Lei de Proteção de Dados: como minha empresa pode se preparar?

Uma análise sobre a nova lei que altera a forma como organizações e entidades públicas lidam com informações de cidadãos e consumidores

Ana Campos*

14 Agosto 2018 | 04h00

No fim do último mês de maio, a União Europeia deu um importante passo no que concerne a regulação do compartilhamento de informações digitais de usuários, tendo em vista uma maior proteção da privacidade online dos cidadãos europeus.

Com a promulgação do Regulamento Geral de Proteção de Dados (GDPR – General Data Protection Regulation) – visto, aliás, como uma resposta as ações de espionagem realizadas pelo Governo dos Estados Unidos e vindas a público através das denúncias, em 2013, de Edward Snowden – o bloco europeu deu início a um movimento que, segundo especialistas, transforma, de modo direto, a cultura da difusão de dados na internet e busca oferecer mais ferramentas de defesa para os usuários quanto ao controle de suas informações pessoais.

Este movimento de mudança cultural trouxe consigo impactos em outros países, incluindo o Brasil, que se viu instado a agir segundo este direcionamento de dar aos internautas maior poder sobre seus dados. Um reflexo importante destes impactos foi a aprovação pelo Senado Federal, no último dia 10 de julho, do Projeto de Lei da Câmara no. 53/2018, que espera sanção do Presidente Michel Temer e visa regular, justamente, a proteção de dados pessoais no Brasil.

Dada a aprovação, sem vetos, por parte do Senado do projeto, entidades como o Instituto Brasileiro de Defesa do Consumidor (Idec) e a Coalizão Direitos na Rede, buscam agora pressionar o Governo Federal para que a Lei de Proteção de Dados Pessoais seja aprovada integralmente, conforme informações do Jornal O Globo.

Em caso de sanção da Lei, é estipulado um prazo de 18 meses até a plena adequação das normas por parte de empresas, cidadãos e órgãos públicos.

O que diz a Lei

Seguindo, justamente, na esteira do GDPR, o PLC/53 conta com muitos pontos incomum com o Regulamento Geral Europeu. Em alguns casos, inclusive, adota os mesmos critérios da lei europeia para definição de suas diretrizes. Dentre os principais pontos do projeto, podemos citar:

O projeto prevê uma caracterização clara do que são dados pessoais (que sirvam para a identificação propriamente dita da pessoa/usuário) e dados sensíveis (credo, religião, filiação partidária, etc.);

Criação de um órgão específico ligado ao Ministério da Justiça – a Autoridade Nacional de Proteção de Dados (ANPD) -, direcionado para regular a efetividade do sistema de proteção de dados;

Obrigatoriedade, por parte das empresas, instituições públicas e bancos de dados, de contar com o consentimento claro do usuário para o uso de seus dados. O consentimento, vale salientar, é passível de ser revogado;

As empresas, instituições públicas e sites também deverão oferecer a possibilidade de edição ou exclusão permanente dos dados de usuário de seus bancos de dados;

Qualquer empresa ou órgão público que processe ou armazene dados deverá contar com um intermediador das comunicações com a ANDP e precisará adotar, dentre outras ações, uma série de medidas para o controle e segurança dos dados pessoais que armazenam;

Em caso de incidente, empresas e órgãos públicos são responsáveis por relatar o problema a ANDP;

Tratamento de dados pessoais pelas pessoas jurídicas de direito público deverá ser realizado para o atendimento de sua finalidade pública, na persecução de um interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, sendo protegidos e preservados dados pessoais de requerentes de acesso à informação, e vedado seu compartilhamento no âmbito do poder público e com pessoas jurídicas de direito privado.

É importante frisar que, em caso de descumprimento de alguma das normas previstas no projeto, as empresas ou instituições públicas estão sujeitas a ações punitivas como advertências, sanções e multas. Em casos mais graves, a organização pode perder o direito de gerenciar dados de terceiros, afetando assim, diretamente em suas atividades.

Impactos na esfera pública

Embora ainda esteja aguardando a sanção final do presidente Michel Temer, o Projeto de Lei 53/2018 já gera debates, incluindo, possíveis impactos em programas públicos que envolvem o compartilhamento de dados de cidadãos.

Em São Paulo, por exemplo, a Lei de Proteção de Dados entra em confronto direto com o programa de concessões da prefeitura da capital, que dava a possibilidade para as empresas gestoras do Bilhete Único e dos parques da cidade, de comercializar informações pessoais de cidadãos.

Segundo reportagem da Folha de S. Paulo, a prefeitura da cidade disse que, independentemente da sanção da lei, as normas de proteção de dados dos usuários serão respeitadas e que o primeiro edital do programa não autoriza a comercialização de informações pessoais.

Antes mesmo da aprovação do Projeto de Lei pelo Senado, em outro caso relacionado com a gestão de informações pessoais dos cidadãos, o Governo de SP revogou portaria que possibilitava o credenciamento de empresas no Projeto no Sistema de Dados Biométricos, que certifica a identidade de indivíduos por meio de dados pessoais e impressão digital.

Tais movimentações do Governo e da Prefeitura de São Paulo apenas indicam a mudança de postura na cultura de proteção de dados, impulsionada a partir de iniciativas como o GDPR e sua variante no Brasil, a Lei 53/2018.

Atenção redobrada nas empresas

Por parte das empresas, o fundamental neste momento é iniciar um processo de adequação de processos e de compliance para o cumprimento de normas referentes a gestão de dados de usuários, posto que, a tendência global atual caminha para uma maior proteção dos indivíduos em suas atividades online.

É importante também deixar claro que, para as organizações que lidam com dados de cidadãos europeus, por exemplo, as diretrizes do Regulamento Geral de Proteção de Dados (GDPR) devem ser seguidas desde já e as companhias que não seguirem suas normas estão sujeitas a punições, em alguns casos, capazes de comprometer decisivamente as operações de uma empresa.

Além dos impactos financeiros, diante deste atual momento de reforço e proteção da privacidade na web, empresas que, porventura, não abracem uma cultura de respeito aos dados dos usuários, podem sofrer danos institucionais na sua relação com o público e perder mercado para companhias mais transparentes e confiáveis.

Buscar, pois, o apoio de advogados e profissionais especializados no processo de orientação de colaboradores sobre os desafios do PLC no. 53/2018 e na criação de políticas que primem pelo cumprimento das normas que irão coordenar as novas relações entre pessoas, empresas e órgãos públicos na web, é fundamental para que sua companhia não corra riscos e seja digna de confiança.

*Ana Campos é especialista em Aquisições e Reestruturações e sócia-fundadora da empresa Grounds, empresa de consultoria inteligente especializada nas áreas contábil, tributária, trabalhista, previdenciária e financeira.

Mais conteúdo sobre:

Artigoproteção de dados