15 mar LGPD, UMA REFLEXÃO SOBRE DADOS PESSOAIS E A SUA PROTEÇÃO
Entendendo as medidas que devem ser adotadas pelas empresas para evitar as sanções no futuro
Por Beatriz Suiya e Felipe Novak
Desde que a revista britânica The Economist publicou em sua capa, em maio de 2017, dizendo que os dados haviam se tornado o recurso mais valioso do mundo, desbancando o petróleo, muitos destes dados jorraram de dezenas de empresas que se abastecem desse novo combustível. Do Facebook ao Google, da Amazon à Netshoes, quase nenhum dos gigantes escapou. Ou foram vítimas de hackers externos que queriam provar que os dados não estavam seguros como alegavam tais empresas ou de funcionários que tentaram sabota-las. Não obstante o vazamento de dados ocorridos, notório é que muitas empresas lucram com a venda dos dados de seus usuários sem que estes tenham declarado seu consentimento.
Dentro deste cenário, estamos há menos de 12 meses para passarmos a ter uma legislação equiparada ao Regulamento Geral de Proteção de Dados da União Europeia (GDPR ou RGPD), qual seja a Lei nº 13.709, de 14 de agosto de 2018, mais conhecida por Lei Geral de Proteção de Dados Pessoais (LGPD). A partir de 2020, muita coisa vai mudar por aqui com a entrada em vigor da LGPD, inclusive no dia a dia das empresas, uma vez que a nova legislação prevê sanções às empresas que não se adequarem.
Referidas sanções, além de rigorosas, poderão ser aplicadas para cada infração, destacando-se, dentre elas, a multa de até 2% (dois por cento) do faturamento da pessoa jurídica, grupo ou conglomerado no país no último exercício, excluídos os tributos, limitada, no total, a R$50.000.000,00 (cinquenta milhões de reais) por infração. Acrescente-se ainda que as sanções previstas na LGPD não substituem a aplicação das demais penalidades e sanções previstas em legislação específica (administrativa, civil ou penal).
Em vista disso, e considerando as datas de entrada em vigor da LGPD, nos termos da Medida Provisória n° 869, de 27 de dezembro de 2018, os artigos que recriaram a autoridade de fiscalização entraram em vigor em dezembro de 2018 e os demais artigos vigorarão em 24 meses, contados da publicação da LGPD, há tempo para adequação das empresas que: (a) possuem estabelecimento no território brasileiro; (b) prestam ou oferecem produtos ou serviços aos consumidores localizados no país; e/ou (c) realizam qualquer atividade de coleta, tratamento, processamento e/ou armazenamento de dados pessoais de pessoas físicas localizadas no Brasil.
Dada a complexidade e extensão das medidas para a proteção de dados pessoais, dispostas na LGPD, a seguir, serão relacionadas algumas das principais.
Além do aumento do custo médio de violação de dados no Brasil, que atualmente é de R$ 1,24 milhão, segundo levantamento da IBM e o Instituto Ponemon, divulgado no Jota, as empresas terão de aprender a elaborar um relatório de impacto à proteção de dados pessoais para apresentar à autoridade fiscalizadora. O conteúdo deverá conter, dentre outros elementos, as estruturas e sistemas envolvidos nas operações com dados pessoais, demonstrando que todos eles operam de acordo com os padrões de segurança exigido pela LGPD; a natureza dos dados pessoais (dados sensíveis ou não); os potenciais riscos aos direitos fundamentais e à liberdade de privacidade dos titulares; o procedimento pormenorizado de toda operação envolvendo dados pessoais; os mecanismos para precaução, prevenção e mitigação dos riscos de vazamento de dados, de acesso não autorizado e atividades ilícitas e potencialmente ilícitas.
Paralelamente, as empresas deverão manter o registro de toda e qualquer atividade de coleta, tratamento e armazenamento de dados pessoais que realizam, de modo que seja possível a constatação de como, quando e onde cada uma das operações é executada. Além disso, é preciso que os sujeitos envolvidos nas operações sejam determinados: quem são os titulares dos dados pessoais; quem tem autorização para e de fato executa as atividades de coleta, tratamento e armazenamento de dados pessoais; com quem tais dados podem ou são compartilhados.
As empresas devem, ainda, nomear o encarregado pelo tratamento de dados pessoais, que será responsável, dentre outras atribuições, pelo contato direto com os titulares dos dados pessoais, analisando e solucionando suas dúvidas, reclamações e solicitações e pelo gerenciamento das pessoas autorizadas e/ou executantes das operações com dados pessoais. Recomenda-se que a identidade e informações de contato com o encarregado sejam disponibilizadas no website da empresa.
As regras e práticas de segurança denominadas “privacy by design” e “privacy by default” também devem ser adotadas pelas empresas. A primeira levando em consideração as regras de segurança da concepção e execução do produto ou serviço e a segunda seguindo os princípios e regras de governança da LGPD. Mas nada disso valerá se a pessoa titular dos dados não for informada da intenção do uso dos mesmos. Ela terá de dar permissão, precisará ser notificada detalhadamente sobre incidentes de vazamento e suas respectivas formas de resolução, bem como deverá contar com meios à sua disposição para gerenciar seus dados em posse das empresas.
Portanto, fica claro que as empresas que se enquadram em qualquer dos critérios supra mencionados, devem obrigatoriamente se adequar à LGPD, não só para fins de não incorrerem nas rigorosas penalidades e sanções nela previstas, mas para erradicar as recorrentes invasões de hackers externos e os vazamentos de dados pessoais, pois estes, além de constituírem o recurso mais valioso do mundo, neste momento, são intrínsecos aos direitos fundamentais dos titulares, notadamente a liberdade de privacidade.
*Beatriz Suiya é advogada do escritório Negromonte & Prado e especializada em direito e novas tecnologias
Felipe Novak é advogado especializado em startups e sócio do escritório Negromonte & Prado.