Lei Geral de Proteção de Dados: Conclusão

Lei Geral de Proteção de Dados: Conclusão

Lei Geral de Proteção de Dados: Conclusão

Dando continuidade ao nosso último post, hoje vamos falar um pouco mais sobre LGPD e assim também o finalizar.

9. O que faço para denunciar práticas irregulares ou ilegais?

Qualquer pessoa natural que seja titular de dados pessoais poderá peticionar contra a empresa ou a instituição governamental que controle seus dados à ANPD acerca de violação as normas de proteção de dados.

É recomendável, primeiramente, tentar contato com a empresa ou organização mediante requerimento expresso para a obtenção de informações ou outra providência em relação a seus dados. Tal requerimento não terá nenhum ônus ao titular. Igualmente, é possível peticionar aos órgãos de defesa do consumidor em caso de silêncio ou omissão.

As empresas podem ser responsabilizadas administrativamente com penalidades que vão desde advertência à multa simples de 2% do faturamento anual até o limite de 50 milhões de Reais por infração. Além, é evidente, da exposição negativa na mídia, efeito colateral da publicização da má-gestão de dados.

Por fim, em casos de irregularidades, inconformidades legais ou atos ilícitos, o titular dos dados também poderá exercer seus direitos em juízo, caso haja a necessidade da reparação pelos danos materiais ou morais sofridos.

10. O que é a Autoridade Nacional de Proteção de Dados? Para que serve?

A Lei nª 13.853/19 criou a Autoridade Nacional de Proteção de Dados (ANPD), disposta anteriormente na MP nº 869/18, como parte da Política Nacional de Proteção de Dados Pessoais e Privacidade.

Trata-se de um órgão da administração pública federal indireta, em regime de autarquia especial, vinculado à Presidência da República com os objetivos de: zelar pela proteção de dados pessoais; fiscalizar e aplicar sanções administrativas; promover e divulgar informações sobre normas e políticas públicas acerca da proteção de dados pessoais e medidas de segurança; e promoção de ações de cooperação com autoridades de proteção de dados pessoais de outros países; dentre outras competências.

A mesma norma instituiu também o Conselho Nacional de Proteção de Dados Pessoais e Privacidade, com representantes do Executivo, do Legislativo e do Judiciário; do Ministério Público; da sociedade civil; de instituições científicas; e do setor empresarial.

Esse Conselho tem entre suas competências: a proposição de diretrizes estratégicas; a elaboração de relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados; a realização de estudos e debates, etc.

A ANPD está em fase de conformação política para a escolha de membros, encaminhamentos estruturais, regulamentação e detalhamentos técnicos para seu funcionamento. Aguarda, também, a plena vigência da LGPD que ocorrerá em agosto de 2020.

11. Quem são os agentes responsáveis pelo tratamento de dados pessoais e quais as suas funções e responsabilidades?

A legislação brasileira elenca o rol de sujeitos, encargos e responsabilidades dos chamados “agentes de tratamento”. São eles:

  1. controlador– pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
  2. operador– pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

Tais agentes são os responsáveis pelas decisões referentes ao tratamento dos dados pessoais (o controlador) e a própria realização das operações de tratamento em nome de outrem (o operador).

Para ambos a lei atribui importantes encargos, tais como: a guarda e a manutenção de registros das operações de tratamento que realizarem; a elaboração de relatórios de impacto; a comunicação à ANPD e ao titular dos dados em caso de incidente de segurança que possa acarretar risco ou dano; a implementação de boas práticas e governança; dentre outras.

Quanto às responsabilizações, os agentes de tratamento respondem solidariamente quando causarem dano patrimonial, moral, individual ou coletivo, diante da violação à legislação de proteção de dados pessoais, inclusive, obrigados à reparação. São responsabilizados também quando deixarem de adotar as medidas de segurança previstas na legislação, em casos de violação da segurança por terceiros, dando causa aos danos.

Os agentes só não respondem quando provarem que não realizaram o tratamento a eles atribuído; que embora tenham realizado, não houve violação à legislação; ou que o dano decorre de culpa exclusiva do titular dos dados ou de terceiros.

Há ainda a figura do Encarregado de Proteção de Dados[15] (Data Privacy Officer para a GDPR). É o intermediário entre os usuários (os titulares dos dados pessoais), as empresas e instituições governamentais (os controladores) e a Autoridade Nacional de Proteção de Dados, atuando como um canal de comunicação entre esses. Esse cargo é fundamental para que a empresa tome decisões acertadas, implementando boas práticas e adequado compliance institucional.

Diante de tantas obrigações, é fundamental que as empresas e órgãos mantenham mecanismos e ferramentas técnicas, informacionais e jurídicas que salvaguarde a organização em caso de incidentes, irregularidades ou ilicitudes.

12. O que os especialistas recomendam para a conformidade com a LGPD?

Ainda há alguns meses para que empresas e organizações do Estado estejam em conformidade com a Lei de proteção de dados, implementem boas e longevas práticas de governança e privacidade, protocolos de comunicação dentro e fora da instituição, dentre outras adaptações.

Os especialistas recomendam aproveitar o tempo escasso redesenhando a gestão organizacional, com ênfase em alguns pontos: a nomeação de um encarregado de proteção de dados; realização de auditoria completa dos dados; a elaboração de mapas de temporalidade ou ciclo de vida dos dados; a revisão das políticas de segurança; a reelaboração de contratos com fornecedores e parceiros; a elaboração de relatório de impacto de privacidade.

A parte boa é que há escritórios jurídicos especializados nesta conformidade. Na contratação dos especialistas, pode-se negociar a implementação em todos os aspectos exigidos pela legislação e mais o acompanhamento por certo período de tempo ou então a contratação por atos os fases, o que pode ser uma ideia factível quando não se dispõe de caixa suficiente no momento.

13. Relações entre a Lei de Proteção de Dados, o Marco civil da Internet e o Cadastro Positivo.

A LGPD complementa o escopo legal do Marco Civil da Internet no que tange aos direitos e as garantias, como os da liberdade de expressão, da proteção à privacidade online e a da segurança das informações pessoais.

A incidência de aplicação da Lei de Proteção de Dados nas relações entre clientes e empresas tende a melhorar os serviços, tornando-os eticamente sustentáveis e facilitando os canais de comunicação entre todos os sujeitos envolvidos.

Sobre o Cadastro Positivo (Lei nº 12.414/11), após as alterações introduzidas pela Lei Complementar nº 166/2019 será necessária a compatibilização com a LGPD, pois nas operações de consultas aos bancos de dados de pessoas naturais e jurídicas existe corriqueiramente o compartilhamento de diversas informações pessoais reunidas de fontes distintas (dados bancários e creditícios, da Receita Federal, de concessionárias, etc) de forma compulsória (todos os consumidores estão automaticamente no cadastro), a menos que o consumidor expresse o contrário.

Ainda que se imaginem os aspectos positivos do cadastro, como a disponibilização de crédito mais barato e acessível, as empresas terão milhões de dados pessoais de cidadãos, com todos os riscos de exposições, vazamentos e potenciais cometimentos de ilícitos.

É plausível antever a possibilidade de demandas individuais ou coletivas junto à ANPD e/ou ao Poder Judiciário, com base no Código de Defesa do Consumidor, por dificuldades na exclusão, ou ainda, irregularidades ou violações as normas da LGPD.

Conclusão

Adequar-se à conformidade da LGPD e ao regramento pátrio, mais do que uma necessidade, será uma obrigação para todas as empresas de pequeno, médio e grande porte. Um salto positivo será redimensionar suas operações de dados, agregando ao negócio e à marca valores de sustentabilidade informacional, ética e transparência.

Para usuários e clientes significará o exercício pleno da autodeterminação informativa acerca de como são tratados os seus dados pessoais. Finalmente, o Brasil ganhará confiabilidade internacional, mostrando as demais nações que trata os dados pessoais de seus nacionais com seriedade e respeito.

 

Siga-nos no Facebook 

Veja mais conteúdos em nosso Blog

Saiba mais em Politize 

Deixe um comentário