O que é a Lei Geral de Proteção de Dados (LGPD)?
A LGPD (ou Lei Geral de Proteção de Dados Pessoais) entra em vigor em 15 agosto de 2020 e será a ferramenta do governo para regulamentar como os dados dos brasileiros são tratados, armazenados e protegidos, prevendo multas pesadas à empresas que tiverem dados pessoais de qualquer natureza, expostos.
O que é LGPD?
A LGPD, definida na Lei Nº 13.709 de agosto de 2018, discorre sobre como os dados dos brasileiros devem ser coletados, tratados, armazenados e protegidos, prevendo punições para descumprimento em casos de vazamentos, ou outras irregularidades. As normas são baseadas na GDPR, um conjunto de regras específico da União Europeia.
As discussões acerca da LGPD são bem mais antigas do que a lei britânica, mas o projeto ganhou força com a iniciativa do bloco e constantes vazamentos de diversas empresas, sendo o caso Cambridge Analytica o maior catalisador para sua aprovação.
O que diz a lei?
Estabelece regras sobre coleta e manutenção das informações tanto de cidadãos brasileiros quanto de pessoas que estejam no território nacional, que deve ser feita sempre com o consentimento dos usuários salvo em casos de mandados judiciais ou para garantir a segurança pública e/ou do Estado, no caso de investigações criminais. Vale tanto para dados digitais conseguidos pela internet como através de outros meios.
Dados sensíveis tais como referentes à religião, alinhamento político, estado de saúde, preferências sexuais ou características físicas, entre outros, foram classificados como restritos: eles não podem ser utilizados para fins que possam levar a situações discriminatórias e deverão ser protegidos. Dados médicos, especificamente, não podem ser utilizados para fins comerciais, a menos que se deixe autorizado de forma expressa.
Da parte das empresas e órgãos públicos, os mesmos terão que informar os direitos do usuário sobre recusar o tratamento de seus dados, bem como as consequências dessa decisão, onde ele deve autorizar o uso dos mesmos em caso de compartilhamento com terceiros. Igualmente, as empresas e órgãos deverão oferecer ferramentas que permitam ao usuário acessar seus dados, fazer correções, salvar, deletar ou transferi-los para outros serviços, seguindo o princípio de portabilidade.
Pessoas físicas que tratam dados com objetivos pessoais, acadêmicos, artísticos ou jornalísticos não serão afetados (os dados precisam ser tratados de forma anônima entretanto), bem como em casos de segurança pública ou do Estado, de defesa nacional ou de investigação criminal.
Quando a lei entra em vigor?
A LGPD foi sancionada em agosto de 2018 pelo então presidente Michel Temer. Em julho de 2019, o presidente Jair Bolsonaro aprovou a criação da Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por garantir o cumprimento da lei. Esta entrará em vigor dois anos após a sanção presidencial, em agosto de 2020.
A Lei que estabeleceu a ANPD fez alterações na LGPD, que originalmente vetava sua criação e removeu algumas punições e restrições. Os trechos vetados são os seguintes:
- Exigência de que as revisões de decisões tomadas por algoritmos devessem ser realizadas por seres humanos;
- Proibição de compartilhamento, com outros órgãos ou empresas, dos dados pessoais de quem fizer requerimento dos mesmos pela Lei de Acesso à Informação;
- Exigência de que o controlador dos dados devesse indicar um encarregado “detentor de conhecimento jurídico regulatório”;
- Punições previstas para violações à LGPD por um ente responsável de uma empresa ou prestadora, como suspensão do funcionamento do banco de dados.
Quais são as punições previstas?
Vazamentos de dados serão analisados pela ANPD e julgados conforme a gravidade de cada caso. As empresas e prestadoras serão obrigadas a informar as falhas às autoridades tão logo tomem conhecimento delas, e não mais poderão esperar por consertar os vazamentos antes de virem a público.
Dependendo de cada situação, as empresas serão orientadas a divulgar ou não o vazamento publicamente, enquanto as multas e sanções serão aplicadas proporcionalmente. As consequências variam de uma advertência a uma multa simples de 2% sobre o faturamento anual, limitada a até R$ 50 milhões, ou uma multa diária, cuja soma dos valores não pode ultrapassar o valor acima mencionado.
Quem precisa se adequar à LGPD?
Todas as empresas e prestadoras que trabalham com tratamento de dados dos cidadãos brasileiros feita em território nacional, sediadas no Brasil ou no exterior, com operações no país ou não. Por exemplo, Google, Apple e Amazon respondem à LGPD mesmo se coletarem dados de brasileiros aqui para processa-los nos Estados Unidos.
A empresa com sede fora do Brasil ou que trabalhe com parceiras internacionais poderá transferir esses dados para fora, desde que o país em que ela está sediada também possua leis abrangentes sobre tratamento de informações pessoais, ou garanta mecanismos de proteção similares aos previstos na legislação brasileira.
Por fim, uma empresa deverá apagar dados que julgue não mais necessários (como o encerramento de uma conta no Google, por exemplo), exceto se ela for obrigada por lei, ou outro motivo justificável, a mantê-los. Veja o texto da Lei Nº 13.709 na íntegra.