Não seja o último a entender o impacto da LGPD

Criada para fortalecer a proteção de dados dos usuários, a legislação gera dúvidas

Patricia Peck

24/01/2019

Conhecida pela sigla LGPD, a Lei Geral de Proteção de Dados — Lei 13.709/18 — foi assinada pelo presidente Michel Temer no dia 14 de agosto de 2018 e é o marco legal da proteção de Dados Pessoais do Brasil. Com a publicação da Medida Provisória (MP) 869 em dezembro do mesmo ano, a LGPD ofereceu um prazo de 24 meses — a partir da data de sua publicação — para as empresas e organizações em geral se adaptarem às novas regras. E se a sua empresa ainda não começou, é bom correr atrás do prejuízo!

 

A LGPD foi criada para fortalecer a proteção da privacidade dos usuários e de seus dados em relação ao tratamento de dados pessoais. Um dos grandes destaques trazidos com a novidade é que, a partir da LGPD, todo usuário poderá ter acesso às informações sobre o tratamento de seus dados: como são coletados, processados e armazenados. Com isso, é notável que o objetivo do regulamento é o de proteger os direitos fundamentais de liberdade, de privacidade e livre acesso à informação.

O surgimento de uma lei específica sobre proteção dos dados pessoais decorre das novas necessidades da sociedade digital, que cada vez mais exige transparência nas relações. Considerando a sustentação do modelo atual de negócios — no qual a informação passou a ser a principal moeda de troca — os dados ganham uma posição central no funcionamento do mercado.

 

Mas afinal, o que é o tratamento de dados e por que é tão importante?

 

De acordo com a LGPD, tratamento é compreendido como toda operação realizada com dados pessoais, como a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração dessas informações.

 

De acordo com a Associação Internacional de Gestão de Dados (Data Management Association International – DAMA), os dados e as informações podem auxiliar as organizações a inovar no mercado e alcançar seus objetivos de maneira estratégica, por isso realizar o tratamento de dados é tão relevante no mundo contemporâneo.

 

Com o desenvolvimento social, a informação foi ganhando cada vez mais importância na sociedade, sendo que partir da Revolução Informacional — ao fim do século XX — essa relevância tornou-se bastante significativa, culminando em um modelo econômico totalmente centrado nas bases de dados.

 

Hoje, o que se observa é que, com o advento da Internet e a disseminação de seu uso, as relações sociais se tornaram mais fluídas e instáveis. Essa instabilidade foi transmitida aos meios digitais. Com isso, os riscos tornaram-se menos visíveis, dificultando assim a proteção das pessoas no meio digitalizado.

 

O risco crescente à segurança da informação e a necessidade de ter um maior padrão de controle passaram a exigir uma regulamentação que pudesse trazer algumas garantias mínimas para os titulares de dados. Além disso, surgiu a necessidade de novos direitos que permitissem maior poder de decisão sobre o uso de suas informações pessoais. Daí o surgimento do movimento contemporâneo em prol da proteção dos dados pessoais em todo o mundo e a construção de um novo framework legal por meio de legislações específicas.

 

Um dos fatores que pressionou essa corrida legislativa em busca da proteção de dados em vários países foi o início da vigência do GDPR na União Europeia, em maio de 2018. Isso porque o Estado que não possuir um corpo legislativo de mesmo nível que a União Europeia pode passar a sofrer algum tipo de barreira econômica ou dificuldade de fazer negócios com os países da região.

 

Considerando o contexto econômico atual, este é um luxo que a maioria das nações, especialmente as latino-americanas, não podem se dar. Neste sentido, é notável que os efeitos do GDPR são principalmente econômicos, sociais e políticos.

 

Determinações trazidas com a nova lei de proteção de dados

 

Na medida em que a economia digital gira em torno dos dados pessoais, é preciso delimitar alguns limites e melhores práticas. Tanto para garantir a proteção do consumidor e como para evitar a concorrência desleal. As novas regras afirmam estimular a livre iniciativa e sua capacidade inovativa, desde que se siga uma cartilha de valores condizentes com o respeito aos direitos humanos fundamentais e que aja com a máxima transparência no tocante ao uso (tratamento) dos dados pessoais.

 

Toda a redação da regulamentação de proteção de dados pessoais tem como principal linha condutora a transparência. Ou seja, mesmo nas hipóteses em que não é exigido o consentimento prévio e expresso dos titulares, há a obrigação de ser transparente sempre no que concerne o tratamento de dados.

 

Pode-se afirmar que a regulamentação traz novos direitos para os titulares e, por sua vez, novas obrigações às empresas. Dentre essas “novas obrigações” destaca-se a garantia de que a empresa vai permitir que o usuário tenha a possibilidade de acesso ao dado que está sendo tratado, que possa retificá-lo, realizar a portabilidade dos dados para outra empresa, apagamento e até oposição ao tratamento realizado.

 

Além disso, a LGPD exige aplicação de medidas técnicas e administrativas que garantam a proteção dos dados pessoais por parte das empresas, assim como adoção de procedimentos de governança, atualização de políticas e normas e postura de gestão, já que é preciso nomear uma pessoa/ou terceiro (DPO) responsável pela relação com as autoridades quando o assunto é proteção de dados.

 

As organizações devem estar prontas para cumprir essas adequações, e contar com um canal apropriado para receber e dar andamento às solicitações dos titulares e exigências legais, de modo que alcance todos os seus sistemas e empresas para as quais os dados foram compartilhados. Ou seja, as empresas precisam avaliar seu ambiente e verificar se estão preparadas para estar aderente à legislação.

 

A LGPD também traz exceções: a lei não se aplica quando o tratamento dos dados é realizado por uma pessoa física, para fins exclusivamente particulares e não econômicos, para fins exclusivamente jornalísticos e artísticos, e para tratamentos realizados para fins de segurança pública e defesa nacional. Um outro aspecto relevante a citar é o do artigo 5º da lei que entende que dado anonimizado não é considerado um dado pessoal, logo, deixa de estar passível de proteção conforme a lei.

 

E neste contexto, fica uma dica para o futuro: não apenas virão regras sobre proteção de dados pessoais, mas também sobre demais usos de tecnologia com alto impacto na sociedade, tais como a Inteligência Artificial, a robotização, o Blockchain, entre outros. Há uma grande preocupação em um modelo de “dados abertos” (Open Society) com cibersegurança. Pois não dá mais para continuar se escondendo do problema com puxadinhos digitais.

 

Por isso, é preciso incorporar uma cultura empresarial que aplique e valorize as melhores práticas de gestão de dados e políticas de privacidade desde a concepção (by design do produto/serviço/projeto) e que seja o padrão (by default) comportamental da empresas.

 

Preocupar-se com segurança da informação é mais do que uma moda, é uma realidade com data marcada para o dia 24 de agosto de 2020 no Brasil. Então, se mexa para não chegar atrasado na corrida do compliance digital.