A Lei 13.709/18, conhecida como Lei Geral da Proteção de Dados Pessoais (LGPD), entrará em vigor em breve (sim, nesse momento, em 12/07/2020, ainda não há certeza quanto à data da sua vigência).
É possível que a LGPD entre em vigor em agosto de 2020, o que acontecerá se a Medida Provisória 959/20 vier a caducar. Se a MP, porém, for transformada em lei, a vigência acontecerá em 03/05/21. Sendo assim, a única certeza que temos hoje é que as sanções somente poderão ser impostas em 01/08/21, conforme ficou definido pela Lei 14.010/20. Você encontra todas essas informações no próprio art. 65 da Lei.
A LGPD foi construída sobre a estrutura normativa europeia, em especial sobre o GDPR, que é o Regulamento Europeu de Proteção de Dados. E assim como aconteceu com outros Países, a partir da eficácia plena do GDPR em 25/05/18, foi reconhecida a extrema necessidade de assegurar um adequado nível de proteção em termos nacionais, seja para a facilitação do recebimento de dados provenientes da União Europeia aqui no Brasil, seja para o reconhecimento do País quanto a esse tema em termos mundiais, o que garantirá ambiente mais propício à continuidade dos negócios em nível global.
Pode ser que você já tenha ouvido falar da LGPD, mas ainda não esteja totalmente informado sobre ela. Para quem não sabe, ela dispõe sobre o tratamento de dados pessoais em meios digitais e físicos. Ou seja, foi criada uma estrutura normativa própria para que os dados relativos a uma pessoa natural possam ser tratados pelas empresas em geral. Basicamente, deverá ser observada uma série de fundamentos, princípios, requisitos e regras.
E o que acontece se esse conjunto de pressupostos não for cumprido pelas empresas?
Bem, além da sujeição a sanções, as empresas ficarão comprometidas em termos reputacionais e, a depender do contexto em que atuem, terão severas dificuldades de continuidade de suas atividades frente ao mercado.
Esse tipo de situação já está acontecendo na Europa há alguns anos, em especial nos casos em que uma determinada empresa precise subcontratar um serviço ou quando necessite de um novo fornecedor. E isso porque a escolha de uma empresa terceirizada que esteja em desconformidade à legislação pode trazer sérios problemas à contratante, de modo que essa passa agora a exigir garantias e demonstração do cumprimento da legislação de proteção de dados para o fechamento de contratos.
Na Europa, há décadas de tradição legislativa em proteção de dados. No Brasil, o tema é novo em termos legislativos, o que dificulta a compreensão de muitos de seus aspectos. Considere que, em algumas hipóteses, até mesmo mesmo empresas que não estejam no Brasil ficam obrigadas a cumprir a LGPD. Meus alunos costumam dizer que enxergam a LGPD como um verdadeiro quebra-cabeça a ser montado com paciência e inteligência.
É verdade. Precisamos entender muito bem os conceitos, o que é particularmente difícil, pois vários deles deverão ser esclarecidos pela futura ANPD (Autoridade Nacional de Proteção de Dados), que ainda não teve a sua Diretoria nomeada. É necessário, então, compreender e interpretar a Lei de forma contextual, muitas vezes valendo-se de parâmetros comparativos com relação ao GDPR.
Nessa postagem inicial do Blog da Nextlaw Academy, decidi abordar um aspecto que abre margem para múltiplas interpretações equivocadas: quem, afinal, está obrigado a cumprir a LGPD?
Bem, como está lá no art. 1o. da Lei, todas as pessoas naturais, todas as pessoas de direito privado e todas as pessoas de direito público ficam obrigadas a cumpri-la, sem exceção.
Em uma primeira conclusão, portanto, tem-se que pouco importa a natureza jurídica de uma empresa, o seu tamanho, a volumetria dos dados, o número de colaboradores, ou até mesmo que não possua finalidades lucrativas. Todas as empresas brasileiras ficam obrigadas a cumprir a LGPD.
Mas sempre?
No art. 4o., estão listadas as hipóteses de não aplicação da lei e se você prestar atenção verá que essa isenção não se refere ao tipo de pessoa em si (natural ou jurídica), que nunca comporta exceção. As isenções da lei são referentes apenas a alguns tipos específicos de tratamento e que não admitem ampliação interpretativa.
Vou dar um exemplo para tornar isso mais claro. Você, como pessoa física e como regra geral, está submetido à LGPD e deverá cumprir suas regras. Não haverá a incidência da lei, porém, quanto aos dados forem tratados por você para fins exclusivamente particulares e não econômicos. Caso você, no entanto, e ainda como pessoa natural, trate dados pessoais em sua atividade profissional cotidiana (por exemplo, os dados de seus clientes, fornecedores e prospects), deverá cumprir integralmente a legislação.
Esse é um aspecto que gera muitas dúvidas e é exatamente isso: uma pessoa que seja um microempreendedor individual (MEI) fica obrigada a atender as regras da LGPD, pois não está tratando dados pessoais para fins particulares e não econômicos. Repita-se: a não aplicação descrita no at. 4o. refere-se apenas a tipos de tratamento e não à natureza dos agentes.
Um outro exemplo: uma emissora de televisão fica obrigada a cumprir integralmente a legislação. E como eu sei disso? Porque o art. 1o. não excepciona ninguém, seja pessoa física, seja pessoa jurídica de direito publico, seja pessoa jurídica de direito privado.
Essa emissora de televisão, como qualquer outra empresa, possui clientes, fornecedores, anunciantes, empregados, terceirizados e, por essa razão, realiza o tratamento de dados pessoais.
Para a LGPD, tratamento é "toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração", conforme definição do art. 5o., inciso X.
Sendo assim, qualquer dado pessoal que esteja na posse de um agente de tratamento (controlador ou operador) estará em tratamento, conforme definição da lei, até mesmo quando esse dado esteja por assim dizer "inativo", ou seja, meramente armazenado. Por essa razão, essa emissora de televisão deverá cumprir todas as regras da LGPD, até mesmo para as transferências internacionais para uma sucursal do mesmo grupo empresarial que se localize em outro País.
Vamos voltar ao art. 4o., que trata das hipóteses de não aplicação da LGPD. Ali encontramos a hipótese de "fim jornalístico".
E o que isso significa em termos de aplicação da lei?
Significa que o tratamento de dados para fins exclusivamente jornalísticos não se submete ao regramento da LGPD. Nesse caso, na típica atividade de jornalismo, por exemplo, a empresa não precisará buscar o consentimento do titular ou qualquer outra base legal para poder realizar aquele específico tratamento, tal seja o que tem a finalidade exclusivamente jornalística. E o mesmo se dá com as outras regras da lei além dos próprios requisitos: não há incidência legislativa.
Para todos os demais tratamentos, no entanto, é obrigatório o cumprimento da legislação, de modo que jornais, emissoras de rádio, de televisão e outros entes congêneres submetem-se à LGPD, à exceção, no caso, dessa hipótese do art. 4o. (tratamento para fins jornalísticos), que desobriga ao cumprimento da lei.
E por que a LGPD estabelece regras tão rigorosas e restritivas?
Porque o titular (ou seja, todos nós) está no centro do palco da proteção de dados.
.png)
Sim, a proteção de dados é um Direito Fundamental na Europa e aqui no Brasil já existe Proposta de Emenda Constitucional para que também aqui seja definido tal direito. É a PEC 17/2019.
Como todos nós estamos acompanhando, a proteção de dados ganha extrema e crescente relevância a cada dia, não mais se admitindo nas principais democracias do mundo o uso desenfreado e desregrado dos dados pessoais, notadamente porque são justamente eles os combustíveis dos negócios, em especial dos gigantes tecnológicos.
Sendo esse o quadro, é necessário que as empresas, o quanto antes, promovam a aplicação prática de todas as regras constantes da LGPD, alterando suas práticas, adaptando seus fluxos e seus processos e incrementando a segurança dos dados.
Cada empresa, pública ou privada, tem suas próprias caraterísticas em termos de tipo de dado, volumetria, modelo de negócio e espécies de tratamento. Por essa razão, cada uma delas deverá buscar a conformidade à lei respeitando o seu próprio perfil. Não é preciso gastar milhões para alcançar adequada conformidade à Lei.
O fato é que não existe uma fórmula mágica para alcançar a implementação, razão pela qual cada uma das empresas deverá buscar entender o que é necessário fazer em termos práticos para evitar a desconformidade e, consequentemente, problemas. E essa ação deve acontecer de imediato, pois muito embora as sanções sejam aplicáveis somente em agosto de 2021, os titulares de dados poderão exercitar os seus direitos perante as empresas logo a partir da vigência da lei, de modo que é inadiável a sua implementação por meio de adequação de processos e da transformação da cultura organizacional.
Somente com a LGPD respeitada e aplicada em termos práticos será possível a manutenção do posicionamento da empresa no mercado, sem o risco de serem frustados novos negócios e com a redução da probabilidade de imposição de sanções.
A expectativa da futura ANPD é que todas as empresas brasileiras, no momento da vigência da Lei, estejam cientes de suas responsabilidades quanto ao tratamento de dados e que estejam adotando procedimentos mínimos de segurança e de conformidade.
Não vale a pena postergar tal procedimento ante o receio de que haverá aporte significativo de recursos. Há um mínimo que pode e deve ser feito e que não necessariamente é tão complicado assim.
E é precisamente agora o melhor momento para dar início a essa ação.
