O ano de 2020 será marcado pela implementação da Lei […]
O ano de 2020 será marcado pela implementação da Lei Geral de Proteção de Dados (LGPD). O novo marco regulatório confere maior responsabilidade a quem coleta dados pessoais de clientes no meio eletrônico. A Lei 13.709/2018 entrará em vigor em agosto deste ano, quando sanções administrativas poderão começar a ser aplicadas às empresas que não estiverem adequadas às exigências da legislação.
“As sanções previstas vão de advertência, a multas que podem chegar a R$ 50 milhões e, até, a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados”, alerta o advogado o advogado Guilherme Nagel, sócio-fundador do escritório Sotto Maior & Nagel, especializado em Direito Digital. Ele complementa que o objetivo da legislação é proteger os direitos fundamentais de liberdade e de privacidade das pessoas.
“As empresas que ainda não se adequaram devem ficar atentas ao prazo e iniciarem, imediatamente, o diagnóstico para identificação do que deve ser desenvolvido ou alterado na estrutura digital existente”, frisa Guilherme. A partir do diagnóstico, um plano de transição para o novo sistema será estabelecido. Assim como as diretrizes para implementação de uma cultura de proteção de dados na empresa.
Sancionada em agosto de 2018, a Lei Geral de Proteção de Dados estabelece a regulamentação para uso, proteção e transferência de dados pessoais no Brasil, nos âmbitos privado e público, promovendo alterações do texto do Marco Civil da Internet (Lei N° 12.965/14). A referência da matéria é o GPDR (General Data Protection Regulation), rígida regulação geral de proteção de dados aprovada pela União Europeia três meses antes.
Guilherme Nagel destaca que os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender não apenas aos princípios gerais previstos na LGPD, mas, também aos requisitos de segurança, aos padrões de boas práticas e de governança e às demais normas regulamentares.
· As atividades de tratamento de dados pessoais deverão observar a boa-fé e os princípios de finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção e não discriminação.
· O tratamento de dados pessoais somente poderá ser realizado pelas empresas mediante o fornecimento de consentimento pelo titular. No caso de dados de crianças e de adolescentes, será necessário obter o consentimento específico e em destaque dado por, pelo menos, um dos pais ou pelo responsável legal.
· O consentimento deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.
· O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara e adequada.
· O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.
· O controlador – a quem compete as decisões referentes ao tratamento dos dados – e o operador – quem realiza o tratamento dos dados em nome do controlador – devem manter registro das operações de tratamento de dados pessoais que realizarem.
· O controlador deverá indicar encarregado pelo tratamento de dados pessoais, o qual deverá ter sua identidade e informações de contato divulgadas publicamente, de forma clara e objetiva, preferencialmente no site do controlador.
· Em caso de dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, o controlador ou o operador serão obrigados a repará-lo, assegurando a efetiva indenização.
· O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
· A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais. O mesmo deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.
O advogado faz questão de lembrar que a Lei Geral de Proteção de Dados não se aplica ao tratamento de dados pessoais realizado por pessoa natural para fins exclusivamente particulares e não econômicos; para fins exclusivamente jornalístico, artísticos ou acadêmicos, e, também, para fins de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais.
Confira mais sobre a lei:
Lei geral de proteção de dados: mudança na legislação coloca setor de tecnologia em alerta.
Sotto Maior & Nagel presta mentoria em LGPD para startups paulistas