Ao contrário do que se pode imaginar, as iniciativas legais dedicadas a regulamentar a utilização de dados pessoais dos consumidores no Brasil não são um fenômeno recente. As primeiras tentativas neste sentido tiveram início há mais de duas décadas, muito antes da Lei Nº 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (LGPD) ser sancionada. É possível mapear um histórico cronológico de projetos correlacionados.
Breve contexto sobre a regulamentação de dados no Brasil
Bem antes da popularização dos canais digitais no Brasil e no mundo, a Lei Nº 9.296/1996, no intuito de regulamentar o inciso XII, parte final, do art. 5° da Constituição Federal, dispõe acerca da interceptação do fluxo de comunicações em sistemas de informática e telemática.
Promulgada cinco anos depois, a Lei Complementar 105/2001 dispõe sobre o sigilo das operações de instituições financeiras e dá outras providências, dentre elas a proibição de troca de informações entre instituições.
Porém, foi na década de 2010 que algumas das principais disposições sobre o assunto foram de fato sancionadas. É possível destacar, por exemplo, a Lei nº 12.527/2011 – Lei de Acesso à Informação, e a Lei nº 12.965/2014 – Marco Civil da Internet, até então a principal Lei de Regulamentação sobre dados de usuários e consumidores no ambiente digital no país. Foi para complementar esta abordagem legal do tema, mais especificamente a utilização de dados de modo geral, não apenas no contexto on-line, que, em 2018, surgiu a LGPD.
O que é LGPD e quais são os seus principais objetivos?
De forma bastante sintética, a Lei Geral da Proteção de Dados estabelece regras referentes à coleta, ao armazenamento, ao tratamento e ao compartilhamento de dados pessoais, de modo a garantir maior proteção aos usuários e penalizar as organizações que descumprirem as normas dispostas. A LGPD foi inspirada na legislação GDPR (General Data Protection Regulation), implementada em 2018, na União Europeia.
Seus principais objetivos dizem respeito a um esforço para estruturar, a partir de dez princípios de atuação, a forma pela qual as organizações lidam com os dados de seus consumidores, tanto nos ambientes on-line quanto no off-line. Conforme Art. 6º da Lei Nº 13.709/2018, são eles:
I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
A relação entre LGPD, Segurança da Informação e Direito Empresarial.
Após a compreensão do histórico, características essenciais e finalidade da LGPD, qual a sua relação com as áreas de Segurança da Informação e o Direito Empresarial? Em primeiro lugar, as disposições da Lei implicam na necessidade de ações efetivas e imediatas por parte das organizações.
Iniciativas como captar somente os dados estritamente necessários, desenvolver políticas de autenticação e controle de acesso, bem como investir em estratégias, táticas e ferramentas voltadas para prevenção contra ameaças e risco de vazamento de dados, por exemplo, são tarefas coletivas que mobilizam não apenas os setores de Tecnologia da Informação, mas também o Marketing, o Administrativo, o Financeiro, os Recursos Humanos e, é claro, o Jurídico.
Embora as sanções para empresas que descumprirem o decreto estejam previstas a partir de agosto de 2021, as organizações já se encontram sob a possibilidade de fiscalização por órgãos que podem atuar com base na LGPD, como Delegacia Regional do Trabalho – DRT, Ministério do Trabalho e Emprego – MTE, Procon, Senacom e outros.
Portanto, é fundamental compreender a fundo os princípios da LGPD e mobilizar uma atuação conjunta para evitar eventuais problemas e suas respectivas punições, que podem incluir, conforme Art. 52:
I – advertência, com indicação de prazo para adoção de medidas corretivas;
II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III – multa diária, observado o limite total a que se refere o inciso II;
IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI – eliminação dos dados pessoais a que se refere a infração;
VII – (VETADO);
VIII – (VETADO);
IX – (VETADO);
X – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; (Incluído pela Lei nº 13.853, de 2019);
XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; (Incluído pela Lei nº 13.853, de 2019);
XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. (Incluído pela Lei nº 13.853, de 2019).