GDPR, LGPD e a proteção de dados

Em 25 de maio de 2018, entrou em vigor o Regulamento Geral de Proteção de Dados da União Europeia – RGPD (ou GDPR em inglês). O principal objetivo dessa lei é a proteção dos dados dos cidadãos europeus. Ou seja, as empresas passaram a ser obrigadas a proteger os dados de seus clientes de maneira eficaz. São obrigadas também a informar ao orgão regulador e aos clientes, qualquer vazamento de dados que por ventura ocorra. As empresas também passam a ser responsáveis pelos processos dos fornecedores em relação à proteção de dados, mesmo que esses fornecedores estejam fora da Europa.

Seguindo a tendência mundial, no Brasil, foi sancionada em 14 de agosto de 2018 a Lei Geral de Proteção de Dados (LGPD), descrita no Projeto de Lei da Câmara n° 53/2018, que cria novas regras para uso de dados pessoais no país. Com essa lei, as empresas devem estabelecer regras claras para coleta, armazenamento, tratamento e compartilhamento de dados pessoais. As empresas terão 18 meses para se adaptarem às novas regras.

A nova lei brasileira criará um marco importante para a proteção de dados pessoais dos cidadãos  brasileiros e será aplicada tanto no setor público quanto no privado. As empresas só poderão coletar dados que sejam necessários para o serviço a ser prestado. Não poderão, por exemplo, montar um banco de dados para uso futuro. Após o uso dos dados para o objetivo definido, os mesmos deverão ser extintos, a não ser que a empresa tenha alguma obrigatoriedade de armazená-los, ainda que não possam utiliza-los para outros fins.

Para coletar e/ou usar os dados pessoais, as empresas terão que pedir consentimento ao titular dos dados, que, de toda forma, poderá retirar esse consentimento em outro momento. As finalidades dos dados coletados e armazenados deverão estar explícitas. Alguns dados considerados sensíveis, como por exemplo religiosidade, vida sexual e posição política, deverão ter tratamento mais rigoroso do que alguns outros.

As empresas serão responsáveis pela segurança dos dados pessoais coletados e armazenados, não podendo transferí-los para outras entidades, a não ser que haja alguma previsão legal. Em caso de vazamento dos dados, a empresa deverá comunicar o fato ao órgão competente (Autoridade Nacional de Proteção de Dados , órgão da administração pública indireta, ligado ao Ministério da Justiça), que será responsável por zelar, implementar e fiscalizar o cumprimento da lei, dentro de um “prazo razoável”, que será defindo pelo referido órgão.

No caso de vazamento de dados ou qualquer outra violação à lei, as multas previstas poderão chegar a 2% do faturamento, com o limite de R$ 50 milhões, podendo também implicar na suspensão das atividades da empresa.

A nova lei é um marco importante na regulamentação para proteção de dados e, por consequência, trará um desenvolvimento tecnológico com o objetivo de adaptarem as empresas para ficarem em compliance. É um avanço na garantia dos direitos individuais, que fará com que os cidadãos se sintam mais seguros em relação às suas informações.