A Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/2018, trouxe uma mudança significativa no tratamento de dados pessoais no Brasil. Inspirada no Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, a LGPD estabelece normas para proteger a privacidade e os direitos dos titulares de dados, que são as pessoas físicas.
Com a Emenda Constitucional 115/2022, tal instituto passou a ter status constitucional, sendo direito fundamental previsto no artigo 5°, inciso LXXIX, da Constituição Federal. A LGPD estipula que o tratamento de dados pessoais deve ocorrer com base nas hipóteses legais. Isso exige que as empresas revisem e documentem suas práticas de coleta e processamento de dados para assegurar conformidade.
O consentimento de utilização deve ser claro e explícito, permitindo que o titular entenda para que seus dados serão usados, sendo que os titulares podem revogá-lo a qualquer momento. Os titulares podem ainda solicitar acesso, correção, exclusão, portabilidade e informações sobre o compartilhamento de seus dados. As empresas devem estar preparadas para responder a essas solicitações de maneira eficiente e dentro dos prazos estabelecidos.
A transparência é um dos pilares da LGPD. As empresas precisam fornecer informações claras e acessíveis sobre suas práticas de tratamento de dados, incluindo finalidades, duração do tratamento e compartilhamento com terceiros. Essa comunicação deve ser feita de forma simples e compreensível, garantindo que os titulares entendam plenamente como seus dados estão sendo utilizados.
Para proteger os dados pessoais contra acessos não autorizados, perda, destruição e alteração acidental ou ilícita, a LGPD exige que as empresas implementem políticas robustas de segurança da informação, realizem avaliações de risco regulares e adotem práticas de proteção como criptografia e controle de acesso.
Em caso de incidentes de segurança que possam acarretar risco ou dano relevante, as empresas são obrigadas a notificar a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados. Esta medida visa garantir a transparência e a pronta resposta para mitigar possíveis danos.
É necessária a designação de um Encarregado de Proteção de Dados (DPO). Este profissional atua como ponto de contato entre a empresa, os titulares dos dados e a ANPD, sendo responsável por orientar e supervisionar a conformidade com a legislação de proteção de dados.
As penalidades pelo descumprimento da lei incluem advertências, multas de até 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração, além de publicização da infração, bloqueio e eliminação dos dados pessoais relacionados à infração.
Importante salientar que o STF já se manifestou em questões relacionadas à LGPD e tem se posicionado reiteradamente na aplicação da legislação como forma de respeito à privacidade e à autodeterminação informativa.
Em resumo, a LGPD representa um avanço significativo, alinhando o país com as melhores práticas internacionais. Para as empresas, isso implica uma reavaliação completa de suas práticas de tratamento de dados, investimentos em tecnologia e segurança, e uma abordagem proativa na gestão da privacidade, exigindo ainda a conscientização e o treinamento contínuo de seus funcionários sobre a importância da privacidade e proteção de dados.
Procurador Federal aposentado e advogado. E-mail: [email protected]