A Lei Geral de Proteção de Dados no Brasil

A plenitude de vigência da Lei Geral de Proteção de Dados Pessoais – LGPD (Lei nº 13.709/2018) será em agosto de 2020, regulando as atividades de tratamento de dados pessoais, fortalecendo a proteção da privacidade do titular dos dados, a liberdade de expressão, de informação, de opinião e de comunicação, a inviolabilidade da intimidade, da honra e da imagem e o desenvolvimento econômico e tecnológico do país[1].

Discordando um pouco de David Rogers[2], a sociedade digital é uma decorrência da pós-modernidade e uma questão estratégia e da mudança da forma de pensar das pessoas, influenciada veementemente por meio da evolução tecnológica e energética, mudando a forma de desenvolvimento da economia, o modo de consumo e relacionamento das pessoas, fazendo com que o Estado venha a regular as novas situações. Diplomas legais como a Lei nº 12.737/2012, conhecida como Lei Carolina Dieckmann e Lei nº 12.965/2014, conhecida como Marco Civil da Internet e a própria LGPD são exemplo dessa transformação digital da sociedade.  Não se podem olvidar as alterações realizadas na LGPD por meio da Lei nº 13.853, de 8 de julho de 2019, no sentido de retirar algumas possíveis imprecisões no texto original.

A LGPD brasileira teve como parâmetro o Regulamento Geral de Proteção de Dados Pessoais Europeia (Lei nº 679, aprovado em 27 de abril de 2016), cujos valores fundamentais são a proteção e garantia dos direito humanos e a privacidade, já afirmados na Declaração Universal de Direitos Humanos (DUDH).

A LGPD tem aplicação em todo território nacional, possui como linha mestra o consentimento pessoal e o uso vinculado a uma finalidade específica, passando a informação de dados pessoais a ser um ativo de alta relevância para governantes e empresários: quem tem acesso a dados, tem acesso a poder[3].

Cabe a observação de que a adaptação de sistemas e meios corporativos à LGPD traz consequências severas e elevação de custos para empresas e governo, mas a adequação de sistemas normativos e empresariais à nova realidade de regulação é uma necessidade de segurança pública e competitividade empresarial.

Poder público e inciativa privada devem se adaptar as novas regras de proteção de dados requerente adoção de novas ferramentas tecnológicas, registro documental, procedimentos claros e seguros e uma mudança de comportamento e responsabilidade sobre a gestão e manuseio de dados pessoais.

A LGPD altera sensivelmente a forma como as corporações públicas e privadas (governos e empresas) devem trabalhar a segurança cibernética de seus negócios, sendo pontos sensíveis: a) farewall; e b) proteção de camadas: and point; servidores; WEB.

As adaptações que devem ser adotadas devem partir da pergunta básica da implantação de um verdadeiro compliance cibernético: Todos os meios de acesso aos dados estão protegidos?  Baseados nessa indagação, e segundo Ita Marques[4], devem-se seguir seis passos básicos, havendo variações conforme o caso:

  1. Definição de uma estratégia interna (LGPD, art. 41). Definida pelo controlador do dado e a partir de um inventário, identificação e estratificação dos dados aplicados a uma metodologia específica;
  2. Obtenção de consentimento para tratamento de dados (LGPD, art. 7, inciso I).  A lei traz algumas hipóteses onde o consentimento pode ser mitigado;
  3. Revisão das políticas de dados e de acesso à informação.  Passa importantíssimo para evitar sobreposição antinômica de regulação;
  4. Elaboração de relatórios de impacto à proteção de dados pessoais. Os relatórios fazem parte do controle concomitante e posterior de qualquer processo regulatório público ou privado visando a garantir a eficiência e eficácia das medidas;
  5. Reavaliar os dados pessoais e transparência.  Principal ato de sistemática da LGPD com os demais regramentos estatais que versam sobre informações sensíveis;
  6. Revisão de contratos e negócios jurídicos com fornecedores e stakeholders;

No mesmo sentido, Henrique Somadossi[5] aponta como medidas a serem implementadas pelas empresas e governo até a vigência da LGPD: a) nomeação de um encarregado; b) realização de uma auditoria de dados; c) elaboração de mapa de dados; d) revisão das políticas de segurança; e) revisão de contratos; f) elaboração de Relatório de Impacto de Privacidade

Somente com a concretização desses passos será possível a elaboração de um plano de política de implantação da LGPD e a respectiva arquitetura de segurança cibernética para o adequado compliance das corporações com a nova legislação.

O cumprimento das adequações à LGPD garantirá uma segurança empresaria e corporativa em face das possíveis medidas punitivas que a lei traz, podendo chegar até multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil, no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração (LGPD, art. 52, inciso II).

Pequenas, médias e grandes empresas, bem como governos e suas estatais, terão que se adequar à LGPD por meio de investimentos em cibersegurança e implementar sistemas de compliance efetivos para prevenir, detectar e remediar violações de dados pessoais, notadamente porque a lei prevê que a adoção de política de boas práticas será considerada como critério atenuante das penas[6].

Com a Lei nº 13.853, de 8 de julho de 2019, algumas possíveis imprecisões no texto original, bem como lacunas foram suprimidas do sistema da LGPD, como exemplo a criação da Autoridade Nacional de Proteção de Dados (ANPD), apesar de ter como consequência a criação de dois prazo de vacatio legis a partir de 28/12/2018, para início de vigência da operatividade da ANPD e, vacatio legis a partir de 14 de agosto de 2020, para vigência plena de seus dispositivos.

A LGPD é uma realidade aos pórticos das empresas brasileiras, públicas ou privadas, e todos devem desenvolver seus planejamentos e planos de adequação as disposições legais previstas, para o fim de garantir um bom serviço de segurança cibernética por meio de um sistema corporativo que proteja o dado e a informação dele gerada enquanto fonte de valor individual, social e empresarial.

[1] Pinheiro PP. Proteção de dados pessoais: comentários à Lei nº 13.709/2018. São Paulo: Saraiva 2018.

[2] Rogers DL. Transformação digital: repensando o negócio para a era digital. Tradução Afonso Celso da Cunha Serra. 1. Ed. São Paulo: Autêntica Business, 2017.

[3] Pinheiro PP. Proteção de dados pessoais: comentários à Lei nº 13.709/2018. São Paulo: Saraiva 2018.

[4] Diretor Proprietário da Hair Designer e Diretor de Vendas da Rogos Telecom Ltda.

[5] PRADO HS. O que muda com a Lei Geral de Proteção de Dados (LGPD). Migalhas, sexta-feira, 24 de agosto de 2018. Disponível em: https://www.migalhas.com.br/dePeso/16,MI286235,31047-O+que+muda+com+a+Lei+Geral+de+Protecao+de+Dados+LGPDAcessado em: 21/12/2019.

[6] Idem

José Gondim é diretor-presidente da Companhia de Desenvolvimento de Serviços Ambientais (CDSA) do Acre.