Entrevistamos nossa sócia Carolina Mendonça de Barros para esclarecer as principais dúvidas sobre a nova Lei de Proteção de Dados. Confira abaixo:
– Com a entrada da nova Lei de Proteção de Dados, quais as principais mudanças para as empresas brasileiras?
A nova Lei Geral de Proteção de Dados Pessoais (LGPD) terá um grande impacto na vida das empresas, que passará a ter que respeitar uma série de direitos dos titulares de dados nas suas operações de tratamento de dados. Todas as operações deverão ter um propósito específico e legítimo, devendo existir compatibilidade entre o tratamento e sua finalidade informada. A coleta de dados deve ser limitada ao mínimo necessário para o objetivo do tratamento. Os titulares devem ter informação completa sobre a coleta e sua finalidade, sobre o tempo que os dados serão processados e armazenados e outras informações relevantes, como se haverá compartilhamento de dados ou transferência internacional de dados. Para qualquer das atividades de tratamento anteriormente descritas o titular deverá fornecer ao controlador de dados seu consentimento prévio e escrito. O consentimento deverá ser dado mediante informação completa, clara e inequívoca – caso contrário, o consentimento será considerado nulo por vício. Esse é um ponto fundamental a ser observado (e documentado) pelas empresas, pois qualquer operação realizada sem autorização do titular estará infringindo a LGPD, expondo a empresa infratora às sanções ali previstas. Além do que, caso seja necessária a demonstração da obtenção do consentimento, caberá ao controlador o ônus da prova. Para compartilhamento de dados há a necessidade de obtenção de consentimento específico para tanto.
As empresas passarão a ter que disponibilizar os dados aos seus titulares sempre que solicitado, devendo possuir um sistema de fácil acesso e compreensão para facilitar qualquer consulta pelos titulares, que poderão, em virtude de tal consulta, solicitar a alteração, correção ou até exclusão de seus dados do banco de dados da empresa. Importante lembrar, ainda, que o consentimento acima mencionado poderá ser retirado a qualquer momento, devendo o controlador de dados, a partir da solicitação do titular, eliminar os dados pessoais de seu sistema, salvo as exceções previstas em lei (é o chamado direito ao esquecimento do titular de dados). As empresas também terão que possuir um novo tipo de profissional, o encarregado. Ele fará a interlocução entre os titulares de dados e a empresa e entre a empresa e a Autoridade Nacional. Também caberá a esse profissional orientar os funcionários e contratados do controlador de dados a respeito das práticas a serem observadas para proteção dos dados pessoais.
Com tantas obrigações e a possibilidade de penalização prevista em lei, com multa para cada infração que pode chegar a 50 milhões de reais, as empresas terão que rever suas ferramentas internas de segurança da informação, valendo-se de sistemas seguros contra vazamentos indevidos de dados. Deverão adotar medidas para mitigar riscos como, por exemplo, a criptografia de dados, limitação de acesso aos dados aos funcionários que necessitam ter acesso para cumprimento de sua função (em conformidade com a finalidade do processamento), chaves de segurança e níveis de acesso que impeçam que usuários não autorizados tenham contato com os dados dos titulares, treinamento dos funcionários sobre o conteúdo da lei e sobre mudanças nas condutas em suas rotinas que possam colocar em risco o sigilo dos dados – por exemplo, não largar papéis que contenham dados pessoais em impressoras ou em suas mesas, deixar computadores abertos com dados expostos, ser vigilante e conversar com o encarregado caso note qualquer conduta ou procedimento que possam impactar na segurança dos dados pessoais, entre outras coisas. Também devem ser desenvolvidos um conjunto normativo de procedimentos e instrumentos internos que vinculem as empresas e seus colaboradores em matéria de proteção de dados – códigos de condutas, políticas de privacidade de dados, desenvolvimento de cláusulas contratuais padrão, etc… Importante também realizar, enquanto estão se preparando a aplicabilidade efetiva da lei, uma auditoria interna para verificar os pontos vulneráveis da empresa, estudando sua estrutura, os fluxos de informações, ferramentas e tecnologias existentes, de forma a apurar os pontos falhos que deverão ser sanados. Uma vez verificado esses pontos, e mediante uma análise prévia de risco (que deve incluir a verificação de que tipo de dados a empresa processa – se são sensíveis ou não – e do volume de operações de processamento), a empresa estará apta para definir uma estratégia e desenvolver um modelo a ser implementado, devendo este trabalho ser realizado de forma integrada pelas áreas relevantes – TI / Jurídico / Compliance.
– As empresas tem um período para se adaptar? Quando de fato entra em vigor?
As empresas terão, a partir da promulgação da LGPD no DOU, ocorrida em 15 de agosto último, 18 meses para se adaptarem à lei. Dessa forma, ela passará a ser aplicável a partir de 15/02/2020. Importante ressaltar que o ponto mais sensível da lei é o veto relativo à criação da Autoridade Nacional, uma vez que, sem ela, a lei terá muito menos força, pois não haverá quem fiscalize as condutas das empresas ou imponha as sanções ali previstas. A promessa do Presidente Michel Temer é que até o final de 2018 será editada MP que instituirá a AN. De qualquer forma, é importante que ela exista e esteja apta a funcionar a partir do início da aplicação da lei.
– Existem setores mais “sensíveis” em relação à nova Lei? Poderia citar alguns casos onde a lei provocou grandes impactos?
Os setores mais afetados pela lei são aqueles que lidam com dados definidos pela LGPD como “sensíveis”. São considerados sensíveis os dados pessoais relativos à origem racial ou étnica, convicção religiosa, opinião política, sobre participação em organizações religiosas, filosóficas ou políticas, dados sobre a saúde, vida sexual, dados genético ou biométrico de pessoa natural. Empresas da área da saúde, que realizam pesquisas clínicas, por exemplo, estão bastante expostas ao conteúdo da lei. Quanto maior o volume de dados coletados e quanto maior o número de operações de processamento de dados, maior a exposição da empresa ao disposto na lei e maior o risco em caso de infração. Nesse caso, a empresa deve tomar mais cuidado e estar muito atenta à adequação das suas condutas, suas políticas, ferramentas e sistemas utilizados.
