De compras on-line a redes sociais, de hospitais a bancos, de escolas a teatros, de hotéis a órgãos públicos, da publicidade à tecnologia: pode ter certeza, a Lei Geral de Proteção de Dados Pessoais (LGPD) afetará diferentes setores e serviços, e também a todos os brasileiros.
Para empresas a situação é preocupante, precisando essa entender os direitos do cidadão e, principalmente, suas obrigações, caso seja responsável por bases de dados de pessoas.
A LGPD é a lei nº 13.709, aprovada em agosto de 2018 e com vigência a partir de agosto de 2020. Contudo, mesmo sem validade ainda, já existem órgãos de defesa do consumidor, como o Procon de São Paulo, que estão utilizando suas premissas para abrir brechas e multar empresas.
Recentemente, a Drogaria Araújo teve que assinar um Termo de Ajuste de Conduta (TAC). Isso porque foi condenada a pagar uma multa de R$ 7.9 milhões por condicionar descontos ao fornecimento do CPF no ato da compra, sem dar informações adequadas sobre a abertura de cadastro.
Isso mostra que empresas que mexem com dados dos clientes, seja esta de pequeno, médio ou grande porte, precisam ficar atentas, já que a lei terá grande impacto nas mais variadas forma de uso das informações e o descuido poderá ser fatal.
Uma alternativa que vem sendo procurada é a implementação de meios de proteção de dados pessoais, e aí entra a ISO/IEC 27002:2013, que estabelece meios e requisitos para auxiliar na conformidade com a lei. Por este motivo é recomendável que as organizações entendam a importância de lidar melhor com seus dados.
Mas, como é a lei?
Para entender a importância do assunto, é necessário saber que a nova lei quer criar um cenário de segurança jurídica, com a padronização de normas e práticas, para que sejam protegidos, de forma igualitária e dentro do país e no mundo, os dados pessoais de todo cidadão que esteja no Brasil.
Segundo o órgão governamental Serpro informa: para que não haja confusão, a lei traz logo de cara o que são dados pessoais, define que há alguns desses dados sujeitos a cuidados ainda mais específicos, como os sensíveis e os sobre crianças e adolescentes, e que dados tratados tanto nos meios físicos como nos digitais estão sujeitos à regulação.
A LGPD estabelece ainda que não importa se a sede de uma organização ou o centro de dados dela estão localizados no Brasil ou no exterior: se há o processamento de conteúdo de pessoas, brasileiras ou não, que estão no território nacional, a lei deve ser cumprida. Define também que é permitido compartilhar dados com organismos internacionais e com outros países, desde que isso ocorra a partir de protocolos seguros e/ou para cumprir exigências legais.
Consentimento
Outro elemento essencial da LGPD é o consentir. Ou seja, o consentimento do cidadão é a base para que dados pessoais possam ser tratados. Por exemplo, a pessoa tem que solicitar para receber um e-mail ou algum conteúdo que queiram lhe enviar.
Mas há algumas exceções a isso: é possível tratar dados sem consentimento se isso for indispensável para cumprir uma obrigação legal; realizar estudos via órgão de pesquisa; executar contratos; defender direitos em processo; preservar a vida e a integridade física de uma pessoa; tutelar ações feitas por profissionais das áreas da saúde ou sanitária; prevenir fraudes contra o titular; proteger o crédito; ou atender a um interesse legítimo, que não fira direitos fundamentais do cidadão.
Automatização com autorização
Por falar em direitos, é essencial saber que a lei traz várias garantias ao cidadão, que pode solicitar que dados sejam deletados, revogar um consentimento, transferir dados para outro fornecedor de serviços, entre outras ações.
E o tratamento dos dados deve ser feito levando em conta alguns quesitos, como finalidade e necessidade, que devem ser previamente acertados e informados ao cidadão. Por exemplo, se a finalidade de um tratamento, feito exclusivamente de modo automatizado, for construir um perfil (pessoal, profissional, de consumo, de crédito), o indivíduo deve ser informado que pode intervir, pedindo revisão desse procedimento feito por máquinas.
ANPD e agentes de tratamento
E tem mais. Para a lei a “pegar”, o país contará com a Autoridade Nacional de Proteção de Dados Pessoais, a ANPD. A instituição vai fiscalizar e, se a LGPD for descumprida, penalizar. Além disso, a ANPD terá, é claro, as tarefas de regular e de orientar, preventivamente, sobre como aplicar a lei. Cidadãos e organizações poderão colaborar com a autoridade.
Com informações do Serpro – https://www.serpro.gov.br