A Lei Geral de Proteção de Dados (LGPD, nº 13.709/18), que entra em vigor em agosto de 2020, estabelece regras que as empresas terão de seguir para permitir ao cidadão ter mais controle sobre o tratamento dado às suas informações pessoais
No cenário atual, cada organização usa os dados dos clientes de forma aleatória. A lei, contudo, impõe padronização. “Podemos dizer que vivíamos um período em que muitos dados dos usuários eram capturados sem conhecimento ou sem estar clara a finalidade de uso ou, mesmo, o prazo de uso. Agora, com as novas regras, o titular dos dados estará mais empoderado”, explica a advogada especialista em Direito Digital, Patricia Peck Pinheiro.
Pela legislação, dados pessoais são todos aqueles que tornam possível identificar uma pessoa. Não é só nome, sobrenome, apelido, idade, endereço residencial ou e-mail. São, também, dados de localização, placas de automóvel, perfis de compras e Internet Protocol (IP), por exemplo.
Um catalisador para a promulgação da LGPD foi a General Data Protection Regulation (GDPR), o regulamento de proteção de dados dos países da União Europeia vigente desde maio de 2018. “A LGPD é importante por inserir o Brasil no rol de países com os quais a União Europeia poderá compartilhar dados, equiparando-se às exigências globais de proteção de dados e fomentando diversos setores da economia”, afirma a advogada especialista em relações do trabalho e sócia do Costa Tavares Paes Advogados, Cristina Buchignani.
A lei se aplica a todos, porém, alguns setores vão sentir mais. “Haverá um impacto maior nas instituições que tratam os dados pessoais da categoria sensível – informações como origem racial, convicções religiosas, opiniões políticas, filiação a sindicatos e dados referentes à saúde, biometria, entre outros –, como os bureaus de dados (usados para consultas de informação), empresas de marketing digital, telemarketing, todo o setor da saúde e também o educacional.
Além, é claro, das instituições financeiras, do varejo, das corretoras, seguradoras e companhias aéreas”, exemplifica Pinheiro. Alguns procedimentos novos, como o que permite ao titular apagar seus dados e fazer portabilidade para outra empresa, deverão ser criados. Há, ainda, a exigência de reportar vazamento de dados. No momento em que a transformação acontecer, os ganhos serão para todos.
A Medida Provisória nº 869/18 instituiu a Autoridade Nacional de Proteção de Dados (ANDP), responsável pela fiscalização e a imposição de multas, que podem chegar a 2% do faturamento da empresa, limitada a R$ 50 milhões por infração. “Caberá ao órgão verificar se as empresas estão comunicando, de forma clara, sobre o tratamento de dados dos clientes; se foram estabelecidas medidas de segurança em seus bancos de dados para evitar vazamentos ou uso irregular por terceiros e aplicação de políticas eficientes de governança em Privacidade e Proteção de Dados”, comenta Pinheiro.
Como se adequar à lei Mais do que uma mudança legislativa, a LGPD deve gerar uma transformação na cultura organizacional. O prazo de adequação de 24 meses está correndo e é curto, alertam os especialistas. Por isso, o movimento já deve estar acontecendo. Pinheiro aponta três pilares para a adequação: soluções tecnológicas, revisão de contratos e condutas e capacitação da equipe.
O passo inicial será fazer uma análise para identificar qual o grau de conformidade da empresa com a lei: onde, quando e como a organização capta os dados pessoais de clientes, fornecedores e funcionários, por exemplo. Outro ponto importante: em que lugar esses dados estão guardados e se há proteção, como senhas e criptografia, nesse armazenamento.
Os departamentos ou as pessoas responsáveis por tecnologia da informação, marketing e departamento pessoal serão os mais exigidos. É preciso certificar-se de que todos estão treinados para evitar vazamentos. Se necessário contratar profissionais para conduzirem a transformação interna, especialistas em gestão de riscos, blindagem de negócios digitais e assessoria jurídica especializada são os mais indicados.