*Por Paulo Salvador Ribeiro Perrotti
Em 15 de agosto, o presidente Michel Temer sancionou a Lei Geral de Proteção de Dados (LGPD), que visa impor regulamentações em uma área que, até então, carecia de proteção nacional: a de dados pessoais.
Contextualmente, a lei veio em boa hora, pois, com a criação da General Data Protection Regulation (GDPR), comumente conhecida como lei europeia de proteção de dados, e com o escândalo do Cambridge Analytica que violou os dados pessoais de mais de 440 mil brasileiros, as empresas brasileiras corriam riscos de não poder mais realizar transferências internacionais de dados com países membros da União Europeia.
Porém, como a LGPD afeta o meu negócio?
A LGPD atinge todas as empresas que coletem, controlem e processem dados pessoais de indivíduos que se encontrem em território brasileiro, ou seja, de dados que se originam no Brasil. A GDPR tem a mesma lógica, entretanto, com dados originados no Espaço Econômico Europeu (EEA).
Nesse sentido, não serão afetados apenas os seguimentos que mexam com análise de dados, mas áreas como a da saúde, da educação, da publicidade, da segurança da informação, dos serviços públicos, do desenvolvimento de software e TI, assim como muitas outras. Um supermercado, por exemplo, que colete dados dos seus clientes para cadastro de cartões de fidelidade ou envio de propagandas direcionadas será afetado pela lei, pois terá de adequar o seu sistema de banco de dados de modo que siga com os princípios e normas estabelecidos pela legislação. Até mesmo os registros pessoais em portarias de prédios, edifícios e condomínios deverão ser tratados de forma diferenciada.
A mesma lógica vale para as startups, já que é um mercado que está diretamente ligado a inovação, principalmente no que tange a segurança da informação e desenvolvimento de software. Por isso, é necessário que as empresas e startups procurem ajuda especializada, principalmente jurídica, para que se realize todo o processo de governança corporativa (Compliance) necessário para que seu negócio esteja adequado, tendo em vista que cada caso é um caso.
Um dos grandes pontos que pode gerar impacto na vida das empresas será a obrigatoriedade de adoção de um Encarregado de Proteção de Dados, principalmente se ficar constatada que sua empresa ou startups é um Controlador de Dados. O Encarregado é aquele que cria procedimentos e protocolos internos para que as empresas desenvolvam produtos que coletem dados de maneira lícita e irá desenvolver um papel principal, pois as suas responsabilidades vão desde a notificar o cliente e a Autoridade Nacional sobre o vazamento de dados pessoais, a treinar os funcionários da empresa, desenvolver relatórios e analisar e reportar condutas inapropriadas da empresa aos executivos.
Na GDPR a figura do Encarregado é conhecida como Data Protection Officer (DPO) e já era obrigatório para as empresas brasileiras que caiam nas regras de extraterritorialidade da lei europeia.
Mas o que é a figura do Controlador?
A LGPD estabelece duas figuras importantes no tratamento de dados pessoais: o Controlador e o Operador. O Controlador é aquele que decide como os dados vão ser processados, ou seja, como será realizado o tratamento e para quais fins eles servirão, já o Operador é aquele que irá realizar o tratamento em nome do Controlador, ou seja, não toma decisão.
Em muitos momentos, as figuras de Controlador e Operador se confundem e a empresa ou startup pode vir a ser os dois, devendo se ater a regras específicas e responsabilidade de cada um. No geral, a carga maior de responsabilidade está com o Controlador, até porque ele é quem irá coletar os dados pessoais.
O enquadramento, por exemplo, de Serviços Cloud, como SaaS ou PaaS, nos quais só armazenam os documentos que os clientes colocam na nuvem, seria o de Operador, já que o cliente é quem coleta, processa e decide como os dados vão ser armazenados e os fins que levarão. Logo, o cliente é quem seria o Controlador.
É importante frisar que tanto Operadores quanto Controladores devem saber e conhecer os protocolos e certificações de segurança que devem implementar em seus sistemas, e que a depender da área trabalhada ou do que será tratado serão necessários cuidados a mais como, por exemplo, a coleta e o armazenamento de dados sensíveis.
Para uma empresa ou startup que tenha a intenção se globalizar, tanto Operadora quanto Controladora, será necessário que tenham Políticas de Privacidade e Termos de Uso atualizados e adaptados à LGPD e à GDPR.
Quais são as principais mudanças, responsabilidades e sanções?
Uma das principais mudanças da LGPD é a necessidade de ter uma base legal para tratar dados pessoais. Ou seja, para que uma rede social ou sistema colete alguma informação de um usuário, é necessário que exista uma motivo para isso.
Ao todo, a legislação brasileira previu 10 bases legais para a coleta e o processamento de dados (enquanto a Europa elegeu 8). Neste sentido, destacam-se as seguintes: o consentimento, o interesse legítimo do Controlador, o cumprimento de obrigação legal ou contratual, para a tutela da saúde e para a proteção do crédito. A depender do dado coletado, a empresa poderá ter mais de uma base legal, e tais bases são cumulativas, com uma não excluindo a outra.
Vale a pena ressaltar que o consentimento é a base legal máxima, e ele deve ser claro e inequívoco, precisando ser documentado para prova posterior. Como a lei abrange todos os dados pessoais coletados antes e depois do seu início, é necessário que as startups e as empresas atualizem os consentimentos dos seus clientes e usuários.
Por conta disso, a coleta e o processamento seguem os Princípios da Finalidade e da Necessidade, que é basicamente coletar o estritamente necessário para a realização do tratamento para propósitos legítimos, específicos e explícitos. A LGPD também previu uma série de outros princípios e direitos ao titular dos dados pessoais. Logo, é necessário que as empresas estejam preparadas para a possibilidade de que o usuário peça um relatório de tudo que se colete dele ou que seus dados sejam permanentemente excluídos da base de dados da sua empresa.
As sanções para descumprimento são inúmeras, e podem vir a ser advertências, multas diárias por descumprimento, eliminação dos dados pessoais do banco de dados, bloqueio das atividades e até uma multa de 2% do faturamento da empresa ou startup no seu último exercício, limitada a um valor de até R$ 50.000.000,00 por infração. A responsabilidade civil, como a indenização, por exemplo, também é possível. Essa é a razão que se sugere, desde já, a contratação de um Seguro Contra Ataques Cibernéticos e Vazamento de Informações, que é novidade no mercado brasileiro, a fim de que a empresa ou startup possa mitigar as suas vulnerabilidades e apresentar um plano de contingência efetivo, a fim de evitar perdas que podem devastar a saúde financeira da empresa violada, bem como amparar os clientes e usuários que tiveram seus dados comprometidos.
Por fim, a LGPD entrará em vigor nos primeiro semestre de 2020. Então, é necessário que, desde já, as empresas e startups comecem o seu processo de adequação, de modo que estejam em conformidade e evitem complicações desnecessárias quando a lei começar a valer e, por isso, a assessoria jurídica será fundamental. Até mesmo para se diferenciar dos seus concorrentes, demonstrando que a sua empresa está atenta ao tratamento dos dados pessoais dos seus clientes. Os mais preparados sairão na frente!
*Paulo Salvador Ribeiro Perrotti é advogado especializado em tecnologia, sócio da Perrotti e Barrueco Advogados Associados e Presidente da Câmara de Comércio Brasil-Canadá.