A Lei Geral de Proteção de Dados (LGPD) entrou em vigor no Brasil nesta sexta-feira (18) após a sanção do Presidente Jair Bolsonaro. A partir de agora empresas e instituições públicas e privadas que possuem operações no país deverão ter compliance em relação à lei, similar à norma protetiva já vigente na Califórnia e na Europa.
O LABS conversou com o especialista em Direito Digital e presidente da Comissão de Direito Digital da Ordem dos Advogados do Brasil (OAB) em São Paulo, Spencer Sydow, para saber o que as novas regras alteram em termos de responsabilidade empresarial. Ele explicou que as empresas terão de especificar ao usuário como serão usados os dados coletados e por quanto tempo manterão posse deles, além de destruírem os dados depois que sua finalidade for atingida.
A ideia é evitar que as companhias tenham informações excessivas, para além de seu objetivo, bem como evitar o vazamento de informações pessoais dos usuários. “O que acontece é que há um natural desvio do uso das informações que são coletadas, uma ultrapassagem”, comenta Sydow.
O especialista elenca por exemplo uma empresa que em seu contrato de prestação de serviço não explica que utiliza os dados do usuário apenas para cartão de crédito, ou preferência de compra, mas que coleta todos os dados de todos os históricos enquanto a página da empresa está aberta. A manobra possibilita que ela venda essas informações para outras companhias. “Isso acontece com praticamente todas as grandes empresas de tecnologia”, afirma.
LEIA TAMBÉM: BC autoriza compras internacionais via contas de pagamento pré-pagas
A nova regulação exige uma base legal para o processamento de dados pessoais. A lei restringe que as empresas realizem operações – coleta, armazenamento, transferência dos dados – com as informações, a menos que o titular dos dados manifeste consentimento, ou se os dados são necessários para uma obrigação legal ou políticas assistencialistas (no caso do poder público). Dados sensíveis como convicções políticas, religiosas, orientação sexual, entre outros, têm de ser obrigatoriamente indispensáveis para a operação para que sejam coletados.
A lei define “consentimento” como a manifestação livre, informada e inequívoca pela qual o titular dos dados concorda com o processamento de dados pessoais para um determinado propósito. Ele deve ser dado por escrito – citando as cláusulas do contrato – ou por outro meio que demonstre a manifestação da vontade do titular.
LEIA TAMBÉM: Amazon e EBANX anunciam parceria na Colômbia
Ficam de fora das limitações o uso de dados por pessoas físicas para fins não econômicos, acadêmicos, artísticos, jornalísticos ou de questões de segurança pública (utilizado pelo governo). Em sua coluna na Folha de São Paulo, Ronaldo Lemos, advogado especializado em direito digital e professor da Universidade do Estado do Rio de Janeiro (UERJ), além de membro do Facebook Oversight Board, disse que a lei brasileira autoriza com precisão que dados possam ser usados para fins de proteção da vida ou da incolumidade física, inclusive de terceiros e sem a necessidade de consentimento prévio.
A lei brasileira está tão bem desenhada que, mesmo ao autorizar o uso de dados em situações de emergência, cria também restrições e contrapesos ao que pode ser feito com eles. A própria lei diz que mesmo nos casos graves continuam intactos os deveres de observar aos princípios gerais e a garantia dos direitos dos titulares dos dados.
Ronaldo Lemos, advogado especializado em direito digital, professor da Universidade do Estado do Rio de Janeiro (UERJ), e membro do Facebook Oversight Board
Em vigor, mas penalidades só para o ano que vem
Com a LGPD em vigor, as empresas terão que explicar quais dados elas captam, com qual finalidade, e como vai funcionar, dentre outras questões, o processo de guarda e de apagamento dessas informações quando a finalidade for concluída. “Esse é o grande impacto. As empresas vão ter que explicar o que pegam, o porquê de captarem e por quanto tempo guardam essas informações, e têm que dar a certeza de que o usuário possa saber quando essas informações serão apagadas, bem como o usuário possa optar por esses apagamentos”, diz Sydow.
Responsável por guiar e supervisionar a aplicação da norma nas empresas, a Autoridade Nacional de Proteção de Dados (ANPD) foi criada por decreto no dia 26 de agosto de 2020. Mas a aplicação de multas para quem descumprir as normas ficará só para agosto de 2021, segundo Sydow. “Essa autoridade vai ter poder fiscalizatório, ela vai determinar como a transparência vai acontecer e vai se certificar que dados sejam apagados quando usuários solicitarem esses apagamentos, entre outras atribuições”.
Implicações para empresas estrangeiras
Big techs estrangeiras que possuem filial no Brasil estão totalmente sujeitas à lei. Mas techs que operam no País e não possuem filial terão que criar uma forma de informar o público brasileiro e estar à disposição dos brasileiros, comenta o especialista.
Para Sydow, o modelo brasileiro da lei de proteção de dados é até melhor do que a norma americana e europeia por ser mais protetiva – por exigir a finalidade, a comprovação e apagamento dos dados – e abrangente – já que estão sujeitas às empresas estrangeiras que processam dados de brasileiros.
O artigo 33 da LGPD regula as transferências internacionais de dados pessoais. Na ausência de uma decisão de adequação, os controladores devem buscar outros meios, como cláusulas contratuais específicas para uma determinada transferência ou regras societárias vinculativas.
Entre outras penalidades, o artigo 52 da norma estabelece que as entidades estão sujeitas a sanções administrativas por parte governo brasileiro de até R$ 50 milhões de reais (aproximadamente US$ 9,4 milhões), caso a norma não seja cumprida.
Marcel Leonardi, advogado e professor de direito digital e de proteção de dados na GVLaw (programa de pós-graduação da Fundação Getulio Vargas Direito), disse em entrevista ao Nexo, que as empresas pela primeira vez terão que se organizar para fazer um diagnóstico sobre quais dados pessoais a empresa trata, o que envolve todas as áreas de uma empresa, dos Recursos Humanos ao atendimento ao consumidor.
“Há dados pessoais estruturados, organizados em bancos de dados, mas há também dados espalhados por documentos, e-mails. Conseguir separar todos eles dos dados não pessoais, que não identificam pessoas específicas, faz parte desse mapeamento. É um desafio operacional que exige grande investimento financeiro, tanto para treinamento de funcionários quanto para aquisição de tecnologia”.
