A Lei Geral de Proteção de Dados – LGPD, publicada em 14/08/2018 e “prevista” para entrar em vigor em 24 meses, já vem tirando o sono de muitos programadores e demais profissionais da área de tecnologia e informação. Aliás, já devemos ter percebido que, nos últimos tempos, temos recebido mensagens de atualização de concordância com os termos das páginas e/ou sistemas visitados/utilizados.
Criada com o propósito de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural (física), tem como fundamentos o respeito a privacidade, liberdade de informação, expressão, comunicação e opinião, inviolabilidade da intimidade, honra e imagem, a livre iniciativa, a livre concorrência, os direitos do consumidor, dentre outros.
A LGPD (inspirada no Regulamento Geral de Proteção de Dados – GDPR – que entrou em vigor em 2018, nos países da União Europeia), aplica-se não apenas as informações obtidas “on line” tais como redes sociais ou comércio eletrônico, mas também, a qualquer tipo de tratamento de informação de pessoas naturais (físicas) realizado por qualquer pessoa (física, jurídica pública ou privada).
E, por tratamento de dados, segundo conceito retirado da própria lei, entende-se “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;” (art. 5º, X, L. 13.709/18).
Como se observa, TODAS as empresas serão, obrigatoriamente, atingidas pela referida legislação, obrigando-as, portanto, a adotarem as medidas de boas práticas quanto ao tratamento dos dados, inclusive assegurando o pleno exercício dos direitos do titular das informações, como acesso, correção de dados incompletos, inexatos ou desatualizados, anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos (de acordo com a finalidade para os quais foram coletados), portabilidade, informação sobre compartilhamento, revogação do consentimento, etc.
A Lei estabelece que as empresas deverão, antes de “tratar” os dados, observar os princípios da finalidade, ou seja, com propósitos legítimos específicos, explícitos e informados ao titular das informações, assim como adequação, necessidade (limitar o tratamento – coleta – ao mínimo necessário para a finalidade), livre acesso, transparência, segurança, prevenção, dentre outros.
Dentre as obrigações prevista na nova legislação, caberá à empresa, ainda, a definição do encarregado pelo tratamento, que será a pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados, pessoa essa que deverá ter sua identidade e informações de contato divulgadas publicamente, de forma clara e objetiva, preferencialmente no site da empresa, o qual terá a função, ainda, de aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; receber comunicações da autoridade nacional e adotar providências; orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Como toda regra, para que seja efetivamente cumprida, vem acompanhada das sanções decorrentes de seu descumprimento, foram estabelecidas sanções administrativas de advertência, multa de até 2% do faturamento da empresa no exercício anterior, limitada a 50 milhões por infração, multa diária, publicização da infração, bloqueio e eliminação dos dados a que se refere a infração.
É possível perceber, pela complexidade da matéria, que muitos temas ainda carecem de informações, esclarecimentos e, principalmente, explicações a respeito de lacunas, divergências e interpretações do texto, sendo que para tanto, será criada a Autoridade Nacional de Proteção de Dados (ANPD), a qual, no entanto, ainda não existe efetivamente.
O tema será recorrente em todo este ano, como também no próximo e deverá ocupar os principais momentos de debate, orçamento e planejamento das empresas, tendo em vista o alcance e a complexidade de suas disposições, bem como a interferência direta na comunicação e obtenção de informações das pessoas físicas.
