Por Leonardo Araújo Porto de Mendonça

A Lei Geral de Proteção de Dados Pessoais (“LGPD” – Lei n. º 13.709/18), recentemente sancionada, tem como escopo regulamentar sobre o tratamento de dados pessoais, em prol de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.[1]

Importante frisar que o tratamento de dados consiste em toda operação realizada com o dado pessoal, entre elas, coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle da informação, comunicação, transferência, difusão ou extração das informações.

Ou seja, o objetivo principal da nova legislação é tornar possível que o cidadão tenha maior controle sobre o uso por terceiros dos seus dados pessoais, assim como garantir maior segurança quanto à forma que estes dados serão tratados.

Apesar das redes sociais e demais plataformas que fornecem acesso gratuito em troca de informações pessoais, informações estas que serão frutos de tratamento, terem contribuído para que a LGPD fosse sancionada ainda neste ano, engana-se quem acha que apenas estes deverão se adequar aos preceitos da legislação.

Isto porque dado pessoal é qualquer informação relacionada a uma pessoa natural identificada ou identificável. Ou seja, mesmo que o escopo do trabalho de determinada empresa não envolva informações pessoais, esta terá que se adequar no que diz respeito ao tratamento dos dados de seus funcionários e clientes, por exemplo.

Assim, , todas as organizações, empresas e entidades que, de qualquer forma, tratem dados pessoais no território brasileiro ou que recebam dados que foram coletados no Brasil, devem buscar entender os impactos da Lei Geral de Proteção de Dados em todos os seus processos internos e atividades.

O prazo estabelecido para adequação às novas normas é de 18 meses da promulgação da LGPD (14.08.2018), encerrando-se em fevereiro de 2020, motivo pelo qual é importante que as empresas comecem o quanto antes a mapear suas atividades e verificar quais possíveis medidas para adequação de seus processos à Lei, estabelecendo assim um plano de ação.

Podem ser importantes para o processo de adequação, além do mapeamento dos processos internos, a elaboração de políticas e documentos corporativos internos, revisão de contratos com terceiros que envolvam tratamento de dados pessoais, treinamento da equipe sobre boas práticas, além de instituir políticas internas com o objetivo de evitar vazamentos de dados.

As empresas que no prazo estabelecido não se adequarem à LGPD, poderão ficar sujeitas a diversas sanções, como a aplicação de multa simples de até 2% do faturamento da empresa, grupo ou conglomerado, limitada a 50 milhões de reais; ou, a aplicação de multa diária, também limitada a 50 milhões de reais; também existindo a possibilidade de bloqueio dos dados pessoais a que se refere a infração até sua regularização; ou até mesmo a “simples” publicização da infração; a depender do grau da infração cometida.

Sendo assim, tendo em vista o tempo concedido para a devida adequação, é necessário que o empresariado brasileiro inicie o quanto antes o processo de adaptação à nova Lei, evitando assim a aplicação das sanções supracitadas, assim como uma possível exposição pública, o que claramente é indesejado.

[1] Lei n. º 13.709/18: Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.