Sancionada em 14 de agosto de 2018, a Lei nº 13.709/18, conhecida como Lei Geral de Proteção de Dados, dispõe sobre a proteção de dados pessoais e altera as disposições da Lei nº12.965/2014, conhecida como o Marco Civil da Internet.
A Lei nº 13.709/18 é dividida em 10 Capítulos e conta com 65 artigos que passam a regular o tratamento de dados pessoais e o direito dos usuários ao acesso à informação mantida por empresas.
Inspirada na General Data Protection Regulation (GDPR), regulamento aplicado desde maio de 2018 na União Europeia, a Lei brasileira dispõe, conforme seu artigo 1º, sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica, de direito público e privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Para melhor entender a aplicação da Lei é preciso compreender o conceito de dados pessoais. Segundo a LGPD os dados pessoais são todas as informações de uma pessoa natural que a torne identificada ou identificável, tais como nome, endereço, e-mail, idade, estado civil e situação patrimonial.
Além disso, a LGPD traz em seu escopo o conceito de dados sensíveis, que são aqueles que somente podem ser utilizados mediante consentimento expresso do seu usuário ou nas hipóteses previstas em lei. Entre os dados sensíveis temos: origem racial ou étnica, convicções religiosas, opiniões políticas, dados referentes à saúde e orientação sexual, entre outros.
A Lei nº 13.709/2018, conhecida como Lei Geral de Proteção de Dados, entrará formalmente em vigor no dia 16 de agosto de 2020.
Referido prazo foi confirmado após o Presidente da República Jair Bolsonaro sancionar a Lei 13.853/2019, que converteu em lei a Medida Provisória 869/2018, ratificando a criação da Autoridade Nacional de Proteção de Dados Pessoais.
Diante da aproximação do prazo, as empresas precisam estar atentas ao processo de adequação, uma vez que não importa o tamanho ou o ramo de atividade da sua empresa, todos aqueles que lidam com o tratamento e manuseio de dados pessoais deverão atender os ditames da LGPD.
O cumprimento da obrigação legal exige um verdadeiro processo de adequação na governança corporativa da pessoa jurídica, originando a necessidade de criação de uma compliance digital, ferramenta essa que demandará investimento para a pessoa jurídica que realiza o tratamento de dados.
Entre as principais mudanças que deverão ocorrer na estrutura da atividade podemos destacar.
a)Criação do Cargo de Encarregado de Dados Pessoais – Art. 41 da Lei de Proteção de Dados.
b)Revisão e atualização da política de privacidade na regulamentação de dados pessoais;
c)Atualização de contratos vigentes da empresa, independentemente do tipo de contrato;
d)Atualização em cláusulas contratuais com parceiros e fornecedores que realizam o tratamento de dados, independentemente do tipo de serviço;
e)Criação de uma compliance digital;
f)Mapeamento do fluxo de dados da empresa junto ao TI, realizando o relatório de monitoramento com todo o ciclo de coleta de dados;
g)Criação do modelo de resposta e informativo em casos de incidente de vazamento de dados;
h)Aplicação de cláusulas de compliance digital em todos os contratos firmados e futuros;
i)Criação de um modelo de gestão para guardar auditoria para gestão de logs de consentimentos.
É importante frisar que o não cumprimento da LGPD acarretará multas de caráter preventivos que vão desde a aplicação de advertências até a aplicação de multa simples até a suspensão do tratamento de dados.
As penalidades estão previstas no art. 52 da LGPD:
Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
I – Advertência, com indicação de prazo para adoção de medidas corretivas;
II – Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III – multa diária, observado o limite total a que se refere o inciso II;
IV – Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V – Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI – Eliminação dos dados pessoais a que se refere a infração;
Caberá à Autoridade Nacional de Proteção de Dados, quando formalmente criada, realizar análise do caso e aplicar medidas proporcionais ao dano causado.
Dessa forma, mesmo antes da vigência formal da lei é preciso estar atento ao processo de adequação da pessoa jurídica, uma vez que a LGPD cria a necessidade de instaurar um verdadeiro compliance digital para fins de resguardar a proteção de dados dos brasileiros.
85 3066-5236