Lei Geral de Proteção de Dados: o guia completo sobre a Lei

Na Era Digital, a preocupação com a segurança dos dados é grande. Seguindo tendência internacional, o Brasil sancionou, no ano passado, a Lei Geral de Proteção de Dados (LGPD).

O debate sobre assunto surgiu em 2010, mas ficou ainda mais forte em 2018, quando a União Europeia criou normas de regulamentação do uso de dados.

O que diz a lei? Ela já está valendo? Quem vai ter se adaptar? Durante o texto, vamos explicar tudo que você precisa saber sobre LGPD. Confira.

O caso da Cambridge Analytica

Antes de entrar propriamente na conversa sobre LGPD, é importante entender de onde saiu a necessidade de criar uma lei para regulamentação de dados.

Em março de 2018, tablóides do mundo todo denunciaram o vazamento sem precedentes das informações de 50 milhões de usuários do Facebook.

Os dados foram enviados sem o consentimento de nenhum desses usuários pela empresa americana Cambridge Analytica para fazer propaganda política.

Você ia ficar confortável sabendo que uma empresa sabe, sem você ter enviado qualquer informação, seu endereço, sua renda mensal e seus hábitos de consumo? Provavelmente não.

O episódio desencadeou uma série de discussões sobre a necessidade de proteger melhor os dados pessoais.

A coleta das informações foi possível por causa de uma brecha nos termos e condições do Facebook, que dizia que nenhum dado coletado da rede poderia ser vendido.

Porém, em um teste psicológico da Global Science Research feito da plataforma, essa restrição não foi aplicada.

Dessa forma, todos que fizeram o teste tiveram seus dados vendidos para a Cambridge Analytica, que fazia análise de dados e que era contratada pela campanha presidencial de Donald Trump e pelo pró-Brexit, que promovia a saída do Reino Unido da União Europeia.

Na Europa, foi criada a General Data Protection Regulation (GDPR), que, no Brasil, se transformou na Lei Geral de Proteção de Dados.

Agora que deu para entender a importância de uma lei regulatória, vamos saber mais sobre a LGPD.

O que é a LGPD?

LGPD é a sigla para Lei Geral de Proteção de Dados do Brasil. A Lei Federal nº 13.709/2018 foi sancionada em agosto de 2018 pelo presidente Michel Temer e entrou em vigor em Setembro de 2020.

Com a implementação da LGPD, o nosso país se junta a outras 120 nações que possuem políticas de proteção de dados pessoais.

A lei, inicialmente, entraria em vigor em Agosto de 2021, porém, e Abril, o Senado propôs um adiamento para Maio de 2021, para que pequenas e médias empresas tivessem mais tempo de se adaptarem as novas regras.

No entanto, em Setembro, o presidente Jair Bolsonaro sancionou a lei da forma inicial em que foi proposta, com o início para Agosto.

Por isso, a lei passou a valer em Setembro de 2020, mas de forma retroativa a Agosto.

Antes da LGPD, o Brasil possuía alguns tópicos isolados sobre o assunto dentro do Marco Civil da Internet e do Código de Defesa do Consumidor.

Além de regras sobre recolhimento, armazenamento, tratamento e compartilhamento de dados pessoais, a LGPD impõe mais proteção e prevê punições para seu descumprimento.

Ao todo, são 10 artigos organizados em 65 capítulos na lei. Esse número alto é consequência da falta de regulamentação anterior. Agora, a privacidade dos dados pessoais é protegida de forma mais ampla.

Como são assuntos que, até então, não tinham sido tratados constitucionalmente, a LGPD pode gerar algumas dúvidas. Continue lendo o texto que a gente te explica tudo.

Ainda não há multa nem punições em caso de descumprimento da lei

Por mais que a lei já tenha entrado em vigor, por conta de todo o trâmite das datas de início da vigência da lei, as punições ainda não estão valendo.

Isso porque o órgão responsável por fiscalizar as regras ainda não foi totalmente composto.

Por isso, e dando um prazo maior para que as empresas se adequem às novas regras, as multas só começarão a ser aplicadas em Agosto de 2021.

De toda forma, o ideal é que os gestores já comecem a colocar em prática o que diz a lei. Dessa forma, a empresa já se acostuma com os requisitos legais para quando a LGPD entrar em vigência.

Além disso, essa regulamentação de uso de dados pessoais já existe em diversos países. Se sua empresa é multinacional, é provável que já tenha tido que se adequar às normas.

O que são considerados dados pessoais?

Os dados pessoais são toda e qualquer informação que permita a identificação daquele indivíduo, como nome, endereço, e-mail, número de documentos, telefone e dados de cadastros.

Não entra, na Lei Geral de Proteção de Dados, o tratamento das informações classificadas como dados pessoais sensíveis, que são preferências políticas, filosóficas, orientação sexual, religião, a menos que eles possam ser usados para identificar alguém.

É importante salientar que a LGPD se aplica tanto pelas operações de tratamento de dados realizadas por pessoas físicas quanto para as executadas por pessoas jurídicas.

Isso quer dizer que, independentemente do meio, do país de sede da empresa, (sendo ela de direito público ou privado), ou de quem são as informações, a LGPD se aplica a quaisquer dados que tenham sido coletados no Brasil.

As bases de tratamento de dados

A Lei Geral de Proteção de Dados regulariza o tratamento de dados pessoais e estabelece para empresas quando elas podem tratar os dados. Assim, são dadas justificativas que dão direito à  empresa de fazer esse tratamento.

Essas explicações são essenciais para a aplicação da LGPD, pois, dessa forma, é estabelecido um limite entre tratamento legal e ilegal das informações.

Para que os dados possam ser tratados, é preciso que o usuário deixe claro seu consentimento. Para ser uma justificativa válida, esse consentimento deve ser inequívoco, ou seja, todas as informações sobre o uso dos dados devem estar evidentes.

Sabe aquelas letrinhas pequenas ou aquele asterisco com nota de rodapé? Elas podem anular essa autorização da LGPD.

Os textos, de acordo com a LGPD, devem ser escritos de forma que todos os usuários tenham pleno conhecimento do que vão ou não autorizar.

Quem vai ser afetado pela LGPD?

No meio jurídico, existem 4 denominações para as pessoas envolvidas nas operações da LGPS: o titular, o controlador, o operador e o encarregado.

Titular

O titular é, no caso de ser uma pessoa física, o proprietário dos dados. Se for o número do seu telefone, por exemplo, o titular é você.

Controlador

O controlador é a pessoa jurídica que recebe esses dados.

Operador

Já o operador é a empresa que coleta os dados através de automação.

Encarregado

O encarregado é o profissional responsável pela segurança e pela proteção desses dados. É ele que fica em contato direito com a Autoridade Nacional de Proteção de Dados (ANPD), que vamos falar mais pra frente.

Como ela vai impactar as empresas?

Todas as empresas que trabalham com análise ou coleta de dados vão ter que, obrigatoriamente, se adequar à LGPD.

Dessa forma, elas deverão solicitar a permissão do titular dos dados para que eles possam ser analisados. Esse consentimento deve ser explicado em detalhes.

O consumidor deve ser informado sobre qual o propósito que a empresa tem ao coletar seus dados, qual vai ser o período de utilização e como alterar ou cancelar a concessão dos dados.

As principais mudanças com a LGPD

A Lei Geral de Proteção de Dados se preocupa em garantir a privacidade e o controle de dados, aumentando a segurança dos usuários em relação ao sigilo de suas informações.

Os direitos estabelecidos pela LGPD incluem algumas mudanças que merecem atenção:

Direito ao esquecimento

O direito ao acesso permite que as pessoas saibam quais conteúdos uma empresa armazena sobre elas.

O direito ao esquecimento diz respeito ao controle do usuário sobre a maneira como ele é exposto. Se existe algum conteúdo que a pessoa quer retirar da Internet, a LGPD garante a possibilidade de exigir a remoção desse conteúdo.

Informação e explicação sobre o uso das informações

O direito à informação é aquele que prevê a transparência na hora de saber quais os dados serão tratados e por quê.

As empresas, com a LGPD, serão obrigadas a deixar claro o porquê dela armazenar os seus dados, por quanto tempo ele ficará guardado e o que pode ser feito caso você mude de ideia.

Correção e devolução dos materiais

É direito do consumidor poder retificar, cancelar ou excluir da posse da empresa qualquer dado pessoal, a qualquer momento, depois da implementação da LGPD.

Instituições financeiras

Os bancos costumam ter um cadastro de clientes que contém os principais dados sobre cada um. Com a LGPD, a proteção de crédito fica mais forte graças a algumas mudanças.

Os sistemas financeiros anteriores eram chamados de opt-out, em que o cliente teria seus dados comunicados entre os bancos, sem a autorização prévia dessa pessoa.

Com a LGPD, o sistema muda para opt-in. Dessa forma, o cliente deve enviar uma autorização para que a informação saia de um banco e vá para outro. Isso leva à portabilidade dos dados, tópico a seguir.

Portabilidade dos dados

Com a LGPD, os titulares dos dados pessoais podem solicitar a portabilidade, ou seja, eles podem pedir para que as suas informações saiam daquela empresa e sejam transferidas para outro serviço.

Essa autorização deve ser enviada pelo cliente seguindo, também, o direito à informação. Ou seja, nenhuma cláusula pode ser estar nas entrelinhas.

Aplicação extraterritorial

Assim como no modelo europeu, a Lei Geral de Proteção de Dados tem aplicações extraterritoriais. Dessa forma, toda empresa que tratar de dados de cidadãos brasileiros ou de estrangeiros que moram no Brasil tem que seguir a Lei.

Na LGPD, não importa se a sede ou filial da empresa está localizada no Brasil. Se tiver dados que incluam pessoas do/no país, é preciso cumprir as normas.

A LGPD tem um “efeito dominó” porque é preciso estar em conformidade com a lei em todas as etapas dos processos, e isso inclui a hora de lidar com empresas parceiras.

Mais fiscalização

Antes da LGPD, não era possível fiscalizar como os dados estavam sendo utilizados. Também não era possível exigir transparência nas transações das informações pessoais.

Foram criados órgãos especializados, que podem aplicar punições àqueles que descumprirem a LGPD.

Quem é responsável pela fiscalização?

A fiscalização foi um dos maiores impasses na implementação da LGPD. A Lei foi sancionada em 2018, mas, no mesmo período, foi vetada a criação de um órgão regulador.

O argumento foi que, nos moldes dos legisladores, haveria uma falha. O Poder Legislativo estaria criando despesas ao Poder Executivo, prática que seria inconstitucional.

Em dezembro de 2018, o presidente Michel Temer editou a medida que criava a ANPD, mas com várias restrições em relação ao texto original.

Nesse processo de discussão da LGPD foi criada, a partir da Medida Provisória 869/18, a Autoridade Nacional de Proteção de Dados (ANPD).

Ela é a principal responsável por fiscalizar o cumprimento das normas que foram fixadas na Lei. A qualquer momento, a ANPD poderá pedir relatórios de riscos de privacidade às empresas.

A medida serve para certificar de que as organizações estão dentro das normas estabelecidas pela  LGPD.

A criação da ANPD

Depois de muita discussão de como seria a estrutura da ANPD (e de muita crítica de especialistas sobre a demora na criação desse órgão), o Governo Federal publicou o decreto de criação da ANPD dia 27 de Agosto.

Segundo o decreto, a ANPD terá 36 cargos, sendo 16 em comissão remanejados e 20 funções comissionadas do Poder Executivo.

A função da agência será elaborar as diretrizes do Plano Nacional de Proteção de Dados, fiscalizar as empresas para garantir o cumprimento da legislação de aplicar as sanções administrativas nas empresas que estiverem em desacordo com LGPD.

Vale lembrar que, como já falamos, as punições só serão aplicadas a partir de 1º de Agosto de 2021.

No início do ano, o presidente Jair Bolsonaro já havia barrado o dispositivo que permitia à ANPD cobrar taxas por serviços prestados.

A justificativa do Presidente foi de que não poderia haver cobrança de uma instituição de natureza jurídica transitória da Autoridade. Dessa forma, a ANPD passa a depender do Orçamento da União.

Caso a LGPD seja descumprida

A partir de Agosto de 2021, as penalidades para o descumprimento da LGPD passam a valer. As punições podem causar prejuízos financeiros e proibições.

As sanções envolvem:

• Advertência. Nesse caso, haverá um prazo para corrigir as medidas. Depois, acontece a fiscalização novamente;
• Multa simples, que chega a até 2% do faturamento líquido da pessoa jurídica, com o máximo de 50 milhões de reais por infração;
• Multa diária;
• Publicação da infração, caso seja confirmada;
• Proibição total ou parcial das atividades relacionadas ao tratamento de dados;
• Bloqueio dos dados pessoas envolvidos na infração enquanto a situação não for regularizada e, em caso de outro descumprimento, há a eliminação desses dados.

Sua implantação vai ser um desafio, mas a LGPD já é vista como um avanço na segurança dos dados, ao assegurar ao usuário o controle dos próprios dados.

Assim como outras leis, a LGPD pode sofrer algumas alterações decorrentes das necessidades que podem aparecer durante sua implementação. Por isso, fique sempre de olho. Ouça também o nosso podcast sobre o assunto.