As implicações da nova legislação de proteção de dados em empresas de TI

criada em agosto de 2018 e com limite para entrar em vigor em fevereiro de 2020, busca oferecer maior segurança aos titulares quanto ao tratamento de dados, face a tendência das empresas em utilizar os dados das pessoas para compor inúmeras possibilidades empresariais em seus bancos de dados. Através de um levantamento bibliográfico composto por artigos e publicações diversas divulgadas sobre o tema, o artigo traz importantes informações sobre a LGPD, seus princípios e fundamentos, bem como as possibilidades de adequação pelas empresas diante da nova realidade no tocante ao tratamento de dados pessoais. A LGPD inaugura um novo momento na proteção de dados, na medida que responsabiliza os operadores e controladores pelo tratamento, anonimato e segurança no uso dos dados das pessoas.

Palavras-chave: Lei Geral de Proteção de Dados, LGPD, Lei n. Tratamento de Dados. Entendendo a importância e tendo ciência da necessidade que há em proteger os dados das pessoas, e sabendo que a Lei implica em muitas obrigações para que as empresas entrem em conformidade com a respectiva legislação, faz-se o seguinte questionamento: quais as implicações no âmbito empresarial da Lei Geral de Proteção de Dados, sobretudo às empresas de tecnologia? O objetivo desta pesquisa foi levantar as implicações às empresas de tecnologia da nova lei de proteção aos dados pessoais, buscando entender como as empresas podem se adequar à nova legislação. E os objetivos específicos foram: a) descriminar a Lei Geral de Proteção de Dados Pessoais; b) conceituar a nomenclatura dos componentes envolvidos na LGPD; e c) citar as sanções previstas, bem como as formas de adequação para as empresas de maneira geral, diante da nova legislação sobre a segurança de dados.

A Lei de proteção de dados trouxe consigo muitas implicações às empresas de maneira geral, e sobretudo às de tecnologia, no tocante ao tratamento e disposição de dados de pessoas físicas e jurídicas, implicando em sanções às que não cumprirem o disposto legal sobre o assunto. Quanto ao tratamento, trata-se de toda operação efetivada com dados pessoais, e inclui as etapas relacionadas a coleta, a recepção e classificação, a utilização, reprodução, acesso ou transmissão, a distribuição e processamento, além do arquivamento ou armazenamento, eliminação, avaliação e controle da informação, as formas de comunicação, de transferência, difusão e extração dos dados de terceiros (FIESP, 2018). A Lei Geral de Proteção de Dados (LGPD) Diante dos avanços tecnológicos e, consequentemente, das mudanças ocorridas na sociedade com relação ás atividades comerciais, acontecendo estas tanto da forma tradicional como pelas vias digitais, bem como pela interação entre empresas e consumidores, o fator privacidade foi ganhando importância no ordenamento jurídico, sustentada pela Convenção Americana dos Direitos e Deveres do Homem, datada de 1948, que institui que “toda pessoa tem direito à proteção da lei contra os ataques abusivos à sua honra, à sua reputação e à sua vida particular e familiar” (OLIVEIRA; ZANETTI; LIMA, 2019, p.

O objetivo maior da criação da LGPD foi “mitigar os riscos relacionados ao tratamento indevido e/ou abusivo de dados e, ao mesmo tempo, viabilizar que novos negócios e tecnologias sejam desenvolvidos em um ambiente de segurança jurídica” (DANIEL ADVOGADOS, 2019, p. Podem ser considerados outros objetivos para a LGPD: Objetivos Descrição das finalidades Privacidade Assegura o direto à privacidade e proteção de dados individuais das pessoas, mediante práticas seguras e transparentes, que garantam direitos e liberdade fundamentais; Transparência Estabelece regras claramente delineadas sobre o tratamento dos dados das pessoas pelas empresas; Desenvolvimento Fomenta o desenvolvimento econômico e tecnológico da economia; Padronização Estabelece regras inéditas sobre o tratamento de dados pessoais, considerando toda e qualquer tipo de empresa, valorizando as relações comerciais com facilidades e diminuição de custos pela inconsistência de tratamento de dados entre as diversas relações comerciais; Proteção do mercado Fortalece a segurança jurídica das relações, aumentando a confiança entre os agentes, garantindo a livre iniciativa e concorrência , além das defesas comerciais e de consumo; Concorrência Promove a concorrência no mercado, facilita a portabilidade.

Quadro 1 - Objetivos para criação da LGPD Fonte: elaborado pela autora, a partir de Machado e Meyer (2018, p. A LGPD inaugura um novo momento na proteção de dados das pessoas, deixando de ser uma obrigatoriedade prever a privacidade dos outros como uma mera formalidade e passando a imputar uma tutela material ao tratamento dos dados das pessoas em ambientes digitais e fora deles (OLIVEIRA; ZANETTI; LIMA, 2019). Os princípios da LGPD A LGPD elenca no seu art. A Lei define também o que não é dado pessoal, e refere-se basicamente ao processo de anonimização da pessoa, ou seja, um titular de dados que não possa ser identificado é um dado anônimo, que passa por processos técnicos para tratamento e pelos quais deixa de ser associado direta ou indiretamente a um indivíduo.

Outro termo bastante utilizado na nova Lei é tratamento de dados, e se refere à toda operação realizada com o dado pessoal, elencando as atividades de: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle da informação, comunicação, transferência, difusão ou extração (MATTOS FILHO et al. p. Assim, tratar dados pessoais inclui o aparato de fundamentação legal, com necessidade de consentimento, dentre outras hipóteses legais ao ato do tratamento de dados (FIESP, 2018), que serão vistas mais adiante neste artigo. No Quadro 2 é apresentada a nomenclatura dos diversos conceitos presentes na LGPD, para melhor entendimento: Conceito Descrição Titular pessoa natural, titular dos dados pessoais que são objeto de tratamento; Controlador pessoa natural ou jurídica, de direito público ou privado, que decide sobre a utilização e o tratamento de dados pessoais; Operador pessoa natural ou jurídica, de direito público ou privado, responsável por realizar o tratamento de dados pessoais, a pedido do controlador; Agentes de Tratamento termo referente ao controlador e ao operador; Eliminação exclusão de dado ou de conjunto de dados armazenados em banco de dados, independe de procedimento empregado para tal fim; Autoridade Nacional órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da lei de proteção de dados em todo o país; Relatório avaliação de impactos à proteção aos dados pessoais documentação do controlador contendo a descrição dos processos de tratamento de dados pessoais que de alguma forma podem gerar riscos às liberdades e aos direitos fundamentais, bem como medidas implementadas visando a prevenção e mitigação de riscos; Consentimento do titular dos dados é a manifestação dada pelo titular dos dados, de forma livre e específica, mediante declaração ou por clara afirmação na qual indica a aprovação da realização de tratamento de dados pessoais relativos a ele mesmo, para uma finalidade determinada; Violação de dados pessoais falha de segurança que leva à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a dados pessoais transmitidos, armazenados ou processados; Proteção de dados cada novo serviço ou processo de negócios, que utiliza dados pessoais, deve considerar a proteção desses dados.

Tratamento para execução de contrato: no caso da necessidade de tratar dados imprescindíveis para a execução do contrato ou os seus procedimentos preliminares; 6. Tratamento no exercício regular de direitos em processo judicial, que podem ser de caráter administrativo ou arbitral; 7. Tratamento com a intenção de proteger a vida ou integridade física do titular ou de outro; 8. Tratamento para a tutela da saúde, desde que o procedimento seja procedido por profissionais da saúde; 9. Tratamento para atender aos interesses legítimos do controlador ou de terceiros: respeitando os direitos dos titulares dos dados. A sua função consistirá em atender as solicitações referentes ao tratamento dos dados, “bem como adotar as providências necessárias de proteção dos dados tratados” (OLIVEIRA; ZANETTI; LIMA, 2019).

Desta forma, é fundamental que o encarregado tenha conhecimento, e possa acompanhar e se envolver com todos os fluxos de processos realizados dentro da empresa controladora, bem como auxiliar diretamente no desenvolvimento de produtos e serviços, na elaboração de termos de consentimento, no processo de anonimização dos dados armazenados em bancos de dados, entre outros, de maneira que possa supervisionar todas as práticas de tratamento de dados, e certificar se estão em Compliance com a Lei Geral de Proteção de Dados (OLIVEIRA; ZANETTI; LIMA, 2019, p. A autoridade nacional responsável pela questão referente à proteção de dados pessoais, poderá, mas tarde, impor novas atribuições ao encarregado, além de definir isenções de responsabilidades conforme indicação quanto à natureza das empresas, tamanho e ao tipo de tratamento oferecido.

Mas importante frisar a importância do know-how do profissional encarregado quanto a legislação de proteção de dados, gestão de processos, e outros conhecimentos sobre tecnologia da informação, devido a seriedade do seu papel na garantia de proteção de dados, impetrado pela nova Lei (OLIVEIRA; ZANETTI; LIMA, 2019). A proteção de dados, por sua vez, precisa ser observada em todas as etapas que envolvem a confecção de produtos ou serviços, visando sempre a garantia de proteção aos dados do titular, ou seja, a empresa precisa adotar medidas de segurança, tanto operacionais quanto administrativas no sentido de evitar o acesso indevido aos dados ou a sua perda e destruição, alteração ou comunicação, seja qual for a maneira utilizada para isso, e também a evitar qualquer forma de tratamento inadequada dos dados das pessoas (DANIEL ADVOGADOS, 2019).

Assim, as empresas precisam se adequar à nova legislação como forma de evitar as punições arroladas na nova Lei, punições estas que quando aplicadas trazem prejuízos financeiros e de crédito junto aos consumidores em geral. Desta maneira, as empesas devem proceder utilizando os dados das pessoas, atendendo ao negócio em si, ou seja, se o recolhimento dos dados for para fins de execução de contratos, que sejam utilizados para este fim, e assim com relação às outras finalidades. Devem ser adotadas medidas de segurança pelos agentes de tratamento durante toda a fase do produto ou serviço, protegendo os dados pessoais de acessos não autorizados, inclusive aos eventos acidentais ou ilícitos que incorram em destruição, perda, alteração e comunicação mediante o tratamento inadequado ou ilícito (MACHADO; MEYER, 2018).

A formulação de práticas de Governança e Compliance ajudam a adequar as atividades organizacionais às novas solicitações da lei de proteção de dados, podendo os agentes formular, de modo individual e por associações, regras que estabeleçam “condições de organização, regime de funcionamento, procedimentos, normas de segurança, padrões técnicos, obrigações específicas, mecanismos de supervisão e mitigação de riscos e outras medidas relacionadas ao tratamento” (MACHADO; MEYER, 2018, p. Dentro dessas práticas, e conforme a autoridade competente determina, os controladores podem elaborar relatórios de impacto à proteção de dados, segundo as atividades da empresa e as operações realizadas para tratar os dados particulares, além de apresentarem a metodologia utilizada desde a coleta até os mecanismos utilizados para garantir a segurança no tratamento dos dados.

Um dos pressupostos da nova Lei é a sua necessidade de garantir a privacidade dos dados pessoais das pessoas, gerando através da Lei normas que versem sobre a questão e obrigando as empresas a oferecer segurança e privacidade no tratamento desses dados, através de medidas de prevenção, controle de riscos e da nomeação de responsáveis claramente identificados, para que os mesmos possam responder pelas inadequações existentes. A nomenclatura utilizada na Lei serve para identificar tanto os responsáveis e suas funções, bem como os processos utilizados para tratar os dados, de maneira que uma vez claramente exposto cada variável na Lei, fica mais fácil garantir a sua função junto à sociedade brasileira que é dar garantias de um correto tratamento para os dados pessoais.

Quanto as sanções previstas na Lei, essas vão desde multa simples até a publicização da infração, se apurada e comprovada a sua ocorrência, além da eliminação do banco de dados dos dados motivo da infração. Referências BRASIL. Lei n. Guia para a Lei Geral de Proteção de Dados. Disponível em: < https://www. migalhas. com. br/arquivos/2019/9/art20190919-01. daniel-ip. com/wp-content/uploads/2019/02/Daniel_Cartilha_LGPD_atual_fev2019. pdf>. Acesso em 03 jan. FIESP. machadomeyer. com. br/images/publicacoes/PDFs/Lei_Protecao_de_Dados_ebook_18. pdf>. Acesso em 04 jan. A Lei Geral de Proteção de Dados brasileira na prática empresarial. Revista Jurídica da Escola Superior de Advocacia da OAB-PR, a. n. maio 2019, p. PRODANOV, Cleber Cristiano; FREITAS, Ernani Cesar de.