Em meio a Era Digital, de relações hiper conectadas, acabamos por disponibilizar, o tempo todo, nossos dados bancários e pessoais no ambiente virtual. Diante a costumeiros eventos de exposição e desvio das informações disponibilizadas por usuários – como os da Cambridge Analytica e do Facebook, na campanha eleitoral de Donald Trump – restou-se necessária a elaboração de um dispositivo que regulamentasse a forma como as empresas devem armazenar e utilizar os dados dos funcionários, usuários e clientes.
No Brasil, em 2018, foi criada a Lei Geral de Proteção de Dados (LGPD), com vigência prevista para agosto de 2020, que determina um padrão mais elevado de proteção e estabelece penalidades diante do seu não cumprimento. Todas as empresas, sejam elas públicas ou privadas, que possuem informações de clientes e/ou consumidores em seus sistemas, devem respeitar os procedimentos e critérios previstos pela nova lei.
Para tanto, a LGPD definiu “Dados” como qualquer elemento que permita identificar ou descrever uma pessoa, de maneira direta ou indireta, fixando-os em duas categorias: dados pessoais e dados sensíveis. Os dados pessoais são aqueles que identificam o indivíduo, como nome, RG, CPF; os dados sensíveis, apresentam valores e convicções pessoais, como etnia, religião, opção sexual e política, etc.
O principal objetivo da Lei 13.709/2018 é regulamentar a necessidade de consentimento expresso do titular dos dados, para armazenamento, inclusive, proibindo a divulgação, venda de informação de contatos, ou, ainda, uso pela própria empresa para finalidade diversa da que autorizada pelo cliente, centralizando nas mãos do titular das informações, o controle sobre elas. Todo usuário deve permitir, de forma espontânea e consciente, que as empresas utilizem seus dados para fins específicos. Fins esses, que devem ser explícitos e previamente determinados – exceto casos previstos na lei – sob pena do pedido e sua posterior autorização serem considerados nulos. Ou seja, a cláusula para consentimento não deve vir nas entrelinhas de termos e condições intermináveis, deve estar claro para o usuário que ele está divulgando certos dados, a serem tratados por terceiros.
A lei estabelece a palavra “tratamento” para caracterizar toda a operação realizada com os dados, tais como processamento, armazenamento, compartilhamento, coleta, entre outros. Para tal, será obrigatório a formação de uma equipe responsável pelo tratamento dos dados, constituída pelo controlador, operador e encarregado, podendo estes ser funcionários da própria empresa ou terceirizados. É essencial que a empresa invista na estrutura digital do negócio, a fim de aprimorar o sistema de tratamento de dados, evitando, assim, os riscos de exposição das informações.
O descumprimento das exigências legais poderá ensejar a aplicação de penalidades e multas ao agente infrator. O valor da multa pode atingir até 2% do faturamento da empresa, previsto o teto de R$50 milhões. A fiscalização ficará a cargo da Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública responsável por implementar e averiguar os procedimentos adotados pelas empresas, verificando a observância das exigências legais. Por Isadora Leone Garcia
