A LGPD – Lei Geral de Proteção de Dados Pessoais – foi sancionada em agosto de 2018, com a previsão para entrar em vigor em fevereiro de 2020 (e, depois, agosto de 2020). Contudo, o Governo Federal tentou, por meio de medida provisória, adiar o início da vigência para maio de 2021 em virtude da pandemia.
Depois, a Câmara reduziu esse adiamento para o dia 31 de dezembro de 2020. Por fim, o Senado acabou não apreciando a extensão do prazo e esse item da medida provisória perdeu eficácia.
Após tantos trâmites, afinal, a LGDP entrará em vigor no Brasil em 2020? E quais as mudanças que a lei traz para as empresas? Neste artigo, respondemos essas dúvidas. Entenda o que a lei prevê, a data de entrada em vigor e o que você precisa fazer para se adequar!
O que muda com a LGPD?
A LGPD traz impactos nos mais diversos setores do mercado, sendo aplicável a empresas públicas e privadas, bem como indivíduos, que lidam com dados pessoais de pessoas físicas. A lei visa regular o tratamento desses dados, independentemente do meio e inclusive na esfera digital.
Inspirada no GDPR (General Data Protection Regulation), o regulamento europeu que rege sobre o mesmo assunto, a LGPD tem como principais fundamentos o respeito à privacidade, a inviolabilidade da intimidade, da honra e da imagem e a segurança dos dados pessoais coletados pelas empresas.
Para isso, a LGPD traz mudanças importantes quanto à coleta, ao armazenamento e ao tratamento de dados pessoais – que, como a lei define, consistem em informações relacionadas à pessoa natural identificada ou identificável. São dados como nome, endereço, telefone, idade, estado civil, entre outros.
A lei especifica também outros dados, como os sobre crianças e adolescentes ou, ainda, os dados pessoais sensíveis, que englobam informações sobre origem racial, convicção religiosa, opinião política, saúde e vida sexual, entre outras.
Uma das principais mudanças da LGPD é a necessidade de consentimento inequívoco do indivíduo para a coleta e o tratamento de seus dados – o que só é dispensável em casos específicos, como, por exemplo, para o cumprimento de uma obrigação legal, para a execução de políticas públicas do governo ou para a preservação da vida de uma pessoa.
Além disso, o cidadão também passa a ter mais direitos, como a possibilidade de:
- confirmar a existência de tratamento de seus dados;
- corrigir dados incompletos, inexatos ou desatualizados;
- anonimizar, bloquear ou eliminar dados desnecessários, excessivos ou em desconformidade com a LGPD;
- realizar a portabilidade dos dados a outro fornecedor do serviço ou produto;
- solicitar que seus dados sejam excluídos;
- receber informações sobre o uso de dados e sobre as consequências de não dar o consentimento;
- revogar um consentimento.
Outra mudança importante é que, ao realizar o tratamento de dados pessoais, as empresas devem observar a boa-fé, além de alguns princípios. Alguns deles são:
- o tratamento deve ter finalidade específica, legítima e explícita;
- a realização do tratamento dos dados pessoais não pode ser feita para fins discriminatórios ilícitos ou abusivos;
- o tratamento deve se limitar ao mínimo necessário, abrangendo apenas dados pertinentes, proporcionais e não excessivos em relação à finalidade;
- os titulares devem ter garantia de acesso fácil e gratuito sobre a forma do tratamento das informações e a integralidade dos seus dados;
- as empresas devem garantir total transparência, prestando aos titulares informações claras, precisas e acessíveis sobre o tratamento de seus dados.
E não é só isso. As empresas também precisam garantir a segurança dos dados pessoais, por meio da implementação de medidas de proteção e prevenção contra danos, acessos não autorizados, acidentes, perdas e situações ilícitas no tratamento de dados.
Outro ponto importante é a responsabilidade e a prestação de contas, que consiste na demonstração, por parte do agente de tratamento de dados nas empresas, da adoção de medidas capazes de comprovar o cumprimento das normas da LGPD, bem como a eficácia de tais medidas.
Vale lembrar que a legislação abrange empresas com sede tanto no Brasil quanto no exterior, sendo aplicada extraterritorialmente quando:
- a operação de tratamento dos dados for feita em território nacional;
- a atividade de tratamento tiver como objetivo a oferta ou o fornecimento de bens, ou serviços ou o tratamento de dados de pessoas em território nacional;
- os dados pessoais tiverem sido coletados no território nacional.
A LGPD entrará em vigor no Brasil em 2020?
Depois de sancionada em 2018 e após passar por alguns trâmites legislativos em 2020, a LGPD entrou em vigor em 18 de setembro de 2020. Porém, penalidades administrativas especificadas na lei em caso de descumprimento serão aplicadas somente a partir de agosto de 2021.
Além das sanções, do texto que havia sido aprovado em 2018, também ainda não entrou em vigor a criação da Autoridade Nacional de Proteção de Dados (ANPD), que está em estruturação e já conta com a diretoria nomeada pelo Poder Executivo.
O órgão é fundamental para fazer a lei realmente valer na prática, visto que será o responsável pela fiscalização do cumprimento das regras estabelecidas na LGPD e pela elaboração de diretrizes para políticas de privacidade e proteção de dados pessoais.
Mesmo antes da decisão final sobre a prorrogação ou não do início da vigência da LGPD, muitas empresas já começaram a se adaptar conforme a data prevista no primeiro momento – como o Facebook e o WhatsApp, por exemplo, que estabeleceram novas políticas de privacidade, pedindo para o usuário analisar as configurações de dados.
O que fazer para se adequar à lei?
Mesmo que as penalidades previstas administrativas na LGPD só entrem em vigor em 2021, é fundamental que todas as empresas se preparem para o que vem aí. Isso porque titulares podem, desde já, utilizar a LGPD conjuntamente com outras normas, como CDC, Código Civil ou CLT, e pleitear indenizações na justiça por tratamento indevido de dados pessoais.
Para se adequar à LGPD, uma das práticas mais essenciais é implementar uma gestão de riscos e falhas, para gerir os dados pessoais e criar garantias de segurança e proteção. Veja algumas ações fundamentais para estar em conformidade com a LGPD:
- identificar os dados pessoais coletados, armazenados e tratados pela empresa;
- realizar uma revisão dos documentos, como contratos e políticas de privacidade;
- criar uma gestão de consentimento e pedidos dos titulares dos dados, para controlar acessos, confirmações, portabilidades, revogações de consentimento etc.;
- adotar boas práticas de segurança nas empresas;
- criar normas de governança, procedimentos de segurança e ações educativas;
- elaborar planos de contingência;
- realizar auditorias;
- implementar medidas de prevenção e segurança de dados capazes de proteger os dados pessoais contra acidentes ou práticas ilícitas;
- garantir medidas eficazes para resolver incidentes de segurança com rapidez;
- criar um plano de comunicação em caso de incidentes de segurança, para avisar aos órgãos de fiscalização competentes, como a ANPD.
É importante ressaltar que irregularidades ou práticas em desconformidade com a LGPD podem acarretar sérios prejuízos para a empresa. Além de uma advertência com prazo para tomar as devidas medidas corretivas, as organizações que cometerem infrações podem sofrer uma série de sanções administrativas.
Uma delas são as multas de até 2% do faturamento da empresa, podendo chegar, no máximo, a R$ 50 milhões por infração.
Além do grave prejuízo financeiro, a empresa também pode sofrer com as consequências da publicização da infração, feita depois de ser devidamente apurada e confirmada. Isso pode impactar negativamente as relações comerciais da empresa com seus clientes e parceiros, além de prejudicar seriamente a reputação da marca.
Além disso, outras penalidades também podem ser aplicadas, como a suspensão parcial do funcionamento do banco de dados por um período de até 6 meses ou a proibição total ou parcial da realização das atividades relacionadas ao tratamento de dados.
Como você viu, a LGPD estabelece rígidas penalidades, podendo trazer sérias consequências para empresas irregulares. Portanto, não espere que o pior aconteça.
Quanto antes sua empresa se adequar às novas regras, mais preparada ela estará para se consolidar no mercado como uma marca forte.
Para ficar sempre por dentro dos assuntos jurídicos essenciais para a sua empresa, confira mais artigos em nosso blog!
—
Se quiser saber mais sobre este tema, contate o autor ou o Dr. Cesar Peduti Filho.
If you want to learn more about this topic, contact the author or the managing partner, Dr. Cesar Peduti Filho.