Reflexo direto da transformação digital por qual passa a sociedade, a utilização de meios online para a comunicação, operações empresariais e diferentes tarefas cotidianas se tornou o padrão. Em razão disso, a preocupação com a segurança da informação tem se intensificado, sobretudo no contexto dos negócios, um exemplo disso é a chamada Lei Geral de Proteção de Dados (LGPD).
Essa lei surge como um mecanismo de regulação das atividades desempenhadas por empresas e pessoas físicas que envolvam a manipulação de dados sensíveis de terceiros. O objetivo é aumentar a proteção de direitos fundamentais, como a liberdade e a privacidade.
No cenário dos negócios, a LGPD também traz algumas implicações importantes. A seguir, aprofundaremos mais nesse ponto, mostrando como essa lei pode impactar o dia a dia das empresas. Continue a leitura e aprenda mais sobre o assunto!
O que é a LGPD?
Com uma abordagem extremamente atual e inspirada na regulamentação europeia sobre a proteção de dados (RGPD), a Lei 13.709/18, Lei Geral de Proteção de Dados, é um dispositivo normativo que tem como foco o reforço da proteção da privacidade e intimidade dos titulares de informações que estão em poder de empresas. É o que diz o art. 1º dessa lei:
Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Na prática, a LGDP nada mais é do que uma tentativa de regulamentar as atividades empresariais e pessoais, com finalidade econômica, executadas em ambientes online e offline, a partir da criação de regras claras para o tratamento de dados de caráter pessoal e sensível que circulam por meios digitais.
Nesse contexto, englobam-se, por exemplo, as informações armazenadas em redes sociais, cadastros de clientes, bancos de dados e demais situações em que os indivíduos fornecem seus dados a empresas dos mais diferentes ramos e para as mais diversas finalidades.
Como ela surgiu?
Apesar de ter sido publicada em 2018, a Lei Geral de Proteção de Dados é fruto de uma intensa movimentação legislativa que vem desde o ano de 2010. Nesse ano, inclusive, abriu-se uma consulta pública para tratar sobre o tema direito digital, mas apenas em 2016 é que se propôs efetivamente uma norma que abordasse essa temática, que foi o Projeto de Lei 5.276/2016. Após dois anos de tramitação, aprovou-se então a Lei 13.709/18.
O contexto de surgimento da LGPD está relacionado às intensas mudanças nos padrões e hábitos da sociedade quanto ao uso dos meios digitais. Hoje, com a massiva utilização das redes sociais, lojas online e aplicações, a proteção dos dados se tornou uma necessidade, visto que estes passaram a ter um grande valor econômico para os negócios, merecendo uma tutela jurídica mais abrangente e clara.
Quais são os direitos do titular dos dados?
Em um cenário de intensa conectividade e uso dos meios digitais, é notória a importância que os dados representam para a realidade dos negócios. Hoje, grande parte das decisões das empresas, bem como parte de suas operações, de uma forma ou de outra, dependem do manuseio de dados.
Entretanto, com a entrada em vigor da LGPD, muita coisa mudou. Agora, as empresas precisam ter um controle ainda maior no uso dessas informações, reforçando a segurança e integridade, em respeito aos direitos dos titulares dos dados.
Nesse sentido, a Lei Geral de Proteção de Dados (Lei nº 13.709/18) é clara e objetiva. Em seu art. 17, a Lei em questão coloca que “toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos desta Lei.”
Mais adiante, no art. 18, a LGPD elenca uma série de direitos dos titulares dos dados. Esses direitos precisam ser de conhecimento amplo das empresas, pois ao mesmo tempo em que eles são direitos para os titulares dos dados, podem ser vistos como obrigações para as organizações e outros agentes que lidam com dados de terceiros.
O titular dos dados pessoais, em relação ao controlador, tem os seguintes direitos, segundo a LGPD:
- confirmação da existência de tratamento;
- acesso aos dados;
- correção de dados incompletos, inexatos ou desatualizados;
- categorização de dados como anônimos, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o que determina a Lei;
- portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa;
- eliminação dos dados pessoais tratados com o consentimento do titular;
- informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
- informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
- possibilidade de revogação do consentimento;
- direito de peticionar em relação aos seus dados contra o controlador perante a autoridade nacional, entre outros.
É importante destacar que o titular pode exercer todos esses direitos a qualquer tempo, mediante requisição.
Como a LGPD afeta o dia a dia das empresas?
A partir da entrega em vigor da LGPD — o que só deve acontecer em 2020 —, a maior mudança trazida pela nova legislação estará na possibilidade de controle, pelo usuário, das atividades empresariais que utilizam seus dados. Ou seja, o cidadão passa a ter direito a saber como os seus dados pessoais estão sendo utilizados pelas empresas.
Além disso, a Lei 13.709/18 também determina que as empresas só poderão coletar dados do usuário mediante a sua autorização expressa, de modo que o indivíduo precisa ser sempre notificado sobre toda e qualquer ação que envolva o uso dos seus dados.
De maneira mais ampla, o impacto da LGPD nas operações das empresas se relaciona com a política de coleta e proteção da informação. Agora, é direito do usuário ter ampla informação sobre como as instituições, sejam elas públicas ou privadas, manuseiam os dados de terceiros, para qual finalidade é feita a coleta, como os dados ficam armazenados, quanto tempo eles ficam sob a guarda da empresa e com quem as informações podem ser compartilhadas.
Dessa forma, é dever das instituições garantir a transparência na coleta de dados de clientes, respeitando a sua liberdade, privacidade e intimidade, conforme o próprio texto da lei traz em seu art. 17:
Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos desta Lei.
Big Data e LGPD: qual é a relação?
A tônica das operações empresariais atuais está diretamente associada ao uso de dados. Com o crescimento do comércio eletrônico, por exemplo, mais dados acabam sendo transacionados entre clientes e empresas, reforçando as implicações de um conceito já bastante presente nos negócios: o Big Data.
Como se sabe, o Big Data abarca a infinidade de dados, informações, arquivos e documentos que trafegam pelos mais diferentes meios e plataformas digitais na atualidade. Esse vasto acervo informativo é, hoje, a principal fonte de insights dos negócios, conduzindo atividades e decisões, além de ser também um dos seus ativos mais valiosos.
Nesse cenário de valorização e aplicação recorrente do Big Data nas atividades empresariais, a LGPD chega justamente para dar contornos mais rígidos, éticos e transparentes para o manuseio, armazenamento e utilização de informações de caráter pessoal, resguardando as pessoas de eventuais abusos, violações e danos decorrentes do uso indevido das informações.
Em resumo, Big Data e LGPD são temas atuais e que estão diretamente associados. A Lei Geral de Proteção de Dados é fruto das mudanças trazidas pela transformação digital e indústria 4.0, conceitos esses que têm o Big Data como um dos seus pilares. As empresas, nesse novo cenário, precisam ajustar suas políticas internas para aproveitar das vantagens e possibilidades do Big Data, mas sem transgredir os direitos das pessoas.
A automatização das interações e do marketing, a coleta e tratamento de dados, o compartilhamento de informações, o uso de algoritmos e o monitoramento ativo do comportamento das pessoas nos meios digitais não podem ser irrestritos. Existem limites que precisam ser atendidos, medidas de proteção que devem ser tomadas, tudo isso com o objetivo de resguardar a privacidade, a liberdade a honra e outros direitos igualmente importantes dos indivíduos.
Quais as sanções decorrentes do descumprimento dessa lei?
O texto da Lei Geral de Proteção de Dados também é claro ao definir uma série de sanções que podem ser aplicadas às instituições que descumprirem as determinações impostas. Nesse sentido, o art. 52 da lei traz as seguintes sanções administrativas:
Art. 52. […]:
I – advertência, com indicação de prazo para adoção de medidas corretivas;
II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III – multa diária, observado o limite total a que se refere o inciso II;
IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI – eliminação dos dados pessoais a que se refere a infração;
O que fazer em caso de vazamento de dados?
Levando em conta o cenário atual do mercado, no que diz respeito ao uso e manuseio de dados de terceiros, bem como as implicações trazidas pela Lei Geral de Proteção de Dados, muito além de determinar a necessidade de ajustes nos bancos de dados e políticas de gestão da informação das empresas, é possível perceber uma grande preocupação com a segurança e integridade da informação em relação ao tratamento de dados.
Prova disso é que a LGPD, em seu art. 48, determina que:
“O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.”
Ou seja, em caso de incidente de segurança que exponha os titulares de dados a risco ou a qualquer dano, o controlador é obrigado a notificar tal fato à autoridade nacional. A referida comunicação, conforme a Lei impõe, deve ser realizada em prazo razoável e deverá conter, pelo menos, as seguintes informações:
- natureza dos dados pessoais afetados;
- informações sobre os titulares envolvidos;
- indicação das medidas adotadas para minimizar os riscos e danos, bem como das medidas de segurança utilizadas para a proteção dos dados;
- os riscos envolvidos no incidente de segurança;
- justificativa da demora na notificação, caso essa não seja feita de forma imediata.
Entretanto, em relação a esse tópico, a LGPD não define o que seria considerado um “incidente de segurança” e ainda não é clara na conceituação daquilo que pode ser compreendido como um “incidente com potencial de risco”. A delimitação desses conceitos ficou sob a responsabilidade da Autoridade de Proteção de Dados Pessoais (ANPD), a qual foi criada pela Medida Provisória nº 869/18.
Dessa forma, até que a ANPD não defina qual interpretação deve ser adotada em relação aos termos citados, o Regulamento Geral Europeu de Proteção de Dados Pessoais (GDPR) desponta como uma alternativa para conduzir essa interpretação. O GDPR, então, define “violação de dados pessoais” (incidente de segurança), da seguinte forma:
“[…] uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento […]”.
Por que é tão importante investir na proteção de dados?
Como vimos, a proteção dos dados de usuários, sobretudo em atividades empresariais, passa a ter uma importância ainda maior no cenário atual. Com a entrada em vigor da LGPD, as empresas passarão uma responsabilidade mais bem definida em relação ao manuseio de informações de terceiros, estando sujeitas inclusive a penalidades.
Por essa razão, investir em segurança da informação assume uma posição de prioridade dentro das empresas. Hoje, com os riscos decorrentes da atuação de hackers, quadrilhas especializadas e softwares maliciosos, é dever das organizações reforçar a segurança dos seus sistemas, a partir do uso de novas tecnologias, como é o caso do Certificado Digital e da criptografia, além da aplicação de boas práticas de Governança, a depender da natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular, tal como determina o Art. 50, §2º, I, da LGPD.