2ª edição da Jornada de Comunicação da Rede Biodrogas reúne especialistas sobre LGPD

Em palestra aos associados da Rede, advogados destrincharam a Lei Geral de Proteção de Dados e tiraram dúvidas, confira mais informações na entrevista a seguir

No último dia 28 de abril ocorreu a 2ª edição da Jornada de Comunicação da Rede Biodrogas, com o tema de Lei Geral de Proteção de Dados (LGPD), os associados participantes acompanharam uma palestra da advogada empresarial, mestre em Direito, sócia diretora da Maia Sociedade de Advogados e Presidente da OAB Bauru, Marcia Negrisoli, e do advogado, sócio e DPO da Maia Sociedade de Advogados, Leonardo Góes.

A lei de nº13.709, tema do encontro, foi aprovada em agosto de 2018 e entraria em vigor a partir do mesmo mês em 2020, entretanto, foi prorrogada para agosto de 2021. Até lá, as empresas estão em período de adaptação para entrarem em conformidade com a medida, que poderá punir durante fiscalizações.

 No Brasil ainda não havia legislação específica sobre proteção de dados, apenas disposições gerais no Código Civil, Código de Defesa do Consumidor, na Lei de Acesso à Informação e no Marco Civil da Internet. A LGPD apresenta em seu texto o que são dados pessoais, define quais deles necessitam de cuidados ainda mais específicos, os chamados dados sensíveis e aqueles que pertencem a crianças e adolescentes. Um elemento muito importante da Lei Geral de Proteção de Dados é que exista o consentimento do portador para que os dados sejam tratados, salvo algumas exceções.

Em entrevista ao BioNews os advogados Márcia Negrisoli e Leonardo Goés explicaram mais detalhes sobre o funcionamento das leis, como as empresas podem adequar-se a ela, e quais consequências podem sofrer se o não o fizerem.

O que é a LGPD?

Marcia Negrisoli: LGPD é a sigla utilizada para Lei Geral de Proteção de Dados, sancionada em agosto de 2018 pelo Presidente da República. A lei teve um período de 2 anos de vacância e está vigente em nosso ordenamento jurídico portanto, desde agosto de 2018. Ela regulamenta regras sobre o uso de dados pessoais pelas empresas, públicas ou privadas, impondo maior proteção e penalidade em caso de descumprimento. Com a LGPD, o Brasil entra no rol dos 120 países que possuem legislação específica para a proteção de dados pessoais.

O que são dados e dados sensíveis que a lei trata?

Leonardo Góes: Os dados pessoais são os que nos individualizam, que você consegue chegar em uma determinada pessoa, seu nome, RG, CPF, placa de um carro. Então pode ser direta ou indiretamente, você chega a uma pessoa, individualiza ela. Os dados pessoais sensíveis são aqueles que você pode segmentar um determinado grupo de pessoas, de modo que você pode ver as discriminações negativas e positivas: Dados referentes à saúde, à orientação sexual, se é sindicalizado ou não, predileção política, convicção filosófica e enfim, tem o hall dos dados pessoais sensíveis.

Marcia: Os dados sensíveis são aqueles que exigem uma atenção ainda maior, como os dados de crianças e adolescentes.

 Por que a LGPD foi criada?

Marcia: O objetivo da lei é proteger a liberdade e a privacidade de consumidores e cidadãos, garantindo mais segurança e transparência no uso de informações pessoais. Um fator decisivo para a criação da lei foi o aumento do número de casos de vazamentos de dados nos últimos anos.

Leonardo: E, principalmente, foi criada por fruto de pressão internacional, porque você tem a maioria dos parceiros econômicos do Brasil com legislação até pra proteção de dados, em especial a Europa, que tem a GDPR, e a LGPD é baseada na GDPR.

O que muda para as empresas?

Marcia: Todas as empresas precisam se adaptar às regras da LGPD, sejam elas pequenas, médias ou de grande porte. Uma das principais mudanças é que a empresa precisa do consentimento expresso dos clientes e de outras pessoas físicas que a empresa colete dados, para o uso das informações. Deve ser elaborada uma política clara e transparente de como e para que as informações serão usadas. Sendo vedado o uso dos dados para outras finalidade que não foram consentidas.

Leonardo: É importante também que a LGPD serve tanto para dados digitais quanto para dados analógicos e físicos. O que muda para as empresas, resumindo, é que elas vão ter que se preocupar porque e pra que ela coleta determinados tipos de dados, e a partir do momento em que ela coleta, com quem ela compartilha, como que ela armazena, como ela anonimiza. Anonimizar é uma espécie de criptografia, deixar inelegível um dado, que são os dados sensíveis, que a gente vai ter que fazer isso a partir de agora. E como você deleta também, a política de descarte em relação aos dados.

O que as empresas devem fazer para se adaptar?

Marcia: O primeiro passo é criar dentro da empresa um comitê responsável por analisar os atuais procedimentos internos quanto ao ciclo de vida do dado, através de um mapeamento bem detalhado. A partir do resultado, é feita a avaliação da maturidade em termos de segurança da informação e a constatação de quais processos precisam ser adequados. Outros passos importantes são: a governança no tratamento dos dados com a criação de regras de boas práticas, alterações contratuais, termos de consentimento, relatório de impacto etc. 

Leonardo: As empresas, para se adaptarem, elas vão ter que procurar ajuda especializada, um projeto multidisciplinar que envolve TI, jurídico, RH, comercial, vai ter que passar por todos os setores das empresas, a depender do seu tamanho. Vai ter que ter uma mudança de cultura na empresa, de como ela trata os dados, de como seus colaboradores, seus parceiros fazem o tratamento desses dados.

Quais penalizações as empresas que não se adequarem à legislação podem sofrer?

Marcia:A lei prevê diversas sanções a depender da gravidade e proporcionalidade do descumprimento, tais como: Advertência, com indicação de prazo para adoção de medidas corretivas, multa simples de até 2% do faturamento líquido da pessoa jurídica, limitada, no total, a R$ 50.000.000,00 por infração. Multa diária, publicação da infração após devidamente apurada e confirmada a sua ocorrência, bloqueio dos dados pessoais envolvidos na infração até a sua regularização e eliminação dos dados pessoais envolvidos na infração.

Leonardo: A lei está em vigor desde o final de setembro do ano passado, mas as sanções de ordem administrativa elas decorrerão agora a partir de agosto, porque a NPD, autoridade nacional de proteção de dados, foi criada no final do ano passado, ainda está sendo estruturada e ela vai ter uma função fiscalizatória, como as agências reguladoras, a ANATEL para telecomunicações, a ANEL para energia e elétrica, e você vai ter a NPD para dados pessoais.