Com o advento da Lei 13.709, de 14 de agosto de 2018, conhecida como Lei Geral de Proteção de Dados, ou simplesmente LGPD, as empresas que utilizam o tratamento, compartilhamento e ou gestão de dados pessoais deverão adotar medidas capazes de garantir a adequação da sua política às novas normas.
Como um marco na legislação brasileira, a Lei Geral de Proteção de Dados (LGPD), já sancionada pelo presidente da república e que passará a vigorar em agosto de 2020, possui como objetivo a proteção dos direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
A lei sobre proteção de dados (LGPD) pessoais está adaptada ao contexto da evolução das tecnologias, baseadas em plataformas digitais, big data, inteligência artificial, machine learning (aprendizagem de máquinas mediante códigos), etc. Assim, quanto mais comum se torna a transmissão e compartilhamento de dados, maior é a necessidade de se ter uma legislação atualizada acerca do tema.
Baseada na “General Data Protection Regulation” (GDPR), regulamento do direito europeu sobre privacidade e proteção de dados pessoais, aplicável a todos os indivíduos na União Europeia, a LGPD brasileira surge quase que como um espelho do citado regulamento, tanto pela influência mundial que o regulamento exerce, quanto pela pressão internacional ante a insegurança jurídica em frente da ausência de lei específica brasileira.
A LGPD brasileira, assim como a sua irmã europeia, possui como principal objetivo promover a regulação e proteção de dados pessoais, deixando as regras claras para as empresas no que se refere à coleta, armazenamento, tratamento e compartilhamento de dados pessoais.
A partir da vigência da nova lei, todas as empresas responsáveis pelo tratamento de dados pessoais de indivíduos brasileiros deverão adequar seus contratos e normas internas aos termos previstos na legislação, a qual prevê, por exemplo, a necessidade de uma cláusula destacada das demais cláusulas contratuais que autorize o armazenamento e ou compartilhamento de dados do usuário.
Além do destaque, deverá haver o consentimento por escrito ou por outro meio que demonstre a manifestação de vontade do titular para que os dados possam ser armazenados ou compartilhados (art. 8.º, §1.º). O consentimento do titular do dado pessoal é condição imprescindível para a utilização válida, perante a lei. Logo, seria necessário um contrato com espaço para o contratante rubricar a cláusula específica, a fim de demonstrar a devida anuência pelo titular em caso de contrato físico, ou um campo destacado dos demais para assinalar, caso o contrato seja eletrônico.
Outro ponto de destaque refere-se à necessidade de se informar a finalidade da utilização dos dados pela empresa, a que se destinam e como serão utilizadas as informações pessoais do titular, sendo estritamente vedado o consentimento para autorizações genéricas (art. 8.º, §4.º). O titular das informações deverá ser informado da destinação específica dos seus dados pessoais, se aquelas informações serão transmitidas a outras empresas, se serão comercializadas ou não, se servirão como base para pesquisas, sendo consideradas nulas pelo ordenamento jurídico as cláusulas contratuais que preverem destinações genéricas.
Mais um ponto de destaque da referida lei é que o consentimento para a utilização de dados pode ser revogado em qualquer tempo, o titular poderá, inclusive, solicitar a eliminação dos seus dados pessoais utilizados anteriormente, sendo que o procedimento para tanto não deve ser oneroso, passando a produzir efeitos dali em diante.
Fato é que o consentimento do titular ou responsável e a finalidade do tratamento são requisitos básicos exigidos pela LGPD. Cabe ao responsável pelo tratamento de dados realizar a prestação de contas, garantir a segurança dos dados, a transparência e facilidade de acesso dos titulares às informações, devendo o tratamento ser limitado às necessidades previstas em sua finalidade.
A referida Lei (LGPD) prevê ainda sanções àquelas empresas que descumprirem as normas, que variam desde uma simples advertência, com indicação de prazo para adoção de medidas corretivas, até multa de até R$ 50.000.000,00 (cinquenta milhões de reais) por infração.
Além das sanções administrativas, caso a empresa cause algum dano ao titular dos dados, esta ainda poderá responder civilmente perante a justiça observando-se o quanto disposto tanto no código civil quanto no código de defesa do consumidor.
Desta forma, afim de garantir o cumprimento de todos os requisitos exigidos pela LGPD as empresas têm até agosto de 2020 para:
– Realizar auditoria dos dados em tratamento;
– Nomear um encarregado;
– Implantar ou revisar as políticas de segurança da informação;
– Revisar os contratos e termos e condições;
– Elaborar relatórios de impacto à privacidade
No que se refere aos contratos a serem atualizados estão inclusos:
– Política de Privacidade
– Contratos com o Consumidor
– Contratos de Trabalho
– Contratos com Terceirizados
– Política de Cookies
Será necessário atentar-se também à comprovação da aplicação de medidas administrativas e técnicas de proteção dos dados pessoais, conforme previsão dos artigos 6.º, 18.º e 42.º a 49.º da LGPD.
As empresas deverão atentar-se ainda para a legitimação dos contratos antigos, pois as mesmas regras criadas para novas coletas deverão ser aplicadas aos contratos antigos, mas com procedimentos específicos, por exemplo, dados que por determinação interna não poderão mais ser coletados, deverão ser eliminados se fizerem parte do banco de dados do legado.
Dados que deverão ter consentimento em novas coletas, caso já existam no legado, deverão ser legitimados por meio de uma nova comunicação e consentimento expresso do titular.
Portanto, é importante estabelecer 2 grupos de dados pessoais: os que precisam de consentimento e os que podem ser mantidos dentro de alguma das exceções de consentimento (cumprimento de obrigação legal, por exemplo).
Fazer o levantamento inicial do inventário das bases de dados pessoais atuais da empresa é de extrema importância para elaborar um plano de ação eficiente. A revisão dos contratos antigos, a readequação das políticas de segurança, a criação de regras de compliance dentre outras ações, são fundamentais para que as medidas administrativas e técnicas adotadas a partir daí estejam em conformidade com a nova lei, evitando com isto sanções administrativas e judiciais.
