Artigo Jurídico – ASBRAV

Em 18 de setembro de 2020 passou a viger a Lei n.º 13.709/18, a Lei Geral de Proteção de Dados (LGPD ou Lei), seguindo uma tendência mundial de proteção de informações particulares e privadas. Com o advento da LGPD, o Brasil passa a ter uma lei voltada a regular, de forma geral e detalhada, o tratamento de dados pessoais – sejam em formato digital ou físico. Dados pessoais são aquelas informações que identificam ou podem identificar qualquer pessoa natural. Segundo a própria Lei, tratamento de dados envolve uma série de atividades que vão desde a coleta, produção, utilização, processamento e distribuição de informações pessoais, até o seu simples armazenamento. Significa dizer que, se uma pequena empresa possui alguns poucos funcionários, a Lei se aplica a ela. Ou seja, não importa o porte da empresa. Se ela possui informações de pessoas físicas, seus consumidores ou colaboradores, precisará se adequar à Lei.

A LGPD descreve criteriosamente as operações de tratamento de dados permitidas no Brasil, incluindo os requisitos para a obtenção do consentimento do titular dos dados e as situações em que tal consentimento prévio é dispensado. Significa que em muitos casos a empresa somente poderá armazenar algumas informações se possuir a autorização do titular daquele dado – seu colaborador ou consumidor.

A nova Lei prevê diversos direitos e prerrogativas ao titular do dado, incluindo a possibilidade de ter acesso às informações a seu respeito, de corrigi-las e de requerer a sua exclusão de bases de dados das empresas. Além disso, são estabelecidas obrigações específicas para as empresas, incluindo o dever de documentar as operações de tratamento de dados realizadas e de comunicar a ocorrência de incidências (vazamento de dados).

Há ainda a figura dos dados sensíveis, que são informações que se referem, por exemplo, à saúde, genética, biometria, opção religiosa e vida sexual, dos consumidores ou colaboradores, que recebem proteção ainda mais minuciosa por parte da Lei. Assim, quando um funcionário entrega ao empregador um atestado médico ou usa o plano de saúde com participação, estas informações que a empresa recebe e armazena são consideradas dados pessoais sensíveis e, portanto, recebem maior proteção da LGPD.

Para estarem em conformidade com a Lei, as empresas precisam cultivar um efetivo Programa de Governança da Privacidade (artigo 50), que exige, dentre outras obrigações, a análise e registro do fluxo de dados nas suas operações, o treinamento de seus colaboradores, a criação ou revisão das políticas de privacidade e contratos, a elaboração do Plano de Resposta a Incidentes, a indicação de um Encarregado (Data Protection Officer – DPO), responsável, principalmente, pela interlocução com as autoridades fiscalizatórias e os titulares dos dados, etc.

O não atendimento aos requisitos impostos pela LGPD pode gerar sanções administrativas que incluem multa de até 2% do faturamento da empresa (com o teto de cinquenta milhões de reais). Além disso, titulares de dados que se sentirem prejudicados poderão ajuizar processos cobrando o pagamento de indenizações por danos, conforme a imprensa tem noticiado diversos casos quase que diariamente. Caso a empresa consiga demonstrar que estava adequada à Lei, poderá reduzir ou até mesmo eliminar eventual sanção aplicada. Projetos de adequação à LGPD demandam, em geral, alguns bons meses de trabalho, pois, muitas vezes, mudam a cultura interna da empresa de como as informações são solicitadas, manipuladas e armazenadas em seus arquivos ou sistemas.

Por Guilherme Spillari Costa

Advogado, mestrando em direito empresarial na UFRGS, especialista em direito contratual e em direito tributário. Integrante da Comissão Especial de Privacidade e Proteção de Dados da OAB/RS. Sócio de RLSC Advogados – guilherme@rlsc.com.br