O que é a Lei Geral de Proteção de Dados e como ela me afeta?

Você já deve ter ouvido falar da Lei Geral de Proteção de Dados (LGPD), de nª 13.709/2018, e pode ainda não ter entendido o alcance dessa lei para o seu negócio. Não se preocupe, vamos tentar ajudá-lo resumindo algumas de suas principais disposições.

Imersos em um mundo muito mais conectado e cujas informações trafegam eletronicamente com grande dinamismo, há uma preocupação mundial com a proteção à privacidade e à intimidade das pessoas naturais, especialmente com vistas a proteger os dados das pessoas contra vazamentos e usos indevidos. No Brasil, apesar de ter sido sancionada em 2018, a Lei Geral de Proteção de Dados começou a vigorar em setembro de 2020 e, desde então, passou a exigir cuidados para todas as pessoas físicas e jurídicas que tratem dados pessoais de pessoas naturais.

Dado pessoal é toda informação que possa identificar uma pessoa, em conjunto ou isoladamente, incluindo também dados biométricos – impressão digital e fotografia, por exemplo - e dados de saúde, que são considerados dados pessoais sensíveis pela Lei e que, portanto, devem possuir requisitos ainda mais rigorosos de proteção.

Uma pessoa física (empresários, autônomos e profissionais liberais) ou uma pessoa jurídica (empresas de todos os portes, associações, fundações), inclusive pessoas jurídicas equiparadas (como condomínios), que tratam dados são aquelas de alguma forma, seja em papel ou eletronicamente, coletam, tratam, acessam, armazenam, transmitam, distribuam e uma série de outras possibilidades que envolvam algum tipo de relação com dados pessoais de pessoas naturais. Especificamente para microempresas e empresas de pequeno porte, ainda em 2021 a Agência Nacional de Proteção de Dados (ANPD), órgão responsável pela fiscalização e aplicação de penalidades no âmbito de proteção de dados, disporá sobre regras específicas para adequação deste nicho empresarial, sem prejuízo de observância dos princípios básicos de proteção de dados estabelecidos na Lei.

Dentre os cuidados que a Lei estabelece, há o dever de que todos aqueles que tratem dados possuam políticas claras sobre quais são as finalidades e as hipóteses para a coleta e o tratamento de um dado pessoal, bem como a existência de consentimento para as hipóteses em que o tratamento de dados não tenha alguma base legal pré-determinada, como por exemplo, o cumprimento de um dever legal ou regulatório, como no caso dos dados de empregados para fins de registro de sua carteira de trabalho. Além disso, há a o dever de que os agentes de tratamento de dados disponham de mecanismos e ferramentas que minimizem os vazamentos e ataques internos e externos às suas bases de dados.

E o que isso quer dizer?

Isso significa que todos aqueles que lidam com dados pessoais no seu dia a dia, desde fichas de cadastro de clientes, pacientes, fornecedores, funcionários até informações mais sensíveis, como dados de cartão de crédito, contas bancárias, informações biométricas, precisam revisitar a forma com que estão tratando todas estas informações e adequar suas atividades às determinações legais para minimizar os riscos empresariais. A adequação à Lei já é exigível desde setembro de 2020, a ANPD somente poderá aplicar penalidades a partir de 01/08/2021, sem prejuízo de eventuais responsabilizações na esfera judicial e administrativa (PROCON) nos casos de inobservância da Lei ou de hipótese de vazamento de dados ou uso indevido.

Mas calma, se você ainda não está preparado, não precisa se desesperar! Para iniciar o processo de adequação, a primeira coisa a se fazer é mapear todos os dados pessoais que são tratados no âmbito do seu negócio, quem da sua equipe tem acesso, quais são as políticas e regras aplicáveis, quais são os terceiros com quem você tem contrato de prestação de serviços e registrar em um documento. A partir daí, estabelecer uma política clara de tratamento de dados e identificar seus riscos, mitigando-os na medida do possível. É altamente recomendável buscar auxílio profissional de advogados e equipes de segurança da informação para que você esteja 100% preparado para essa nova realidade, além de, caso o seu risco seja mais elevado, que busque também a contratação de um seguro específico para cobertura de riscos cibernéticos.

Por fim, entendendo que a LGPD tem um grande alcance e que a prevenção é sempre o melhor remédio, é importante registrar que o processo de adequação às normas é gradual e evolutivo, sendo necessário manter suas políticas e mecanismos de proteção sempre atualizados e adequados às normas editadas para regulação de proteção de dados pessoais.

Cinthya Gomes

Advogada Sócia em Gomes e Lima Advogados

gomes-lima@adv.oabsp.org.br