a legislação.
Confira abaixo como foi o papo:
Canaltech – Em linhas gerais, o que é a LGPD?
Gustavo Quedevez: Fugindo do conceito jurídico, a LGPD veio para regulamentar as relações e definir condições e limites para o tratamento de dados pessoais por empresas (ou entidades) públicas ou privadas. O conceito de tratamento é muito amplo (e tem que ser), mas abrange desde o recebimento dos dados e seu armazenamento até a manipulação direcionada ao levantamento de preferências de consumo, por exemplo.
Sei que é muito clichê, mas em um mundo cada vez mais virtual, nunca foi tão relevante saber as preferências do usuário que navega no seu app e plataforma. E, a partir daí, conseguir vender serviços ou produtos, ou mesmo avaliar o perfil dele como consumidor.
CT – Quais os novos direitos o cidadão terá a partir da vigência desta lei? O que ele pode exigir junto às empresas em termos de proteção de dados e privacidade?
G.Q.: Há uma série deles, mas os principais envolvem a possibilidade do usuário ter a exata noção das razões pelas quais suas informações estão sendo exigidas por uma determinada empresa privada ou agente público. Ele precisará saber dos detalhes relativos ao tratamento daqueles dados, tendo a faculdade de exigir sua exclusão quando bem lhe interesse.
É o que a Lei define como livre acesso, por exemplo. As empresas precisarão definir um série de procedimentos relacionados à comunicação com essas pessoas, permitindo a elas decidir de maneira franca e, mais do que tudo, transparente, sobre até aonde admitem que aqueles dados sejam utilizados.
CT – De forma prática, quais dados estão protegidos pela LGPD?
G.Q.: Dados pessoais de indivíduos naturais identificados ou identificáveis, coletados em solo Brasileiro. Se a pessoa não puder ser identificada através de uma determinada informação, este dado não estará abrangido pelos termos da LGPD.
CT – A LGPD será aplicada a empresas de todos os portes ou restrita apenas aquelas que trabalham com volumes maiores de dados?
G.Q.: Todos, indistintamente. E não só por empresas, pois as pessoas físicas que realizem o tratamento de dados também estão sujeitas aos mesmos limites definidos para as empresas.
CT – O que pode acontecer a uma empresa caso ela descumpra a LGPD? Quais são as penalidades?
G.Q.: Além do crivo do consumidor, que se mostra cada vez mais atento aos detalhes e motivos pelos quais seus dados são exigidos, a LGPD traz penalidades consideráveis para aqueles que não cumprirem seus termos, que vão desde a simples advertência, podendo chegar a multas de até 2% do faturamento da empresa, limitada a R$ 50 milhões por infração.
Além disso, a LGPD ainda traz a possibilidade de que a infração seja levada à público, suspensão do banco de dados e do tratamento de QUALQUER informação pessoal por aquele determinado agente, ou mesmo a proibição parcial ou total do tratamento de dados. Como se vê, são penalidades bastante duras.
CT – Diversos setores se mostraram contra o início da vigência da LGPD sem a presença de uma Autoridade Nacional de Proteção de Dados (ANPD) que supervisione as regras do jogo. A ausência dessa entidade não pode criar um cenário de insegurança jurídica?
G.Q.: A Autoridade Nacional será o agente fiscalizador por excelência, e a ele cabe inclusive promover a regulamentação de uma série de temas dispostos na Lei. Sem a ANPD, ninguém pode dizer que está 100% aderente aos termos da LGPD.
No entanto, foi publicada a Lei que define a estrutura regimental da ANPD, passo que contribui de maneira muito positiva para tirarmos esse cenário de insegurança da cabeça de todos. Sobre a insegurança jurídica em si, é natural que haja esse sentimento diante de tantas idas e vindas, mas vejo com bons olhos o início da vigência, que como disse no início, é exigida pelo usuário/consumidor.
CT – Que medidas devem ser tomadas pelas empresas para que eles se adaptem à LGPD? Será necessário a criação de cargos específicos para essa função ou setores nas companhias já existentes podem assumi-la?
G.Q.: Mais do que tudo, será necessário compromisso por parte das empresas e agentes públicos. Não será a implantação de uma ou outra prática que tornará sua empresa aderente aos termos da LGPD. Avaliação, Engajamento, Treinamento e Acompanhamento serão palavras de ordem para rigorosamente todos os integrantes de corporações que realizem o tratamento de dados.
Neste momento, ou até que a ANPD defina de maneira específica, todas as empresas precisarão contar com o Encarregado pelo Tratamento de Dados Pessoais (o DPO, segundo o Regulamento Europeu que serviu de base para a nossa LGPD), e caberá a ele avaliar as reclamações dos titulares dos dados, receber comunicações da ANPD, orientar funcionários e contratados, e executar outras atividades determinadas pela empresa em relação a este tema. Indo além do conceito legal, o Encarregado precisará de autonomia e liberdade para que suas funções sejam exercidas de maneira plena.
CT – Como as micro e pequenas empresas, que não dispõem de tantos recursos, podem se adaptar à LGPD, sem o risco de sofrerem sanções?
G.Q.: As empresas precisarão se adaptar, isso é fato. E é justamente por isso que deverão se orientar e buscar assessoria especializada para que o orçamento que elas podem (e devem) investir seja explorado da melhor forma possível.
Por mais que haja bons softwares que podem auxiliar, e muito, no acompanhamento do dia a dia e na prevenção de violações a LGPD, ninguém poderá se esquivar de cumprir o que a Lei exige. Meu conselho é o seguinte: se informe, busque elementos de análise junto a entidades já estabelecidas para esse tipo de agenda e, a partir daí, organize com o seu assessor a melhor agenda de adaptação aos termos da Lei. Não há fórmula mágica, lamento dizer, e há projetos para todos os bolsos, mas certamente demandará esforços de todos.
CT – Que órgãos públicos ficarão responsáveis pela supervisão e aplicação da lei? E quem o consumidor deve buscar caso verifique que seus dados tenham sido, de alguma forma, usados de forma indevida?
G.Q.: Formalmente, a ANPD é a entidade que agregará essa função, mas outras entidades poderão, legalmente, exercer essa prática, como o Ministério Público (MP) e os Procons. Muito embora o tema esteja absolutamente em voga no momento, o fato é que a proteção de dados pessoais já foi tratada em outros dispositivos legais, como no Marco Civil da Internet e daí vem a competência do MP.
Os Procons também agregarão essa atribuição pois o Código de Defesa do Consumidor contempla em seus termos vários elementos que podem ser explorados neste sentido, como o dever de transparência das empresas com os consumidores, aspecto que, uma vez cruzado com a necessidade de que o tratamento de dados pessoais seja claro, objetivo e transparente, permitirá a esses órgãos exercerem seu papel na fiscalização desse tipo de atividade.
Fonte: canaltech.com.br