CECGP

Notícia

Centro de Estudos Constitucionais e de Gestão Pública

ATENÇÃO REDOBRADA COM AS BOAS PRÁTICAS NA PROTEÇÃO DE DADOS: LGPD

Por tratamento de dados, a Lei entende que são basicamente todas as operações realizadas com os dados, desde a simples coleta, até o seu armazenamento e processamento…

 

A Lei Geral de Proteção de Dados (“LGPD”), Lei 13.709/2018, entrou em vigor em 18.09.2020, a partir da sanção, pelo Presidente Jair Bolsonaro, da Lei nº 14.058/2020. O Presidente manteve o veto ao artigo 4º da Medida Provisória nº 959/2020, que dispunha sobre a vigência da LGPD a partir de 03.05.2021. Com isso, é preciso que, desde logo, as empresas adequem as suas práticas, para que seja resguardado o direito à proteção dos dados de seus titulares.

Por tratamento de dados, a Lei entende que são basicamente todas as operações realizadas com os dados, desde a simples coleta, até o seu armazenamento e processamento. É importante ter em mente que a LGPD não tem como objetivo impedir a transmissão e o compartilhamento de dados pessoais. Pelo contrário, a Lei vem para regulamentar o tratamento desses dados, criando regras que têm o intuito de proteger os titulares e criar um ambiente com boas práticas.

A LGPD determina que todo e qualquer tratamento deverá ser realizado de acordo com a finalidade para o qual determinado dado pessoal foi coletado. Dessa forma, por exemplo, se um dado foi coletado tão somente para a execução de operações bancárias, a LGPD estabelece que tais dados não possam ser utilizados para finalidades distintas.

Outro aspecto relevante diz respeito às bases legais que passam a ser exigidas das empresas para legitimar o tratamento de dados. Criou-se, no mercado, o sentimento de que somente o consentimento do titular permitiria que os dados fossem tratados. Contudo, a LGPD prevê diversas outras hipóteses que autorizam o tratamento de dados pessoais sem que haja prévio consentimento: para o cumprimento de obrigação legal ou regulatória; para a realização de estudos de órgãos de pesquisa, garantindo sempre que possível a anonimização dos dados pessoais; para execução dos contratos ou procedimentos preliminares desses contratos em que o titular dos dados é parte e ele próprio requisitou o contrato; para o exercício regular dos direitos em processo de quem coletou os dados; para a proteção da vida ou incolumidade física do titular dos dados ou de terceiro; para a tutela da saúde, dentro dos requisitos previstos em lei; para atendimento do interesse legítimo do controlador ou de terceiro; e até mesmo para fins de proteção do crédito.

A Administração Pública, por sua vez, poderá sempre realizar o tratamento de dados quando tiver como finalidade a execução de políticas públicas, desde que resguardada em lei, regulamentos ou contratos.

Ou seja, a concessão de consentimento pelo titular é apenas uma das hipóteses que autorizam o tratamento dos dados pessoais, dispensando-o caso o tratamento seja regularmente realizado com fundamento em outra das hipóteses legais previstas.

Mas quais são os impactos de não cumprir com as determinações da LGPD?

Neste momento, as penalidades previstas nos artigos 52, 53 e 54 da LGPD não poderão ser aplicadas. Isso porque, a Lei nº 14.010, de junho de 2020, determinou que as penalidades poderão ser aplicadas pela Autoridade Nacional de Proteção de Dados (“ANPD”) tão somente a partir de 1º de agosto de 2021. Assim, temos, por hora, um período de adaptação.

Cabe relembrar que dentre tais sanções, a LGPD prevê a possibilidade de aplicação de multa de até 2% do faturamento das empresas, limitado ao valor de R$50 milhões. Além de multas, há outras penalidades que podem ser bem gravosas, tais como publicizar a infração e as medidas que foram tomadas para remediar tal infração, bem como proibir o exercício de atividades relacionadas ao tratamento de dados, em casos mais extremos, conforme os elementos do caso concreto.

Contudo, isso não significa dizer que as empresas não poderão sofrer desde já os efeitos da LGPD.

Mesmo não sendo possível a aplicação das penalidades previstas na LGPD, recomenda-se que desde logo todas as empresas que realizam tratamento de dados estejam em conformidade com as determinações da Lei. Isso porque outros órgãos poderão impor multas às empresas ou ingressar com ações exigindo o cumprimento de dispositivos da Lei em razão de violação à privacidade. A título exemplificativo, os órgãos de defesa do consumidor poderão sancionar com base nas penalidades previstas no Código de Defesa do Consumidor.

Ainda, há a possibilidade de ajuizamento de ações civis públicas para impor que as empresas estejam em compliance com a LGPD, assim como de ações ou reclamações individuais, em que os titulares de dados poderão pleitear o exercício de algum de seus direitos previstos na Lei.

Vale ressaltar, ainda, que a ANPD será a responsável pela regulação e fiscalização das práticas de proteção de dados, bem como terá papel educativo e interpretativo quanto à LGPD, emitindo diretrizes que poderão auxiliar as empresas a estarem em conformidade com a Lei. Tal atuação será mais um elemento relevante para a mudança cultural das empresas e dos próprios titulares, na medida em que a LGPD afeta tanto a forma de fazer negócio, quanto a preservação individual da privacidade.

Portanto, a LGPD está finalmente em vigor e com isso as empresas deverão revisar as suas práticas comerciais e de gestão interna para verificar se todo o tratamento de dados pessoais está sendo realizado de forma adequada com as exigências da LGPD.

*Isabela Boscolo Camara e Luiza Coelho Guindani, advogadas, sócias do escritório Souto Correa Advogados