A recém aprovada ‘Lei de Proteção de Dados Pessoais’ finalmente inseriu o Brasil no cenário mundial de regulação da privacidade dos cidadãos. Estamos diante de uma mudança radical de paradigma, aplicável aos setores público e privado e que alcança todos os setores da economia.
A informação é o ativo mais importante da economia digital, considerada o petróleo da atualidade. Nossos dados – capturados e rentabilizados sem que tenhamos sequer conhecimento – revelam tudo sobre cada um de nós. A mercadoria é você, seus hábitos de consumo, preferência, localização, além de outras várias pegadas digitais que deixamos a cada navegação.
A Lei 13.709/2018 aplica-se a qualquer operação de tratamento de dados pessoais, inclusive os armazenados em meio digital, com o objetivo de assegurar proteção aos direitos fundamentais de liberdade e de privacidade. Funda-se nos princípios da boa fé, finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas.
A norma protege de forma ampla os dados pessoais, cria direitos do titular, elenca as hipóteses autorizadas para tratamento eprevê responsabilidades e sanções de ordem administrativa e pecuniária de ressarcimento de danos por vazamentos, que podem chegar a 50 milhões de reais, além de outras de ordem civil e penal.
As empresas obrigam-se ainda a eleger agentes de tratamento de dados, responsáveis por adotar medidas de segurança, técnicas e administrativas para proteção dos dados pessoais, de acessos não autorizados e de situações acidentais ou ilícitas. O ‘controlador’ tomará as decisões relativas ao tratamento, o ‘operador’ realizará o tratamento em nome do controlador e o ‘encarregado’ atuará no canal de comunicação entre o controlador e o titular dos dados.
Ocorrendo violação à legislação de proteção de dados pessoais, os agentes de tratamento que causarem danos ao titular – de ordem patrimonial e moral, individual ou coletiva -, serão obrigados a repará-lo.
A adaptação às regras da LPDP pelas micro e pequenas empresas certamente será um grande desafio que exigirá igualmente grande esforço, especialmente para aquelas cuja atividade fim não é o mercado de dados. O modelo de negócio deverá ser totalmente reprogramado, iniciando-se com o mapeamento do uso de dados pessoais. É preciso prever regras da captação, armazenamento e destinação dos dados pessoais, segundo a finalidade do serviço ou negócio. Será necessário registrar as operações de tratamento de dados, adotar ferramentas de controle, governança e gestão de dados, criar políticas de privacidade e termos de uso, obter autorização do titular, além de medidas de segurança e gestão de risco para casos de incidentes como vazamentos, inclusive de seus parceiros e fornecedores.
A criação da indispensável ‘Autoridade Nacional de Proteção de Dados’, apesar de exaustivamente citada na norma, ainda não ocorreu. E sem a Autoridade a Lei perde eficácia e eficiência, já que é responsável pela regulamentação, fiscalização e aplicação de sanções administrativas. O mesmo ocorre em relação ao ‘Conselho Nacional’, a quem caberá elaborar a política nacional de proteção de dados e da privacidade.
Diante do absoluto e generalizado desconhecimento sobre se adaptar a Lei, será vital a atuação das associações de classe visando estabelecer regras de segurança da informação, de boas práticas, de governança e de códigos de condutas setorizados, estabelecendo nortes, normas de segurança e padrões técnicos.
A Lei alcança tanto um condomínio que coleta informações cadastrais, biométricas ou faciais dos visitantes, a um consultório médico que armazena dados de saúde, quanto uma empresa de telecomunicação que terceiriza seu atendimento técnico. Todos, sem exceção, serão atingidos pela tsunami regulatória.
Sábio o dito popular ‘o tempo urge e a Sapucaí é grande’, pois no carnaval do ano de 2020 a Lei entrará em vigor. E esse prazo é extremamente curto para as empresas ficarem em conformidade com a Lei de Proteção de Dados Pessoais.
Ana Amelia Menna Barreto
Advogada em Direito Digital, membro do Conselho Empresarial Jurídico e Estratégico da ACRJ