Proteção de dados não se limita à adoção de novas tecnologias ou a questões contratuais. Para evitar riscos e assegurar o direito individual à privacidade, as boas práticas devem fazer parte da rotina.
Sancionada em 2018, a Lei Geral de Proteção de Dados (LGPD, Lei nº 13.709) entrou em vigor em setembro. Gestores devem estar atentos para o fato de que, embora as penalidades administrativas só sejam aplicadas a partir de agosto de 2021, a lei já assegura direitos aos cidadãos, que podem acionar empresas judicialmente. Os processos também podem ser propostos por entidades protetivas, como o Ministério Público.
Qualquer situação que envolva o tratamento de dados pessoais (que identificam uma determinada pessoa) ou de dados pessoais sensíveis (que revelam características, preferências e opiniões) precisa seguir os princípios gerais previstos na lei.
“Na Europa o General Data Protection Regulation (GDPR, Regulamento Geral sobre Proteção de Dados, em português) está em vigor há dois anos e já soma 270 multas aplicadas, sendo que 60% dessas punições estão relacionadas a falhas de adequação aos princípios”, explica o presidente da Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD), Davis Alves, que acredita num cenário semelhante no Brasil. “Já temos decisão judicial publicada contra empresa que não respeitou o princípio da finalidade, ou seja, coletou os dados com um objetivo determinado e usou para outro”.
Para que consigam colocar em prática os princípios gerais, as empresas precisam ir além da tecnologia ou da consultoria jurídica – dois pontos importantes, mas que, isoladamente, não garantem a adequação. “A LGPD envolve uma mudança cultural”, afirma Alves. Esse processo de transformação abrange desde a educação fundamental, capaz de orientar as pessoas sobre a importância da privacidade, à revisão e à conscientização contínua de processos por parte das empresas.
Autoridade Nacional de Proteção de Dados
O processo de adequação das empresas e de conscientização da sociedade sobre a LGPD poderia estar em um estágio mais avançado se a Autoridade Nacional de Proteção de Dados (ANPD) estivesse em atuação nos últimos dois anos, avalia a advogada especialista em direito digital, propriedade intelectual, proteção de dados e cibersegurança, Patricia Peck Pinheiro.
Sócia do escritório PG Advogados e autora de 27 livros sobre direito digital, ela argumenta que a principal consequência decorrente do atraso em relação à constituição do órgão foi a “falta de interação e diálogo com a sociedade” nos últimos anos. “Além disso, cabe à ANPD regulamentar os artigos que ainda precisam de uma complementação, ou seja, a lei não está finalizada. E isso traz muitas dúvidas. Portanto, para que a LGPD consiga alcançar sua plenitude, realmente há necessidade de ter a ANPD efetivamente estabelecida e atuante”.
Cabe ao órgão regulamentar como os pequenos negócios devem se adequar à norma. “Até lá, a recomendação é que as pequenas empresas invistam na proteção e segurança dos dados pessoais, para evitar incidentes de vazamentos”, diz a advogada.
Pinheiro e Alves reforçam que as soluções e as boas práticas de proteção de dados estão ao alcance de todas as organizações e podem ser ajustadas de acordo com o tamanho da empresa e dos recursos que possuem.
Princípios da LGPD
O artigo 6º da LGPD estabelece 10 princípios gerais que devem ser adotados. Confira!
- Finalidade: definir o objetivo para uso dos dados, divulgando-o explicitamente ao titular.
- Adequação: delimitar processos de tratamento de dados para que se restrinjam ao cumprimento da finalidade.
- Necessidade: usar o mínimo de dados necessários para a finalidade apresentada.
- Livre acesso: garantir aos titulares consulta facilitada e gratuita aos próprios dados e à forma como são tratados.
- Qualidade dos dados: assegurar exatidão, clareza, relevância e atualização dos dados.
- Transparência: fornecer ao titular informações claras, precisas e acessíveis sobre o tratamento de dados.
- Segurança: proteger dados contra acessos não autorizados e situações ilícitas, como invasão, destruição e difusão.
- Prevenção: prevenir danos decorrentes do tratamento de dados.
- Não discriminação: impedir o tratamento de dados para fins discriminatórios ilícitos ou abusivos.
- Responsabilização e prestação de contas: demonstrar a adoção de medidas eficazes para o cumprimento das normas.