A última versão da Lei Geral de Proteção de Dados (LGPD), sancionada no último ano, veio à tona trazendo relevantes mudanças em diversos âmbitos. Tendo isto em vista, trouxemos alguns dos pontos mais relevantes para que você fique por dentro das alterações.
Sanções administrativas da LGPD
Para introduzir, veremos o que se manteve a nível administrativo:
- Advertência: a identificação de empresas que não seguirem a lei resultará na indicação de um prazo para que se adote as medidas de correção;
- Multa Simples: até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos tributos e limitada a R$ 50.000.000,00 por infração;
- Multa Diária: Esta não ultrapassa o teto de R$ 50.000.000,00;
- A infração será publicada;
- Os dados pessoais referentes à infração serão bloqueados até a regularização;
- Os dados pessoais referentes à infração serão eliminados.
Neste aspecto, a novidade é que vazamentos individuais ou acessos não autorizados a dados pessoais poderão ser objeto de conciliação direta entre controlador e titular. Caso não haja acordo, o controlador estará sujeito às penalidades da lei.
Decisões automatizadas
Previa-se antes o direito do titular dos dados à revisão das decisões tomadas de modo automatizado. O objetivo era que este processo fosse executado por um agente humano, mas houve um veto presidencial que dispensou esta necessidade.
Autoridade Nacional de Proteção de Dados Pessoais (ANPD)
A ANPD atuará como órgão da administração pública federal direta, integrando a Presidência da República no Poder Executivo. Após dois anos de funcionamento, a autoridade poderá ser transformada em entidade da administração pública federal indireta, o que a submeterá ao regime autárquico vinculado à Presidência da República. Entre suas principais funções, destacam-se:
- Celebração de compromissos com empresas;
- Capacidade de edição de normas específicas para startups;
- No que diz respeito a esfera administrativa não judicial, a ANPD será o grau máximo para interpretação da LGPD. Isto não isenta o poder de fiscalização que os outros órgãos terão, ainda que limitados;
- Realização de auditorias;
- Recebimento e processamento de reclamações de pessoas físicas titulares de dados através de meios facilitadores (principalmente eletrônicos), a partir do momento em que o titular procurar a empresa responsável do vazamento e esta não atuar ou resolver a questão;
- Comunicação às autoridades competentes quantos a infrações penais que tenha ciência.
Demanda jurídica ou tecnológica?
Para obter êxito na adequação de sua empresa às normas da LGPD, faz-se necessário o nível jurídico e o tecnológico, um atrelado ao outro. Esta é uma questão que gera muitas dúvidas na busca pelas conformidades.
É necessário o desenvolvimento de uma equipe multidisciplinar que abranja áreas de proteção de dados e segurança da informação. Este grupo deve traçar uma jornada com caminhos bem definidos para a execução das atividades nos tempos adequados, deste modo, garantindo que experts possam obter sucesso na implementação, dentro dos prazos e com a qualidade requerida por lei.
LGPD na área da saúde
No setor da saúde, as mudanças trouxeram flexibilização quanto ao uso dos dados. Sendo estes pessoais ou pessoais sensíveis, terão aval para trata-los os profissionais da saúde, responsáveis por serviços de saúde e autoridades sanitárias, o que amplia o quadro de acessos.
Além disso, o compartilhamento de informações pessoais sobre a saúde para alcançar vantagem econômica fica vedado com a lei, mas algumas condições devem ser consideradas como, por exemplo:
- quando houver em contexto de prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde;
- quando não seja o objetivo de prática, pelas operadoras de planos privados de assistência à saúde, de seleção de riscos na contratação, assim como na demissão e exclusão de beneficiários;
- e, por fim, quando os benefícios forem do interesse do titular dos dados, relativo a portabilidade de dados quando solicitado pelo titular ou as transações financeiras e administrativas resultantes do uso e da prestação dos respectivos serviços.
Funções do DPO (Encarregado de Proteção de Dados)
A revisão da lei atribui ao Encarregado relações somente com Controladores de dados, sendo que, anteriormente, era possível interpretar que o Encarregado mantinha relações com o Controlador e o Operador. Tendo isto em vista, recomenda-se que empresas operadoras nomeiem seus Encarregados, mas é mais raro que uma empresa atue somente com operação e não com o controle dos dados.
Nota-se também uma mudança quanto ao Encarregado não precisar possuir o conhecimento jurídico regulatório em proteção de dados. Esta alteração pautou-se na não ofensa ao direito fundamental (previsto no art. 5º, XIII da Constituição da República), por restringir o livre exercício profissional a ponto de atingir seu núcleo essencial.
Um bom DPO deverá dominar, além da LGPD e outras habilidades e técnicas necessárias, a regulamentação europeia (GDPR, General Data Protection Regulation) e também ter a técnica para peticionar a ANPD respondendo os questionamentos que está levante.
Em suma, investir em um DPO sem conhecimento jurídico resultará na necessidade de contratar também advogados que cubram a demanda junto à ANPD e judiciário. Faz-se necessário e é mais conveniente, sem dúvidas, possuir um profissional que cumpra ambas as demandas.
Fases que compreendem a jornada de adequação à LGPD
Planejamento e metas de execução são imprescindíveis para a implementação completa e adequada da lei. Um caminho ideal demanda ações como:
- Criar um escritório de privacidade;
- Definir e treinar o DPO (Encarregado de Dados);
- Criar políticas de proteção de dados e privacidade;
- Definir um fluxo de tratamento de dados;
- Definir estratégias de início de execução de atividades;
- Mapear dados, dados estruturados e não estruturados;
- Catalogar e definir ciclos de vida dos dados;
- Criar relatório de impacto de tratamento de dados utilizando linhagem;
- Definir hipótese legal de tratamento de dados;
- Determinar os recursos tecnológicos e os tratamentos que garantam privacidade de informações em processos de negócios, conforme o relatório de impacto de tratamento de dados;
- Garantir atendimento de titulares de dados assim como a ANPD;
- Monitorar constantemente a privacidade dos processos e sistemas internos.
Todo este processo requer muita atenção, colaboradores especializados e engajados, ademais de tempo para planejamento e execução. A lei irá vigorar em menos de um ano (mais precisamente, em agosto de 2020), e é imprescindível iniciar o processo com o máximo de brevidade, garantindo que haverá tempo hábil para seu asseguramento de conformidade legislativa.