A Lei Geral de Proteção de Dados (LGPD) foi sancionada e entrou em vigor nesta última sexta feira (18) e a partir de agora as empresas e órgão públicos terão que se adequar para atender com transparência os usuários no Brasil, sobre a forma de coleta, armazenamento e uso dos dados pessoais e outros detalhes. Apenas em algumas exceções o titular dos dados poderá consentir o seu uso ou não, podendo solicitar quando necessário exclusão de informações quando necessário.
A lei prevê a aplicação de penalidades e multas para as empresas quando desrespeitada, podendo chegar até 2% do faturamento sob o limite de até 50 milhões. Para o cidadão comum a lei prevê que toda empresa ou governo tem que ter o consentimento da pessoa para obter os seus dados considerando as regras de exceções.
Como exemplo se o Facebook, o Google e outros semelhantes disponibilizarem informações de nomes, endereços, e-mails que eles armazenam em seus bancos de dados para alguma empresa e essas informações forem utilizadas para comércio ou outras abordagens terão que ter a sua autorização.
O especialista, advogado empresarial doutor Daniel Barile da Silveira, em entrevista para a Folha da Região fez uma análise do impacto da nova legislação. Ele é consultor certificado para implementação de programas de Compliance (CPC-A). Consultor em Proteção de Dados (LGPD) e organização societária. Barile ainda é pós-doutor em Direito pela Universidade de Coimbra (UC/CDH), em Portugal e doutor e Mestre em Direito pela Universidade de Brasília (UnB).
O especialista ainda é professor dos programas de doutorado e mestrado em Direito da Universidade de Marília (UNIMAR) e da Graduação em Direito do Centro Universitário Toledo (UniToledo), tendo recebido prêmio de menção-honrosa do Supremo Tribunal Federal (STF) por trabalhos realizados. Foi Procurador por 10 anos e atualmente tem se dedicado mundo do empreendedorismo e ao auxílio de necessidades corporativas em matéria de Integridade e Governança, bem como aos temas de Inovação, Tecnologia e Direito.
Doutor Barile, A Lei Geral de Proteção de Dados já é uma realidade? E qual a importância dessa lei?
A LGPD já é uma realidade, não somente pela vigência da lei, que começou no último dia 18, mas também em relação a sua prática. É claro que sua adequação se dá em camadas: primeiramente, as multinacionais já vinham se adequando em função da legislação exterior; depois, as empresas brasileiras de maior porte, em termos de preparação. Agora chegou a vez de todas as empresas, de forma mais indistinta, que coletam dados, iniciar seus programas de adequação, já que a lei, a partir de então, é obrigatória.
O fato é que houve muita confusão de quando ela começaria a valer, com constantes mudanças da regra: falou-se em agosto desse ano, depois janeiro do ano que vem, abril, agosto de 2021, retornando para o prazo atual.
Tal inconstância gerou incertezas pelas empresas e permitiu que muitas deixassem para entrar em conformidade quando a lei entrasse em vigor. Agora que que está valendo, não há mais desculpas. As empresas precisam se ajustar. O único detalhe é que as punições serão aplicadas a partir de agosto do próximo ano, mas o processo de modificação para com a lei é mais lento e merece um tempo de prática e maturação.
Em sua visão, quais as principais estratégicas que são importantes para as empresas adotarem com a vigência da LGPD? E de que forma as empresas poderão organizar e promover esses implementos?
Entendo que as empresas devem olhar para os dados que coletam. Esse é o grande desafio. O Brasil não tem cultura de dados. Hoje nós concedemos nosso CPF, RG, endereço para compra de qualquer produto no mercado, sob a promessa de ser feito um “cadastro no sistema”.
Na prática, todas essas empresas estão coletando dados pessoais, ainda que de forma irrefletida (às vezes até desnecessariamente). Assim, todas essas organizações que adotam essas práticas estão sujeitas à LGPD e precisam buscar uma gradual adequação.
Penso que identificar quais dados estão coletando e verificar pelo qual motivo coletam, e se é, de fato, importante colher essas informações, é o primeiro passo. Logo em seguida é investir em segurança da informação, ou seja, segurança digital. Considerando que a lei estabelece severas multas para o vazamento de dados, há expectativa que práticas maliciosas possam ser utilizadas como forma de forçar as empresas a pagar a criminosos por invasões e furto de dados, a fim de que esses hackers não denunciem a fragilidade da empresa ao Governo.
E o terceiro é criar políticas seguras de proteção de dados, bem como investir em governança e treinamento. Pode parecer uma série de tarefas, mas essencialmente é uma construção lenta de uma prática diferente para com os dados pessoais. Se “os dados são o novo petróleo”, nada mais importante do cuidar desse tesouro presente no interior de cada uma das empresas.
Como as empresas estão adequando às suas regras internas em relação a proteção de dados?
As empresas estão criando programas de adequação à lei. É uma estrutura de compliance digital, propriamente dita. Com o atendimento de revisão de práticas e documentos.
Na experiência que temos neste setor, trabalhamos com cinco campos de atendimento, com a avaliação e reestruturação nas áreas de governa de dados, que envolve processos internos e níveis de proteção de dados), segurança da informação, visando o atendimento à criptografia, logs, cookies, senhas, firewalls, anonimização de dados, dentre outros. Ainda a construção de políticas através de documentos que tratam privacidade, dados sensíveis, relatório de impacto de dados, procedimentos de atendimento aos usuários.
Faz parte, também, o tratamento de dados em si, como coleta, classificação, destino, compartilhamento e descarte de dados pessoais, bem como a construção do papel do encarregado ou DPO “data protection officer” da empresa, responsável por organizar os dados, relacionar-se com os usuários e com a Autoridade Nacional de Proteção de Dados).
Aos poucos passos constróise uma adequação com alguma facilidade e certa rapidez.
Como será estruturada a Autoridade Nacional de Proteção de Dados?
O Decreto Federal nº 10.474, do recente 26 de agosto de 2020, é que criou a estrutura da Autoridade Nacional de Proteção de Dados, a ANPD. A norma traz uma estrutura bastante ampla, composta de um Conselho Diretor, um órgão consultivo (Conselho Nacional de Proteção de Dados Pessoais e Privacidade) e órgãos diversos técnicos de assistência.
Há ainda órgãos públicos de fiscalização e regulação, bem como de setores referentes à Corregedoria, Ouvidoria e um setor jurídico. Mas antes dessa estrutura complexa, resta saber como ela vai atuar e quais regulamentos expedirá para o bom funcionamento da lei. Essa é a grande expectativa nesse momento.
LGPD
- O que é a Lei Geral de Proteção de Dados Pessoais?
O nome é autoexplicativo: trata-se de uma legislação que determina como dados de cidadãos podem ser coletados e tratados, e que prevê punições para transgressões.
Por que é tão importante?
Ela estabelece uma série de regras que empresas e outras organizações atuantes no Brasil terão que seguir para permitir que o cidadão tenha mais controle sobre o tratamento que é dado às suas informações pessoais.
Quem vai fiscalizar?
A Autoridade Nacional de Proteção de Dados (ANPD), autarquia ligada ao Ministério da Justiça.