A Lei 13.709/2018, denominada Lei Geral de Proteção de Dados Brasileira (LGPD), foi sancionada no dia 14 de agosto de 2018, um marco legal, cujo teor cria um novo regramento para o uso de dados pessoais no Brasil, com aplicação transversal e multissetorial, nos setores privado e público, bem como no âmbito on-line e off-line.
Em regra, com poucas exceções, as empresas de todos os setores e de todos os portes tratam dados pessoais.
A nova norma vale para toda prática relacionada ao uso de dados pessoais em todos os departamentos que tratam dados pessoais: RH; logística; marketing; análise de dados; desenvolvimento de software e TI; jurídico; compliance. O prazo para adequação se encerra em 16 de fevereiro de 2020.
Com a nova LGPD, o legislador uniformizou ao menos 30 legislações setoriais existentes no ordenamento jurídico brasileiro, as quais direta ou indiretamente tratavam da proteção à privacidade e aos dados pessoais, normas que geravam insegurança jurídica por serem muitas vezes conflituosas.
Ao criar a lei geral, o Brasil seguiu a mesma direção das medidas normativas já adotadas nos Estados Unidos e na Europa, ingressando no rol de mais de 100 países que podem ser considerados adequados para proteger a privacidade e o uso de dados.
A LGPD possui aplicação ampla e abrangente, que abarca grande parte de projetos e atividades do cotidiano empresarial que tem aplicação a qualquer pessoa, seja natural, seja jurídica de direito público ou privado, que realize o tratamento de dados pessoais, on-line e/ou off-line.
A responsabilidade de implementar a LGPD é da organização sob a orientação do departamento de compliance, ou dos responsáveis pela segurança da informação, controles internos, riscos, tecnologia da informação, ou ainda departamento jurídico.
A norma tem aplicação extraterritorial, ou seja, abrange tanto as empresas que tenham estabelecimento no Brasil como também aquelas que ofereçam serviços ao mercado consumidor brasileiro ou coletem e tratem dados de pessoas localizadas no País.
A LGPD estende-se também aos subcontratantes de uma empresa, como fornecedores e parceiros de negócio. Eles também ficam sujeitos às obrigações e podem realizar pagamentos de indenização, por exemplo.
A LGPD dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, estabelecendo regras e limites para empresas a respeito da coleta, do armazenamento, do tratamento e do compartilhamento de dados, o que favorece o desenvolvimento econômico.
Consideram-se dados pessoais toda informação relacionada a uma pessoa natural identificada ou identificável, qualquer dado isoladamente ou agregado a outro que possa permitir a identificação de uma pessoa natural, ou sujeitá-la a um determinado comportamento (não apenas um nome, mas uma idade que, cruzada com um endereço, possa revelar que se trata de determinada pessoa). Também disciplina a forma como as informações são coletadas e tratadas em qualquer situação, especialmente em meios digitais, incluindo situações como cadastros, textos e fotos publicados em redes sociais.
A norma conceitua ainda dados sensíveis como as informações sobre origem racial ou étnica, convicções religiosas, opiniões políticas, saúde ou vida sexual ou permitir a sua identificação de forma inequívoca e persistente, tais como dado genético (este com ambas as facetas) ou biométrico. Tais dados necessitam de maior proteção, portanto, devem ser tratados de forma diferenciada, com mais segurança, e não poderão ser considerados, por exemplo, para direcionamento de anúncios publicitários sem que haja um consentimento específico e destacado do titular. Já registros médicos não poderão ser comercializados.
Empresas devem adotar medidas de segurança e governança que garantam a proteção dos dados pessoais de empregados, clientes, fornecedores e demais indivíduos e ainda avaliar a necessidade e a proporcionalidade no uso de dados pessoais desses sujeitos, como nome, RG, CPF, geolocalização, gostos, interesses, enfim, qualquer dado que identifique ou possa identificar um indivíduo, substituindo a habitual coleta massiva de dados por uma coleta mínima e com finalidades específicas. Também obriga que haja as opções para que o usuário possa visualizar, corrigir e excluir esses dados.
A nova lei prevê sanções que englobam advertência, multa ou até mesmo a proibição total ou parcial de atividades relacionadas ao tratamento de dados. As multas podem variar de 2% do faturamento do ano anterior até R$ 50 milhões, passando por penalidades diárias.