Entenda o que muda com a LGPD, a nova lei de proteção de dados pessoais

Medida que entrou em vigor na sexta-feira obriga empresas a adotarem processos seguros e transparentes ao mexer com informações de clientes e usuários; falta de autoridade nacional é empecilho para fiscalização

  • Por Gabriel Bosa
  • 22/09/2020 10h00
Darwin Laganzon/Pixabay Multa para empresas que não se adequarem pode variar de 2% do faturamento anual até R$ 50 milhões

Desde a sexta-feira passada, 18, a Lei Geral de Proteção de Dados (LGPD) obriga que toda empresa que tenha operações no Brasil, mesmo tendo origem fora do país — como as gigantes das redes sociais ou serviços de streaming—, adote processos mais seguros e transparentes para o tratamento, proteção, compartilhamento ou divulgação de informações pessoais de clientes e usuários. Além disso, a nova legislação permite que qualquer pessoa questione como as informações que ela cadastra em um site, como o nome completo, endereço, número de telefone, dados bancários, orientação sexual, preferência política, entre diversos outros pontos, são usados por essa empresa, e por qual razão e por quanto tempo ela mantém essas informações salvas, ou até pedir a exclusão desses dados dos seus servidores. O texto, que foi sancionado em 2018 e entrou em vigor na última sexta-feira, isenta até agosto de 2021 a aplicação de multas para quem desrespeitar a lei, que podem variar de 2% do faturamento anual, mas não pode ultrapassar a cifra de R$ 50 milhões. A fiscalização e a penalização das empresas serão feitas pela Autoridade Nacional de Proteção de Dados Pessoais (ANPD), que já existe no papel, mas ainda não foi estruturada pelo governo federal, o que pode gerar insegurança jurídica e dificuldades para a aplicação da nova norma.

A LGPD divide os dados colhidos por sites como pessoais ou sensíveis. No primeiro grupo, constam informações que podem identificar, direta ou indiretamente, uma pessoa. Isso inclui nome, RG, CPF, gênero, data e local de nascimento, telefone, endereço residencial, localização via GPS, retrato em fotografia, prontuário de saúde, cartão bancário, renda, histórico de pagamentos, hábitos de consumo, preferências de lazer, entre outros. Há também dados que o site colhe sem que muitas vezes o usuário se dê conta, como os cookies — que são pequenos arquivos de computador ou pacote de dados enviados por um site para o navegador do usuário —, e o IP do computador, algo como o “RG” da máquina. Já os dados sensíveis são todas as informações sobre crianças e adolescentes, além de dados que revelam origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical, questões genéticas, biométricas e sobre a saúde ou a vida sexual de uma pessoa. Como o próprio nome já diz, os dados sensíveis têm atenção especial do órgão regulador para evitar que eles vazem ou sejam usados de forma indevida. Um exemplo prático de como essas informações são usadas por empresas é o clássico episódio das ligações de telemarketing. Mesmo que você não tenha dado diretamente o seu contato para aquela empresa que está te oferecendo um serviço ou vendendo algum produto, ela possui o seu número de telefone. Esse dado, no caso, pode ter sido vendido por outro site que você tenha se cadastrado e registrado suas informações pessoais.

“A LGPD veio para controlar práticas que eram comuns e agora não podem mais, como o caso dos mailings. As empresas montavam bancos de dados com diversas informações sobre clientes e os comercializavam. A lei coloca um freio nesse tipo de prática e estabelece requisitos e critérios que as empresas vão ter que se ater para coletar, tratar ou usar esses dados”, afirma André Castro, professor de Direito do Ibmec de São Paulo. Mais do que definir diretrizes com o permitido ou não na gerência de dados, a LGPD permite que usuários tenham seus dados, parcial ou totalmente, retirados dos bancos de informações de qualquer empresa, como aquela de telemarketing que tem seu número de telefone mesmo que você nunca tenha se cadastrado no site dela. “O site da empresa é um bom termômetro para saber como ela está lidando com essa questão. Se ele não está adaptado e não explica como eles lidam com os seus dados, é possível que a empresa como um todo também não tenha se adaptado. Hoje, não basta ser, tem que parece ser e mostrar que está fazendo o correto”, afirma o professor.

A Lei 13.709 foi aprovada em agosto de 2018, com previsão para entrar em vigor após 18 meses, ou em fevereiro deste ano. Uma série de mudanças expandiu a vacância por mais seis meses, jogando a validação da medida para agosto de 2020, com mais 12 meses para o início da penalização de quem descumprir a medida. A disseminação do novo coronavírus a partir do fim de março e a sequente crise econômica fizeram com que empresários defendessem novo adiamento da implementação da lei. “Nós concordamos com a LGPD, mas é crueldade ela entrar em vigor nesse momento em que empresas tiveram que fazer cortes e demitir pessoas para tentar sobreviver”, afirma Kiko Afonso, diretor-presidente do Grupo Dínamo, movimento de articulação na área de políticas públicas para startups. Apesar da confirmação para o início da validade em agosto de 2020, muitas empresas deixaram para se adequarem às novas normas na última hora, e podem não cumprir o prazo para se adaptarem em 12 meses, até o início da possibilidade de multas. “Existe uma dificuldade do empresário brasileiro enxergar no médio e longo prazo. A adequação depende do tamanho da empresa: se é uma grande, e que não começou a se adequar nos últimos meses, ter um ano para deixar tudo em ordem é insuficiente”, diz o empresário. Para Castro, do Ibmec, faltou compromisso dos empresários em buscar se adequar aos processos. “As empresas precisam de maturidade, e muitas foram deixando para a última hora. Não se cria um processo desse tamanho de um dia para o outro. Com a pandemia, muitas empresas também começaram a tratar isso como uma questão secundária.”

Além da falta de tempo, a ausência de um “xerife” que fiscalize e dê as diretrizes para a implementação pode ser outro percalço à LGPD. A criação e estruturação da Autoridade Nacional de Proteção de Dados Pessoais (ANPD) já foram autorizadas pelo presidente Jair Bolsonaro (sem partido), porém, os nomes ou até mesmo quantas pessoas irão compor a equipe ainda não foram divulgados. “A falta da autoridade é preocupante porque cria insegurança jurídica. Tem vários espaços no texto da lei que precisam ser regulamentados pelo órgão. Mas o fato de ela não existir não quer dizer que a lei não possa ser aplicada, mas cria uma situação em que as empresas que estão se adequando agora vão precisar revisar esse processo lá na frente”, afirma o advogado Felipe Palhares, sócio da área de Proteção de Dados, Tecnologia e Negócios Digitais no BMA – Barbosa, Müssnich, Aragão. Para Afonso, do Grupo Dínamo, a insegurança jurídica deixa o cenário ainda mais complicado para as empresas se adaptarem. “Como as startups trabalham no limiar da tecnologia e inovação, ainda não existe uma regulamentação. E sem a ANPD, processos jurídicos vão acabar voltando para os juízes de primeira instância, e isso dá margem para decisões estapafúrdias. E mesmo que a autoridade fosse nomeada hoje, é algo que leva tempo até ser estruturado e colocado em prática”, afirma.