LGPD: empresas têm até agosto de 2020 para se adaptar
Após muitas discussões, o Brasil finalmente passa a ter uma lei que visa proteger as informações pessoais dos cidadãos
A nova LGPD – Lei Geral de Proteção de Dados (Lei n.º 13.709, de 14 de agosto de 2018), que estabelece condutas para a proteção de dados pessoais, entrará em vigor em de agosto de 2020. Entre as novas regras previstas está o modo como as empresas e os órgãos públicos deverão tratar os dados pessoais dos cidadãos.
O Blog do ITI entrevistou o Advogado Adriano Mendes, especializado em Direito Digital, Tecnologia e Empresarial. O advogado esteve em Brasília-DF acompanhando as últimas discussões a cerca da nova LGPD e comenta os principais pontos aos quais as empresas devem estar atentas antes da lei entrar em vigência.
O que é a LGPD para quem ainda não conhece?
É uma lei nova no Brasil, mas que já existe na Europa há muito tempo. É um tipo de legislação que tenta proteger os dados pessoais e procura evitar que empresas utilizem dados de pessoas físicas sem que tenham conhecimento ou sem que possam impedir de alguma forma que esse uso seja feito para qualquer finalidade.
Quais são seus principais aspectos?
A lei não impede nenhum tipo de negócio. Ela faz com que esses negócios fiquem mais transparentes, objetivos e garantam um direito a mais para os usuários. Agora o usuário terá de saber para qual finalidade aquela informação está sendo utilizada e com quem está sendo compartilhada. Até então, isso não existia. Ele passa a ter direito de pedir a exclusão dos dados, se for possível, no final da utilização para aquela finalidade. Por exemplo, se a finalidade era para uma vaga de emprego em determinada função, depois que aquela vaga é preenchida, o currículo pode ser excluído. Não precisa ficar mais sendo mantido num banco de dados com todas as suas informações.
Como as empresas devem lidar com isso?
A empresa tem que garantir alguns direitos básicos do titular dos dados. Cada empresa vai ter que olhar para seu negócio e verificar se ela vai precisar do consentimento da pessoa física para conseguir informação ou se tem alguma inserção prevista em lei para fazer aquilo sem que a pessoa física tenha que autorizar. Por exemplo, o cadastro positivo do Serasa não diz respeito a autorização prévia do consumidor do titular dos dados para funcionar. Se a pessoa está em um hospital, ele pode colher informações sem que tenha que dar o consentimento, pois é importante para aquela finalidade. A mesma coisa para algum tipo de contrato e outras atividades.
A quem o cidadão poderá recorrer em caso de descumprimento da lei?
Para todo mundo para quem ela podia recorrer anteriormente: Advogado, Ministério Público, Procon e agora também vai ter uma autoridade intitulada ANPD – Autoridade Nacional de Proteção de Dados que vai centralizar as reclamações não atendidas pelas empresas. As empresas têm que garantir que farão a inclusão, reclamação e correção ou o que for possível dentro de um prazo determinado. Se elas não fizerem o circular dos dados, estará sujeita a uma multa. Assim como é na ANS, Anac e em outras entidades. A ANPD não vai garantir a exclusão dos dados. Não terá um call center que vai receber pedido e tratar. O órgão vai verificar por que não foi feito da forma correta e vai somente advertir ou punir a empresa que fez errado.
No aspecto geral como avalia a lei para empresas e clientes?
É positiva de várias formas. As empresas vão seguir a mesma cartilha a mesma regra e todo mundo estará no mesmo jogo. Antes algumas empresas faziam tudo certo e outras que faziam tudo errado e isso é refletido ou no preço ou no lucro delas. Agora com essa homogeneidade da legislação todo mundo vai ter que seguir regras similares. Espero que as melhoras realmente sejam para aqueles que têm uma visão de longo prazo e uma transparência maior com os dados. Para as empresas é um momento de adequação Algumas terão de fazer algum investimento e dedicar tempo e até recurso financeiro com isso, mas a longo prazo o que se viu é que isso foi positivo na Europa, Austrália, e em países que já experimentaram esse tipo de legislação de alguma forma.
Em relação as empresas que vendem os dados, como a lei lida com elas?
A empresa vai continuar vendendo os dados desde que o usuário saiba que aquilo é um produto. Se ela faz isso de uma maneira escondida, vai ter que reinventar seu próprio negócio. Tem muita empresa que enriquece bases de dados com várias fontes e isso não era muito claro para ninguém. A partir de agora essa empresa não pode fazer isso e estará sujeira a multa. Se na informação não autorizar ela entrar no banco de dados de uma empresa maior, essa empresa maior pode estar sujeita a multa também. Então ela vai começar a exigir nos contratos dela e nas relações que ela tem com seus fornecedores que fique mais claro qual que é a origem daquela informação.
Qual o prazo para as empresas se adequarem a nova lei?
Até 16 de agosto de 2020. Pensando em tecnologia é pouco tempo. Agora é o momento inicial é o momento de conscientização dos dados. Das empresas começarem a perceber que dados elas podem obter de pessoas físicas, para qual finalidade elas coletam esses dados e se ela tem alguma um consentimento para fazer isso e com quem ela compartilha essas informações. Só essa análise demora entre 3 e 6 meses em uma empresa normal.
Adriano Mendes, advogado especializado em Direito Digital, Tecnologia e Empresarial.
