Com a sanção presidencial do PLV 34/2020, originado da MP 959/20, que, após votação no Senado, não mais prorroga a vigência da LGPD, esta lei entrou em vigor na última sexta-feira, dia 18/09/2020. Com isso, empresas e órgãos públicos e privados devem adotar medidas relacionadas ao tratamento de dados pessoais.
Em 15/08/2018 foi publicada a Lei Geral de Proteção de Dados Pessoais (LGPD – Lei 13.709/2018), que visa regulamentar o tratamento de dados pessoais no território nacional.
Com previsão inicial de vigência em 15/02/2020, este prazo sofreu diferentes prorrogações, até que, depois de uma reviravolta no Senado na votação da Medida Provisória (MP) 959/20, decidiu-se que o artigo desta MP que previa nova prorrogação da LGPD estaria prejudicado. Assim, com a sanção presidencial do Projeto de Lei de Conversão (PLV) 34/2020, originado da MP, a LGPD entrou em vigor nesta sexta-feira, dia 18/09/2020.
De acordo com a LGPD, dados pessoais são informações relacionadas à pessoa natural identificada ou identificável, o que inclui, por exemplo, nome completo, RG, CPF, telefone, e-mail, ou, em alguns contextos, número de IP, geolocalização, hábitos de compra, dentre outros.
Ainda, dados pessoais sensíveis são dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genético ou biométrico, quando vinculado a uma pessoa natural, os quais possuem uma regulamentação mais específica.
A LGPD prevê hipóteses específicas para o tratamento de dados pessoais, definidas abaixo:
Dados Pessoais
1.Consentimento do titular;
2.Cumprimento de obrigação legal ou regulatória pelo controlador;
3.Execução de políticas públicas pela Administração Pública;
4.Realização de estudos por órgão de pesquisa;
5.Execução de contrato ou de procedimentos preliminares relacionados a contrato;
6.Exercício regular de direitos em processo judicial, administrativo ou arbitral;
7.Proteção da vida ou da incolumidade física do titular ou de terceiros;
8.Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
9.Atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; e
10.Proteção do crédito.
Dados Pessoais Sensíveis
1.Consentimento do titular;
2.Cumprimento de obrigação legal ou regulatória pelo controlador;
3.Execução de políticas públicas pela Administração Pública;
4.Realização de estudos por órgão de pesquisa;
5.Exercício regular de direitos em processo judicial, administrativo ou arbitral;
6.Proteção da vida ou da incolumidade física do titular ou de terceiros;
7.Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; e
8.Garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
Este tratamento deve ser realizado com a observância da boa-fé e de diferentes princípios gerais de proteção dos dados pessoais, como o princípio da transparência, finalidade, adequação, necessidade, segurança, prevenção e responsabilização.
Ainda, a LGPD prevê uma série de direitos aos titulares, como o direito de confirmação da existência de tratamento, acesso aos dados, correção dos dados, informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa e revogação do consentimento.
Com isso, empresas e órgãos públicos e privados devem adotar medidas relacionadas ao tratamento de dados pessoais que visem se adequar ao disposto na LGPD.
Em caso de violação ao disposto na LGPD, o agente de tratamento poderá ser responsabilizado pela reparação do dano, seja ele patrimonial, moral, individual ou coletivo.
Ainda, a partir de 01/08/2021, será possível a aplicação de sanções administrativas àqueles que não estejam em conformidade com a LGPD. Tais sanções vão desde advertências administrativas até multas, que podem alcançar o patamar de 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitadas a R$ 50.000.000,00.
Assim, recomenda-se que as empresas e órgãos que realizem o tratamento de dados pessoais iniciem o quanto antes seus programas de conformidade à LGPD, sendo apresentada a seguir uma sugestão de passo a passo, organizada por ordem de prioridade.
Indicar o encarregado, responsável pela comunicação com os titulares e com a Autoridade Nacional de Proteção de Dados (ANPD);
Desenvolver protocolo de atendimento aos direitos dos titulares;
Disponibilizar em seu site Aviso de Privacidade/Política de Proteção de Dados Pessoais/Política de Cookies e as informações do Encarregado;
Realizar treinamentos e iniciar o desenvolvimento de uma cultura de proteção de dados em sua organização;
Mapear o tratamento de dados pessoais realizado por sua organização, com a identificação dos dados pessoais tratados, como são coletados, como são tratados, onde estão armazenados e quando e como são eliminados;
Averiguar se sua organização e os operadores envolvidos no tratamento adotam medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais;
Revisar e ajustar contratos que versem sobre tratamento de dados pessoais e criar regulamentação interna acerca da proteção de dados pessoais; e
Desenvolver protocolo de resposta a incidentes de segurança.
Leandro J. Giovanini Casadio – advogado Brasil Salomão e Matthes Advocacia
Beatriz Valentim Paccini – advogado Brasil Salomão e Matthes Advocacia