Afinal, o que é LGPD?

Márcia Negrisoli

De uns tempos para cá, a sigla LGPD passou a fazer parte do noticiário nacional. Mas, afinal, do que se trata? A sigla é utilizada para fazer referência à Lei Geral de Proteção de Dados, sancionada em agosto de 2018 pelo então presidente da República, Michel Temer. A lei teve um período de dois anos de vacância e, portanto, encontra-se vigente em nosso ordenamento jurídico. Ela regulamenta regras sobre o uso de dados pessoais pelas empresas, públicas ou privadas, impondo maior proteção e penalidade em caso de descumprimento.

Com a LGPD, o Brasil entra no rol dos 120 países que possuem legislação específica para a proteção de dados pessoais. Esses dados são todas as informações que permitem identificar, direta ou indiretamente, um indivíduo, como por exemplo: nome, RG, CPF, gênero, data e local de nascimento, telefone, endereço, localização via GPS, retratos, prontuários médicos, cartão bancário, endereço de IP, entre outros.

Os dados sensíveis são aqueles que exigem uma atenção ainda maior, como os dados de crianças e adolescentes e também aqueles que revelem origem racial ou étnica, convicção religiosa, opinião política, associação sindical, preferência sexual, dados biométricos e de saúde.

O objetivo da lei é proteger a liberdade e a privacidade de consumidores e cidadãos, garantindo mais segurança e transparência no uso de informações pessoais. Um fator decisivo para a criação da lei foi o aumento do número de casos de vazamentos de dados ocorridos nos últimos anos.

Todas as empresas precisam se adaptar às regras da LGPD, sejam elas pequenas, médias ou de grande porte. Uma das principais mudanças é que a empresa precisa do consentimento expresso dos clientes e de outras pessoas físicas para fazer uso das informações coletadas. Deve ser elaborada uma política clara e transparente de como e para quê as informações serão usadas, sendo vedado o uso dos dados para outras finalidades que não foram consentidas.

Para se adequar, a empresa precisa de ajuda de especialistas e investimento em segurança da informação. O primeiro passo é criar dentro da empresa um comitê responsável por analisar os atuais procedimentos internos quanto ao ciclo de vida do dado, através de um mapeamento bem detalhado. A partir do resultado, é feita a avaliação da maturidade em termos de segurança da informação e a constatação de quais processos precisam ser adequados.

Outros passos importantes são: a governança no tratamento dos dados com a criação de regras de boas práticas, alterações contratuais, termos de consentimento, relatório de impacto etc. E, por fim, realizar treinamento efetivo para mudança de cultura de todos os profissionais da empresa em como lidar com dados pessoais.

Em caso de não adequação às novas determinações, as empresas ficam sujeitas a penalizações. A lei prevê diversas sanções, a depender da gravidade e da proporcionalidade do descumprimento, tais como: advertência, com indicação de prazo para adoção de medidas corretivas; multa simples, de até 2% do faturamento líquido da pessoa jurídica, limitada, no total, a R$ 50 milhões por infração; multa diária; publicação da infração após devidamente apurada e confirmada a sua ocorrência; bloqueio dos dados pessoais envolvidos na infração até a sua regularização e eliminação dos dados pessoais envolvidos na infração. As multas devem começar a ser aplicadas a partir de 1º de agosto deste ano.

 

Márcia Negrisoli é advogada empresarial, mestre em Direito, sócia-diretora da Maia Sociedade de Advogados e presidente da OAB Bauru.