A Lei Geral de Proteção de Dados (LGPD), aprovada no plenário do Senado Federal em 10 de julho de 2018, alterou a Lei 12.965/16 (que estabeleceu o Marco Civil da Internet) e dispôs sobre a proteção de dados pessoais.
O projeto, cuja primeira versão foi apresentado em 2010, teve sua conclusão motivada, entre outras razões, pela entrada em vigor da regulamentação europeia de proteção de dados, devido à natureza extraterritorial de suas condições.
Nos termos da regulamentação europeia, empresas ao redor do mundo que tivessem filiais ou prestassem serviço a qualquer dos 28 países da União Europeia, teriam que se adaptar às leis de proteção de dados, sob risco de sofrerem multas altíssimas ou mesmo perderem seus contratos com as empresas que estivessem submetidas a ela, devido à possível restrição de fluxo de dados, pois, somente com a efetiva regulamentação no tocante à tratativa dos dados enviados ou recebidos, o Brasil se enquadraria no seleto grupo de países para os quais os dados advindos da União Europeia poderiam ser transferidos.
Outro fator relevante para a celeridade na tramitação do projeto de lei, foi o escândalo envolvendo a empresa Cambridge Analytica que a partir da rede social Facebook coletou informações pessoais de 50 milhões de usuários da ferramenta sem que houvesse o consentimento destes e como consequência, houve a manipulação dos dados em benefício de interesses de particulares.
O fato acendeu um sinal de alerta à sociedade, especialmente em relação ao nível de segurança das plataformas sociais, ao mesmo tempo em que fragilizou a imagem pública e também econômica da rede social, uma vez que dias após a publicação, o valor do Facebook despencou.
Além disso, outros motivos como a pretensão do Brasil de entrar para a Organização para a Cooperação e Desenvolvimento Econômico, além da pretensão de alteração da Lei do Cadastro Positivo (cadastro de adimplentes) cujo texto vigente somente autoriza a inclusão do consumidor na lista de bons pagadores, com o seu consentimento. Nesse aspecto, com a nova lei, a intenção seria promover uma alteração no sentido de que os dados pessoais pudessem ser coletados, utilizados e compartilhados sem o consentimento do titular.
Por fim, o projeto foi sancionado em 13 de agosto de 2018 com período de vacacio legis (prazo para entrada em vigor) de 18 meses, após o qual, estarão submetidos aos seus termos tanto o setor público quanto o privado, estando sujeitos os entes a ela submetidos, em caso de descumprimento, à multas que podem chegar a até 50 milhões de reais por incidente.
A norma estabelece que consiste em “dados pessoais” quaisquer informações que identifiquem diretamente ou torne identificável uma pessoa natural, bem como “tratamento” como sendo qualquer operação realizada com estes dados, como coleta, utilização, acesso, transmissão, processamento, arquivamento, entre outros.
Nesses termos, toda e qualquer operação de dados realizada no território nacional ou internacional (cujos titulares dos dados estejam localizados no Brasil) ou que tenha por finalidade a oferta de bens ou serviços ao Brasil, está sujeita à LGPD, a exceção a essa regra diz respeito ao uso de dados realizado por pessoa natural para fins particulares e não econômicos, além de outros com finalidade jornalística, artística ou acadêmica; de segurança pública, defesa nacional, segurança do estado e dados em trânsito, quando não tem como destino agentes no Brasil.
Diante disso, recomenda-se às empresas nacionais, mesmo as de grande ou pequeno porte, a adoção de medidas internas preventivas seja no investimento de cibersegurança, seja na adoção de políticas internas de compliance para prevenir o uso indevido de dados e estabelecer formas de remediar os danos e mesmo penalizar eventuais infratores pelo descumprimento das medidas estabelecidas.
É importante frisar que a implementação de medidas convergentes com a lei, será considerada como critério atenuante das penas. Como sugestões, tem-se falado em (i) nomear um profissional responsável especialmente para cuidar dos assuntos relacionados ao assunto; (ii) a realização de uma auditoria de dados, com o consequente mapeamento das informações identificadas; (iii) revisão das políticas de segurança de dados com o aprimoramento das ferramentas de bloqueio de informações indevidas e mesmo a saída de dados pessoais; (iv) revisão dos contratos de prestação de serviço no sentido de incluir cláusula de proteção de dados e (v) elaboração de relatório de impacto de privacidade.
Em relação à revisão dos contratos de prestação de serviços, é necessário que os novos contratos estabeleçam nos termos da lei o tratamento dos dados pessoais envolvidos no cumprimento do contrato, estabelecendo hipóteses e multa pelo descumprimento, sob pena inclusive de responsabilização solidária.
Assim, seja para a adoção de medidas internas dentro da sua empresa, seja para elaboração da revisão nos contratos de prestação de serviços que se encontrem implementados, não deixe de consultar seu advogado de confiança.
Elaine Carvalho da Silva
OAB/SP 411.334
