Nesta quinta-feira, 17, o presidente Jair Bolsonaro sancionou a lei 13.709/20 e, com a publicação, a Lei Geral de Proteção de Dados (LGPD), que começa a valer a partir desta sexta-feira, 18.

A lei entraria em vigor em meados de agosto, porém, quando sobreveio a MP 959, que prorrogava o início da vigência para maio de 2021, o início de sua vigência seria adiada para o primeiro dia do ano. Como o Senado derrubou esse artigo, a vigência foi ajustada para o momento em que, tão logo fosse sancionada a lei de conversão, voltaria a valer o prazo original.

A Lei implicará em grandes transformações no tratamento de dados pessoais para o país, para o cotidiano das empresas e de todas as pessoas (nacionais e estrangeiros), afetando todos os setores e serviços. Ela pretende criar um cenário de segurança jurídica, com a padronização de normas e práticas, para promover a proteção, de forma igualitária e dentro do país e em todo o mundo, aos dados pessoais de todo cidadão que esteja no Brasil.

A lei estabelece o que são dados pessoais, define que há alguns desses dados sujeitos a cuidados ainda mais específicos (dados sensíveis), e que tanto os dados pessoais tratados nos meios digitais como aqueles tratados nos meios físicos estão sujeitos à sua regulação.

Nos termos da LGPD, não importa se a sede de uma organização ou o centro de armazenamento de dados estão localizados no Brasil ou em outro país: se há o processamento de dados de pessoas, brasileiras ou não, que estão no território nacional, a LGPD deve ser cumprida. Por outro lado, embora seja permitido compartilhar dados com organismos internacionais e com empresas localizadas em outros países, devem ser estabelecidos protocolos seguros para o devido cumprimento das exigências legais.

O consentimento do cidadão é a base para que dados pessoais possam ser tratados (recebidos, armazenados e eliminados), embora seja possível tratar dados sem consentimento de seu titular (por exemplo, para: cumprir uma obrigação legal; executar política pública prevista em lei; realizar estudos via órgão de pesquisa; executar contratos; defender direitos em processo; preservar a vida e a integridade física de uma pessoa; tutelar ações feitas por profissionais das áreas da saúde ou sanitária; prevenir fraudes contra o titular; proteger o crédito; ou atender a um interesse legítimo, que não fira direitos fundamentais do cidadão).

A lei traz várias garantias ao cidadão, que pode exigir que seus dados pessoais sejam eliminados, pode revogar um consentimento, pode determinar a transferência de seus dados para outro fornecedor de serviços, entre outras ações.

O tratamento dos dados deve sempre observar e se ater à finalidade e necessidade, que devem ser previamente acertados e informados ao cidadão sobretudo nos casos em que a coleta dos dados ocorrer de forma automatizada e com o objetivo de estabelecer um perfil para detectar hábitos de consumo, comportamento profissional, ideologia, religiosidade, etc.

A Lei determina a criação da Autoridade Nacional de Proteção de Dados Pessoais, a ANPD (que vai fiscalizar e estabelecer penas pelas infrações e vai regular e orientar, preventivamente, sobre como aplicar a lei) e estipula que as organizações (empresas e entes públicos) deverão indicar os agentes de tratamento de dados e as suas funções (o controlador, que toma as decisões sobre o tratamento; o operador, que realiza o tratamento, em nome do controlador; e o encarregado, que interage com cidadãos e autoridade nacional).

As empresas deverão estabelecer métodos e critérios para a administração de riscos e falhas no tratamento dos dados pessoais, ou seja, quem gere base de dados pessoais terá que redigir normas de governança; adotar medidas preventivas de segurança; replicar boas práticas e certificações existentes no mercado, elaborando planos de contingência; comprovando a realização de auditorias; resolvendo incidentes com agilidade.

Finalmente, é importante lembrar que falhas no cumprimento da norma (falhas ou incidentes de segurança) podem impactar gravemente nos negócios, na medida em que a ANPD poderá determinar o bloqueio da base de dados (impedindo o funcionamento da empresa) e ainda impor multas de até 2% do faturamento anual da organização no Brasil, no limite de R$ 50 milhões por infração.

*Márcio Américo de Oliveira Mata, assessor jurídico da Fetcemg