Depois de quase dez anos do primeiro projeto de lei sobre o assunto, em agosto do ano passado foi publicada a Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/2018. 

A aprovação da LGPD se deu muito em razão de uma forte pressão externa, decorrente da denúncia pública feita por Edward Snowden em 2013 de que a Agência de Segurança Nacional dos Estados Unidos da América, a NSA, teria um sistema de vigilância global, do escândalo da Cambridge Analytica, envolvendo uma possível influência no resultado das eleições americanas de 2016, e do Regulamento Geral sobre a Proteção de Dados da União Europeia, vigente desde maio de 2018. 

Apesar de encontrarmos alguma regulamentação esparsa sobre proteção de dados, como é o caso, por exemplo, do Código de Defesa do Consumidor, da Lei de Acesso à Informação e do Marco Civil da Internet, não tínhamos até então uma lei especifica sobre o assunto.

É certo que a ausência de regulamentação específica não impediu que diferentes empresas fossem investigas e punidas em casos de vazamento de dados no território brasileiro, bastando uma rápida pesquisa na internet para encontrar muitos exemplos. 

Contudo, com a LGPD, as empresas passarão a ter maior segurança acerca dos limites e regras atinentes ao tratamento de dados pessoais, além dos titulares ganharem maior controle sobre o uso de seus dados. Destaca-se, nessa linha, que a lei não é proibitiva, mas demandará que aqueles que de alguma forma tratem dados passem por processos de adequação e revisão de procedimentos.

A LGPD define dados pessoais como informações relacionadas a pessoa natural identificada ou identificável, o que inclui, por exemplo, nome completo, RG, CPF, ou, em alguns contextos, número de IP, geolocalização, hábitos de compra, dentre outros. Por ser um conceito amplo, é possível concluir que praticamente todas as empresas tratam dados pessoais, sejam de seus clientes, funcionários ou prestadores de serviço.

Caso o agente responsável pelo tratamento não esteja em conformidade com os termos da LGPD, poderá sofrer sanções administrativas, que vão desde advertências até multas que podem alcançar o patamar de 2% do seu faturamento, limitado a R$ 50.000.000,00, além da possibilidade de ser civilmente responsabilizado pelos danos causados.

A LGPD impõe, assim, uma série de deveres às empresas, que incluem a adoção de medidas técnicas e administrativas aptas a proteger os dados pessoais, além da obrigação de limitar o tratamento ao mínimo necessário para a realização de suas finalidades.

Ainda, o tratamento dos dados apenas poderá ser realizado em hipóteses específicas, definidas pela própria lei, o que demandará que as empresas efetuem uma revisão de seus bancos de dados e procedimentos de coleta de dados.

Diante disso, é inevitável que toda e qualquer empresa será impactada pela LGPD, cuja vigência está prevista para iniciar em agosto de 2020. Assim, mais do que nunca será necessário entender o negócio e as necessidades de sua empresa, para definição dos passos a serem adotados neste processo de adequação. 

Beatriz Valentim Paccini, advogada – sócia de Brasil Salomão e Matthes Advocacia