A Lei Geral de Proteção de Dados Pessoais é a primeira lei brasileira a dispor sobre os direitos que o usuário tem sobre os dados que compartilha com empresas. Criada em 2018, a legislação passa a valer em 2020, portanto os negócios tem ainda um bom tempo para se adaptarem.

As normas dispõem, principalmente, sobre como dados são armazenados pelas organizações que o coletam. O que significa, na prática, que se você tem um serviço online deve ser capaz de proteger informações sigilosas do usuário (como CPF, RG, estado civil etc), não podendo compartilhar esses dados sem autorização, e não pode usá-los, por exemplo, para discriminar um grupo de pessoas.

Neste artigo, vamos lhe explicar direitinho o que muda com essa lei e que impacto essa ela terá nas suas operações. Vamos lá?

O que é a Lei Geral de Proteção de Dados Pessoais?

Empresas acumulam atualmente uma porção de dados de seus consumidores. Rapidamente, tornou-se quase impossível acessar qualquer serviço sem compartilhar pelo menos algum identificador. Porém, os data breaches (vazamento de dados) passaram a ser comuns.

A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) surge como uma maneira de gerar confiança aos usuários e impelir organizações a respeitarem as decisões deles.

Antes dela, ao compartilhar uma informação pessoal com uma empresa, não havia uma forma de saber com clareza como esses dados eram armazenados, utilizados e processados. A regulamentação garante que as organizações precisam prestar contas e arcar com a responsabilidade no caso de uso indevido.

Organizações podem ser punidas por induzir ao erro seus clientes ou não informá-los, de maneiras transparente, como trata os dados. Cabe a elas comprovar, perante a justiça, que houve cessão de direitos e, toda vez que for preciso utilizar as informações contidas nos seus bancos para outras finalidades senão aquelas acordadas é preciso solicitar nova permissão.

As normas oferecem uma porta de saída para os clientes que não querem mais que uma empresa utilize seus dados de certa maneira. Se nos termos do seu serviço a única especificação era de que os dados serviriam para “customizar a experiência do cliente” ao decidir utilizá-los para criar um produto derivativo será preciso pedir nova autorização e, se ela for negada, os dados daquele ente não poderão ser utilizados.

Há algumas exceções para o cumprimento da Lei Geral de Proteção de Dados. Falaremos sobre elas a seguir.

Quem precisa seguir a nova Lei?

A partir de 2020 todas as empresas que armazenam dados dos clientes precisarão se adaptar a essa lei para garantir autodeterminação, liberdade de expressão e informação, inviolabilidade da intimidade e da honra e a defesa do consumidor. Pessoais naturais também estão sujeitas à norma e ela se aplica até mesmo às autarquias governamentais.

Para a Lei não importa se os servidores em que armazena os dados dos clientes estão no Brasil ou não. Empresas que operam por aqui, mas não possuem sede ou filial no país devem se submeter a norma enquanto a coleta for realizada por aqui.

Algumas exceções tiram o peso dessa Lei de pesquisadores e entidades menores enquanto dão poder ao governo para investigar crimes cibernéticos sem ter que pedir a autorização de quem os cometeu. Se o agrupamento é feito para fins particulares e não econômicos, publicação jornalística e acadêmica (caso em que se aplicam apenas os arts. 7º e 11 da Lei) ou visa garantir a segurança pública, do Estado e a defesa nacional o uso deles não é regulamentado.

Desde o advento da legislação europeia sobre o tema (GDPR) a tendência era de que outros países seguissem na mesma direção. Quem já se adaptou para a lei estrangeira, por oferecer serviços também em outros países, não terá problemas em acolher as mudanças já que elas contam com muitos termos em comum.

Como os dados devem ser coletados e tratados?

O texto legal da Lei Geral de Proteção de Dados Pessoais é extenso, mas podemos resumi-lo em alguns pontos principais. Eles dizem respeito, principalmente, à visibilidade e à segurança.

Visibilidade

Segundo a Lei, todos os usuários precisam autorizar o uso de seus dados de maneira clara. Isso significa que as empresas devem deixar evidente como os utilizarão e quais deles vão armazenar.

Segurança

Um ponto muito importante da nova legislação é o que garante a segurança das informações que uma pessoa compartilha com a sua empresa. Incidentes de vazamento ou violação precisam ser notificados às autoridades e aos usuários atingidos. Proteger os dados torna-se uma obrigação das empresas, que podem pagar multas caras se alguns desses incidentes decorrer de uma falha de segurança que elas não previram.

Quais as punições para quem descumprir essa Lei?

No caso de infrações menores, uma advertência com prazo de correção pode ser a sanção escolhida, mas se a empresa for reincidente uma multa simples pode se aplicar. O custo é de cerca de 2% do faturamento, com limite de R$ 50 milhões por infração.

Problemas maiores podem ocasionar uma multa diária, até que a situação seja resolvida. Essas multas também ficam limitadas aos R$ 50 milhões por infração, mas se acumulam bem mais rápido que as simples.

Após apurada a infração o governo a tornará pública e até a regularização a organização responsável pelos dados é passiva ao bloqueio deles. Isso significa que ela não poderá fazer a coleta ou tratamento de informações enquanto não resolver o motivo pelo qual a punição foi imposta.

Uma infração maior pode exigir a eliminação dos dados pessoais que a empresa acumulou. Em geral, as punições são cumulativas. Começam em uma advertência e evoluem até a exclusão de dados caso a empresa falhe em endereçar os problemas.

Com a nova Lei cada empresa passa a ter um encarregado, que responde juridicamente pelas informações. É ele que deve reagir a reclamações e prestar esclarecimentos ao público, dialogando com os governos para certificar-se de que as normas são cumpridas. Empresas menores podem dispensar o encarregado, mas as de médio e grande porte devem contar com esse profissional.

A maioria dos especialistas acredita que a Lei será vantajosa. Ela trará diferenciais para as companhias que tratam bem os dados dos clientes e fará delas mais competitivas, segundo a advogada Jacqueline de Abreu em entrevista à Folha de SP. Cada empresa, porém, deve criar uma cultura de proteção de dados adaptada à sua realidade e a regulamentação é vista pelo diretor de Políticas Públicas do Google como estratégica para indicar às empresas que elas não podem violar nenhum dos direitos do usuário.

Preparar-se para a Lei Geral de Proteção de Dados Pessoais é importante para manter uma coleta de dados ativa e uma geração de insights precisa. A sua empresa está pronta para todas essas mudanças?

Gostou de conhecer melhor a Lei Geral de Proteção de Dados? Assine a newsletter e receba as principais atualizações do blog na sua caixa de e-mail!