A Lei de Proteção de Dados, conhecida como LGPD (Lei nº 13.709/18), entra em pleno vigor em agosto de 2020. E impactará muitas empresas e consumidores brasileiros. Isso porque ela cria regras para empresas privadas e organizações públicas sobre o ato de coletar, guardar, processar e comercializar dados pessoas dos brasileiros, sejam eles digitais ou capturados em papel como via cupons ou cadastros.
A LGPD regulamenta a política de proteção da privacidade e dos dados pessoais, modificando alguns artigos do Marco Civil da Internet. Isso transformará intensamente a forma como as empresas lidam com os dados de seus clientes, usuários e visitantes, sendo uma adaptação obrigatória a partir de agora.
Vazamento de dados
A LGPD vem em um momento em que ataques cibernéticos se tornam cada vez mais constantes. Em 2018, houve um escândalo de proporções mundiais, com o vazamento de dados de milhões de usuários do Facebook. Mas isso não se limita ao exterior.
Recentemente no Brasil, em fevereiro de 2019, houve o caso da Netshoes que vazou dados de mais de 2 milhões de brasileiros, tido pelo promotor do Ministério Público Frederico Meinberg como “um dos maiores incidentes de segurança registrados no Brasil”.
Mas esse não foi o único caso. Em 2018, o Banco Inter foi processado pelo vazamento de dados de mais de 19 mil de seus clientes correntistas. São casos muito sérios de segurança e privacidade e que mostram, cada vez mais, a necessidade de uma lei que realmente regule a privacidade dos dados pessoais no Brasil.
Impacto às empresas
A lei é bastante direta: todos os dados tratados por pessoas jurídicas de direito público e privado, cujos titulares estejam no território nacional; ou a sua coleta se deu no país; ou ainda que tenha por finalidade a oferta de produtos ou serviços no Brasil, devem estar preparadas.
A LGPD dá proteção integral ao direito dos consumidores pela liberdade, privacidade, segurança, consentimento expresso, acesso às informações para correções e pronto atendimento caso o consumidor queira excluir seus dados, por exemplo.
Direito dos consumidores
Quaisquer dados que permitam a identificação de uma pessoa, a partir de agora, é protegido pela LGPF, como nome, sobrenome, e-mail, numeração de documentos, numeração de cartões de crédito e débito, dados bancários, endereço de IP, localização, informações médicas e, como não poderia faltar, os cookies, testemunhos de conexão e navegação do usuário.
Outros dados que podem causar discriminação contra o indivíduo se vazados também estão protegidos, como origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, referentes à saúde ou a vida sexual, genético ou biomédico.
É também assegurado o direito para os consumidores ao acesso a todos os dados pessoais, possibilitando (via simples requerimento) a retificação, a atualização, a eliminação, o bloqueio, a portabilidade (o encaminhamento de suas informações pessoais a outras empresas), a listagem das entidades públicas e privadas com as quais compartilhou seus dados, dentre outros. Sem prejuízo de eventual reparação de danos na Justiça.
O que muda para as empresas com a LGPD
A partir de agora, não bastará apenas um caixa para assinalar ao lado da mensagem “concordo com os termos de uso e política de privacidade”. Para todo cadastro e ação que venha a captar dados, o usuário precisará dar seu completo consentimento. Isso poderá ser realizado, por exemplo, marcando diversas caixas de assinalar que contenham cada detalhe de forma clara e acessível do que poderá ou não ser realizado com estes dados.
São, por exemplo, a finalidade para a qual estão sendo coletados dos dados; o meio de captura; o período de tempo em que ficarão armazenados; a identificação do controlador com o respectivo contato; se serão compartilhados com terceiros e quais as responsabilidades dos agentes que realizarão o tratamento.
O consumidor, ou seja, o titular dos dados, tem direito de retirá-los ou revogá-los do consentimento dado anteriormente, assim como, caso haja mudança na finalidade dos dados coletados, o consumidor precisa dar novo consentimento. E todos esses serviços devem ser disponibilizados de forma gratuita. Em caso de vazamento ou exposição indevida dos dados, o consumidor deve comunicar à Autoridade Nacional de Proteção de Dados (ANPD).
Agentes de Tratamento
A LGPD cria “agentes de tratamento”, ou seja, sujeitos com responsabilidade sobre os dados do consumidor, sendo eles:
1. Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. Uma empresa ou um órgão do Estado que detenha um acervo de dados pessoais é exemplo de controlador.
2. Operador – pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. Um exemplo de operador seria um subcontratante do controlador, contratado para fazer o tratamento dos dados daquele.
Tais agentes são os responsáveis pelas decisões referentes ao tratamento dos dados pessoais (o controlador) e a própria realização das operações de tratamento em nome de outrem (o operador).
3. Encarregado de Proteção de Dados: intermediário entre os usuários (os titulares dos dados pessoais), as empresas e instituições governamentais (os controladores) e a Autoridade Nacional de Proteção de Dados, atuando como um canal de comunicação entre esses.
Como explica do site Politize, fonte desta matéria, esse cargo é fundamental para que a empresa tome decisões acertadas, implementando boas práticas e adequado compliance institucional.
O que as empresas já estão fazendo
Empresas como o Google, Facebook, Instagram e RD Station já realizam adequações em suas políticas para estar de acordo com a LGPD. O Facebook já começou a pedir permissão para utilização de alguns tipos de dados dos usuários no Brasil.
“Nós também estamos adicionando um novo aviso de privacidade para o Brasil às nossas políticas de dados no Facebook e Instagram, que incluem mais contexto sobre a LGPD e como as pessoas podem exercer seus direitos sob a lei”, explicou a chefe de política de privacidade do Facebook na América Latina, Paula Varga.
O RD Station desenvolveu diversas landing pages específicas para se adequarem à nova lei, trazendo transparência aos seus usuários. Já o Google atualizou seus “Termos de Processamento de Dados entre Controladores do Google Ads” e “Termos de Processamento de Dados do Google Ads” para adequação à lei.
“Essas atualizações incluem os novos adendos de Controlador e Operador da LGPD, bem como pequenas mudanças no Apêndice 2 dos Termos de Processamento do Google Ads para refletir os padrões de segurança atuais do Google”, explicou a empresa em comunicado.
Se, por um lado, empresas terão novas demandas, o que pode acarretar novos custos também, por outro a internet brasileira torna-se cada vez mais segura e transparente, com crimes cibernéticos sendo categorizados e julgados corretamente. O mundo vive conectado através da internet e não há reversão deste cenário, portanto o melhor que os governos podem fazer, a exemplo do Brasil, é criar regulamentações que protejam a todos neste ambiente.
Fontes: Google, PrivacyTech, Politize
