Publicada em 2018, a Lei nº 13.709 introduz na legislação brasileira a noção de Proteção de Dados Pessoais, que impactará substancialmente a forma com que as empresas de quaisquer segmentos coletam, armazenam, utilizam, acessam e/ou distribuem dados pessoais, sejam de seus clientes, fornecedores ou colaboradores.
A fiscalização do cumprimento da LGPD será realizada pela Autoridade Nacional de Proteção de Dados (ANPD), novo órgão público criado pela Medida Provisória nº 869/2018. Este órgão terá a prerrogativa de editar regulações, fiscalizar o cumprimento da lei e aplicar sanções, que podem chegar a até 50 milhões de reais.
A proteção de dados pessoais é uma tendência introduzida e aprimorada por países de todo o mundo, tendo a Europa como grande referência. No último ano, as autoridades europeias já aplicaram multas que variaram entre 400 mil e 50 milhões de euros.
Por ser um tema inédito no Brasil, apesar de já publicada, a LGPD só entrará em vigor em agosto de 2020, concedendo este prazo de vacatio legis para que as empresas consigam se adequar às novas imposições legais.
Confira o Q&A preparado por nossa equipe de Direito Digital e Proteção de Dados sobre o tema:
- O que é?
A LGPD é primeira lei brasileira que trata da proteção de dados pessoais, prevendo princípios, diretrizes, direitos, obrigações e sanções. Promulgada em 2018, a Lei entrará em vigor em agosto de 2020.
- O que são Dados Pessoais?
Dados pessoais são quaisquer informações relacionadas a uma pessoa natural identificada ou identificável. Ou seja, o conceito abrange desde nomes, números de CPF, endereços residenciais e de e-mail, números de telefone até hábitos de consumo, prontuários médicos, histórico de navegação em sites, etc.
- A quem se aplica?
A lei confere ao titular dos dados pessoais vários direitos sobre eles. Em relação às pessoas (físicas e jurídicas) que realizam tratamento destes dados, a LGPD prevê uma série de obrigações que devem ser observadas, além de sanções pelo seu descumprimento.
- O que significa “tratar” dados?
Ao contrário do que a expressão sugere, não são apenas as empresas de tecnologia que realizam tratamento de dados. Para a LGPD, são consideradas como “tratamento” todas as operações realizadas com os dados, incluindo as atividades de coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
- Quais as penalidades?
Para aqueles que descumprirem a nova lei, poderão ser impostas as seguintes sanções administrativas:
-Multa simples, de até 2% do faturamento da pessoa jurídica, seu grupo ou conglomerado no último exercício social, podendo chegar a até R$50 milhões de reais;
– Multas diárias;
– Obrigação de tornar a infração pública (e arcar com os custos de publicização);
– Bloqueio dos dados até regularização da infração; e
– Eliminação dos dados tratados de forma ilícita ou desconforme.
- Quem será responsável por fiscalizar e punir?
A LGPD criou a Autoridade Nacional de Proteção de Dados (ANPD) como órgão público responsável por regular, fiscalizar e cumprir o tratamento de dados no Brasil.
- Como se proteger?
Como a LGPD ainda não está em vigor e a ANPD ainda não está em pleno funcionamento, a única forma de as empresas se protegerem é por meio da implementação de boas práticas de governança, por meio da adoção de um Plano de Conformidade com a LGPD. Desta forma, na eventualidade de uma futura autuação.
O Plano de Conformidade possui 06 etapas:
– Data Mapping: diagnóstico de como se dá o tratamento de dados, realizando levantamento das práticas adotadas, quais dados o cliente trata e quais as medidas de segurança atualmente adotadas.
– Gap Analysis: a partir do diagnóstico, analisa-se os potenciais riscos aos quais o cliente está sujeito.
– Plano de Governança: após uma construção do cenário atual e de suas eventuais fragilidades, é possível elaborar um Plano de Governança customizado para o cliente, abordando pontos específicos e necessários para seu segmento de atuação, identificando quais as bases legais mais adequadas para justificar o tratamento realizado.
– Revisão de Documentos: nesta etapa, analisa-se todos os documentos jurídicos do cliente como contratos com fornecedores, clientes, prestadores de serviço, colaboradores, políticas de segurança da informação, privacidade, manuais de compliance, termos de uso, etc., revisando-os de modo que incluam cláusulas específicas sobre a proteção de dados.
– Implementação do Programa: após as 04 primeiras etapas, é possível implementar internamente uma cultura de proteção de dados, a partir da realização de workshops de conscientização para colaboradores, adoção de práticas seguras, elaboração de políticas internas customizadas e específicas para cada setor do cliente, elaboração de Relatório de Impacto e de Relatório de Conformidade, deixando registradas todas as medidas tomadas pelo cliente para proteger dados pessoais.
– Monitoramento: acompanhamento constante de toda a legislação, regulação e jurisprudência em relação à proteção de dados, de modo a manter o Programa de Governança sempre atual, alimentando constantemente o Relatório de Conformidade com a LGPD.