Fazemos parte da maior rede de Direito Empresarial do Brasil
   

85 3066.5236

ARTIGOS

O processo de adequação à Lei Geral de Proteção de Dados

Sancionada em 14 de agosto de 2018, a Lei nº 13.709/18, conhecida como Lei Geral de Proteção de Dados, dispõe sobre a proteção de dados pessoais e altera as disposições da Lei nº12.965/2014, conhecida como o Marco Civil da Internet.

A Lei nº 13.709/18 é dividida em 10 Capítulos e conta com 65 artigos que passam a regular o tratamento de dados pessoais e o direito dos usuários ao acesso à informação mantida por empresas.

Inspirada na General Data Protection Regulation (GDPR), regulamento aplicado desde maio de 2018 na União Europeia, a Lei brasileira dispõe, conforme seu artigo 1º, sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica, de direito público e privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e  o livre desenvolvimento da personalidade da pessoa natural.

Para melhor entender a aplicação da Lei é preciso compreender o conceito de dados pessoais. Segundo a LGPD os dados pessoais são todas as informações de uma pessoa natural que a torne identificada ou identificável, tais como nome, endereço, e-mail, idade, estado civil e situação patrimonial.

Além disso, a LGPD traz em seu escopo o conceito de dados sensíveis, que são aqueles que somente podem ser utilizados mediante consentimento expresso do seu usuário ou nas hipóteses previstas em lei. Entre os dados sensíveis temos: origem racial ou étnica, convicções religiosas, opiniões políticas, dados referentes à saúde e orientação sexual, entre outros.

A Lei nº 13.709/2018, conhecida como Lei Geral de Proteção de Dados, entrará formalmente em vigor no dia 16 de agosto de 2020.

Referido prazo foi confirmado após o Presidente da República Jair Bolsonaro sancionar a Lei 13.853/2019, que converteu em lei a Medida Provisória 869/2018, ratificando a criação da Autoridade Nacional de Proteção de Dados Pessoais.

Diante da aproximação do prazo, as empresas precisam estar atentas ao processo de adequação, uma vez que não importa o tamanho ou o ramo de atividade da sua empresa, todos aqueles que lidam com o tratamento e manuseio de dados pessoais deverão atender os ditames da LGPD.

O cumprimento da obrigação legal exige um verdadeiro processo de adequação na governança corporativa da pessoa jurídica, originando a necessidade de criação de uma compliance digital, ferramenta essa que demandará investimento para a pessoa jurídica que realiza o tratamento de dados.

Entre as principais mudanças que deverão ocorrer na estrutura da atividade podemos destacar.

a)Criação do Cargo de Encarregado de Dados Pessoais – Art. 41 da Lei de Proteção de Dados.

b)Revisão e atualização da política de privacidade na regulamentação de dados pessoais;

c)Atualização de contratos vigentes da empresa, independentemente do tipo de contrato;

d)Atualização em cláusulas contratuais com parceiros e fornecedores que realizam o tratamento de dados, independentemente do tipo de serviço;

e)Criação de uma compliance digital;

f)Mapeamento do fluxo de dados da empresa junto ao TI, realizando o relatório de monitoramento com todo o ciclo de coleta de dados;

g)Criação do modelo de resposta e informativo em casos de incidente de vazamento de dados;

h)Aplicação de cláusulas de compliance digital em todos os contratos firmados e futuros;

i)Criação de um modelo de gestão para guardar auditoria para gestão de logs de consentimentos.

É importante frisar que o não cumprimento da LGPD acarretará multas de caráter preventivos que vão desde a aplicação de advertências até a aplicação de multa simples até a suspensão do tratamento de dados.

As penalidades estão previstas no art. 52 da LGPD:

Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:

I – Advertência, com indicação de prazo para adoção de medidas corretivas;

II – Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

III – multa diária, observado o limite total a que se refere o inciso II;

IV – Publicização da infração após devidamente apurada e confirmada a sua ocorrência;

V – Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

VI – Eliminação dos dados pessoais a que se refere a infração;

Caberá à Autoridade Nacional de Proteção de Dados, quando formalmente criada, realizar análise do caso e aplicar medidas proporcionais ao dano causado.

Dessa forma, mesmo antes da vigência formal da lei  é preciso estar atento ao processo de adequação da pessoa jurídica, uma vez que a LGPD cria a necessidade de instaurar um verdadeiro compliance digital para fins de resguardar a proteção de dados dos brasileiros.

Por Dr. Ronald Feitosa, advogado da Área Cível do IGSA.