A Lei 13.709/2018, também conhecida como Lei Geral de Proteção de Dados (“LGPD”), foi publicada no dia 14 de agosto de 2018, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, nos termos de seu artigo 1º, e as empresas possuem o prazo de 18 meses, contados da publicação, para se adaptarem às suas normas e diretrizes.
Considerando que o tratamento de dados representa atualmente o insumo da nova economia, seguem algumas recomendações. Inicialmente, destacamos definições trazidas pela LGPD que são fundamentais para a sua compreensão:
- Dado pessoal: informação relacionada à pessoa natural identificada ou identificável, bem como aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.
- Tratamento de dados: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
- Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
- Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
- Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador
Conforme determina a Lei 13.709/2018, o tratamento de dados pessoais somente poderá ser realizado mediante ao consentimento expresso do titular, que deverá ser fornecido por escrito ou por outro meio que demonstre inequivocamente a sua manifestação de vontade. As autorizações genéricas para o tratamento de dados pessoais serão nulas.
A finalidade da realização do tratamento dos dados deve ser específica e informada de forma precisa e descomplicada pelo controlador ao titular. O tratamento não pode ser realizado de forma incompatível à finalidade declarada e deve se limitar ao mínimo necessário para a realização de seu propósito.
Além da finalidade específica do tratamento, determina o artigo 9º da LGPD que o titular deve ser informado sobre a forma e duração do tratamento, a identificação e o contato do controlador, se os dados serão compartilhados pelo controlador com terceiros e, em caso positivo, para qual finalidade, bem como a responsabilidade dos agentes que realizarão o tratamento e os direitos do titular, previstos nos artigos 42 e 18 da Lei, respectivamente.
É importante destacar que controlador e operador devem garantir que os titulares possam consultar de forma fácil e gratuita quais de seus dados estão sendo utilizados para o tratamento e demais informações elencadas acima.
Para tanto, o controlador deve destacar um ou mais funcionários para a fiscalização do cumprimento das disposições dos artigos da LGPD e para atuarem como canal de comunicação com os titulares, através de um meio específico disponibilizado para tanto, por exemplo, um e-mail.
Controladores e operadores devem adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou de qualquer forma de tratamento inadequado ou ilícito, além de manterem registro de todas as operações de tratamento de dados pessoais realizadas, podendo ser requisitados pela autoridade competente a elaborem um relatório de impacto à proteção de dados pessoais referente a suas operações de tratamento de dados.
Por fim, com relação à responsabilidade em razão de eventual descumprimento à LGPD, é importante frisar que o controlador poderá ser responsabilizado juntamente com a empresa contratada para o tratamento desses dados, tendo em vista que a lei entende que o operador realiza o tratamento segundo as instruções fornecidas pelo controlador, e que esse é o responsável por verificar a observância às instruções e normas sobre a matéria pelo operador, hipótese em que, então, será obrigado o controlador a indenizar todos os prejuízos eventualmente experimentados pelo titular dos dados objeto de tratamento.
Na hipótese de infrações, o controlador fica sujeito à sanções administrativas previstas no artigo 52 da LGPD, dentre as quais (i) advertência, com indicação de prazo para adoção de medidas corretivas; (ii) multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; e (iii) publicização da infração após devidamente apurada e confirmada a sua ocorrência.
Para adaptar sua empresa às normas e diretrizes da Lei 13.709/2018, consulte a área Contratual do Finocchio & Ustra Advogados.