Lei GDPR e LGPD: qual a relação e os impactos no Brasil?

O que você precisa saber sobre Lei GDPR e LGPD.

As conexões entre Lei GDPR e LGPD vão muito além de serem siglas com quatro letras. A primeira é a lei europeia de regulação e proteção de dados. Enquanto a segunda é a Lei Geral de Proteção de Dados, nova norma brasileira. Entretanto, no mundo globalizado no qual vivemos, é viável que a europeia se aplique aqui e a brasileira em território internacional. A dualidade acontece porque ambas regem a captura, uso, tratamento e proteção de dados, que extrapolam fronteiras físicas através da internet.

Em linhas gerais, GDPR (General Data Protection Regulation) tem validade para empresas brasileiras nas seguintes condições:

• Se existir oferta de bens e/ou serviços para indivíduos localizados na UE.
• Se existir monitoramento do comportamento de titulares de dados na UE.

Partindo do pressuposto que algum dos critérios é aplicável, a atenção volta-se ao consentimento. Aliás, este é um dos fundamentos da regulação que impacta em todo o processamento de dados pessoais. Porém, apesar da liberação ser um requisito, há situações excepcionais nas quais é dispensável. Dois exemplos de quando é legítimo e lícito o processamento sem consentimento: contrato em favor do indivíduo ou para cumprimento legal de imposição ao controlador. Ainda sobre consentimento, a retirada deste a qualquer momento é direito resguardado na lei.

Outro ponto bastante discutido sobre GDPR é a violação. O que acontece caso a empresa descumpra alguma determinação da lei? Segundo a regulação, uma violação de dados pessoais é a “quebra de segurança que leva à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a dados pessoais”. Sendo que, tal violação precisa ser notificação em até 72 horas após conhecimento do fato pelo responsável.

Como é possível notar, a Lei GDPR demanda adequação e atenção das empresas em vários aspectos. Para conhecer mais detalhes, confira os tópicos a seguir.

Lei GDPR e LGPD: responsabilidade e transparência.

Mais à frente, entraremos com mais ênfase na LGPD. Por ora, o enfoque ainda será maior na GDPR e as relações com a lei brasileira. Afinal, o próprio contexto cronológico – GDPR precursora à LGPD – é relevante para entendimento do cenário. Privacidade e proteção de dados são assuntos que ganharam relevância com o avanço digital. Empresas de todos os segmentos e tamanhos processam dados pessoais, que são informações valiosíssimas. Antes da regulação clara sobre a questão, os usuários estavam suscetíveis a danos e a lei não atendia às especificidades do contexto digital.

Desde as primeiras conversas sobre a lei europeia, iniciou-se a análise crítica sobre a responsabilidade das empresas. Além disso, a questão da transparência também veio à tona. Termos e aceites pré-selecionados, falta de clareza sobre o uso e a divulgação de dados ou ainda o acúmulo de informações de clientes precisou ser avaliado com mais cuidado. Junto a isso, a cibersegurança despontou como uma demanda corporativa prioritária. Logo, as duas legislações – Lei GDPR e LGPD – são reflexos da necessidade pulsante por regulação, controle e segurança no ambiente digital.

Três pilares da Lei GDPR.

O texto oficial do General Data Protection Regulation tem mais de 300 páginas. Logo, é impossível abordar a legislação aqui em profundidade. Entretanto, focar nos três pilares da regulação permite a cobertura dos propósitos da iniciativa. Os alicerces do GDPR são governança, gestão e transparências de dados. Mas o que isso significa?

Como divulgado pela União Europeia, “o objetivo da Lei GDPR é proteger todos os cidadãos da UE contra a violação de privacidade e dados num mundo cada vez mais voltado aos dados, muito diferente do momento em que a diretiva de 1995 foi estabelecida”. Apenas contextualizando, a diretiva mencionada é a Diretiva 95/46 CE, que foi substituída pela GDPR. Voltando aos pilares, eles representam o como viabilizar esta proteção. Abaixo, apresento exemplos de itens que correspondem a cada grupo para tornar a compreensão mais fácil.

Governança de dados:

• Notificação de falhas.
• Privacidade considerada no escopo dos projetos.
• Gerenciamento de fornecedores e dados compartilhados em diferentes instâncias.

Gestão de dados:

• Solicitação de exclusão de dados dos registros.
• Informações registradas com identificação e detalhes da organização, assim como sobre o próprio fluxo dos dados.
• Necessidade de um DPO – Data Protection Officer para empresas com mais de 5 mil registros em um período de 12 meses.
• Proibição de transferência de dados para países sem leis adequadas de proteção. Neste ponto, a Comissão Europeia avalia os países e divulga lista com aqueles considerados adequados.

Transparência de dados:

• Comprovação de consentimento e suspensão a qualquer momento.
• Divulgação sobre processamento dos dados, assim como direitos facilmente acessíveis e interpretáveis.
• Facilidade para transferência de dados para outro provedor, se o cidadão solicitar. Sendo que, para esta portabilidade, não pode haver obstáculos à usabilidade.

LGPD e leis anteriores no Brasil.

Como prometido, após o detalhamento da GDPR, entraremos no cenário nacional. Mas antes da Lei LGPD, o que valia no Brasil? Não havia uma legislação dedicada especificamente à proteção de dados, mas algumas leis cumpriam a posição. Aliás, ainda cumprem, pois a LGPD está em fase de adequação. Um das regulamentações parcialmente equivalentes é o Marco Civil da Internet. Oficialmente, a Lei N° 12.965/14, que regula o uso da internet no Brasil.

O projeto do Marco Civil da Internet surgiu há 10 anos e foi aprovado em 23 de abril de 2014, pela então presidente Dilma Rousseff. O texto trata dos princípios, garantias, direitos e deveres para quem usa a rede. O texto fala sobre os princípios, garantias, direitos e deveres para quem usa a rede, assim como temas de privacidade e retenção de dados. Um ponto de destaque relacionado ao Marco Civil é o Princípio da Neutralidade.

De forma simplificada, este princípio diz que um provedor de conexão não pode privilegiar (ou bloquear) pacotes de dados de uma aplicação de internet em detrimento (ou em favor) de outras. Na prática, pelos termos do artigo 90 do Marco Civil não pode existir favorecimento de carregamento, pois isso levaria à redução dos conteúdos acessíveis.

LGPD e a Lei do Cadastro Positivo.

Outro norma relacionada às questões do LGPD é a Lei do Cadastro Positivo. Na regra vigente, para fazer parte do Cadastro Positivo, o consumidor voluntariamente autoriza a inclusão. Caso não seja possível, o Cadastro Positivo é um registro da quitação de contas e da pontualidade dos pagamentos de um consumidor. Estas informações são fornecidas para bancos e empresas a título de ratificar o perfil positivo do consumidor e facilitar crédito.

Porém, a PLP 441/2017, prevê a entrada automática de toda população economicamente ativa. Ou seja, na contramão da proteção de dados e da necessidade de consentimento para entrada no banco de dados. Até o momento, a mudança do Cadastro Positivo não havia sido definitivamente votada na Câmara dos Deputados.

LGPD e a Lei do Sigilo Bancário.

Há ainda mais uma lei que possui relação com a Lei Geral de Proteção de Dados. No Brasil, o sigilo bancário é regido pela Lei Complementar 105/2001. O texto diz que é dever das instituições financeiras a proteção dos dados dos clientes. Sendo que, a quebra de sigilo bancário é restrita à autorização judicial, mediante suspeita de ilegalidade.

Seria possível seguir a lista com a própria Constituição Federal, o Código Civil e Código de Defesa do Consumidor. Visto que, todos estes também dispõem sobre a questão de privacidade e proteção de dados. Por ora, falaremos de fato na LGPD, mas vale a consciência de que a Nova Lei discorre sobre temas já observados em outras normas e que é importante atenção.

O que é a Lei LGPD?

LGPD é a sigla para Lei Geral de Proteção de Dados. Obviamente, o assunto privacidade e proteção de dados não é novo. As discussões têm quase uma década no Brasil. Entretanto, a lei foi sancionada pelo presidente Michel Temer em 14 de agosto de 2018. Sendo que, a eficácia plena será a partir de agosto de 2020. Logo, prazo de 24 meses para adequação

Definições da LGPD.

Com o propósito de fixar parâmetros, a LGPD traz definições importantes:

• Dado pessoal  é a informação relacionada à pessoa natural identificada ou identificável;
• Dados pessoais sensíveis são informações de origem racial/étnica, religiosa, política, filosófica, referentes à saúde, vida sexual, genética ou biométrica
• Titular é a pessoa natural a quem se referem os dados pessoais;
• Controlador é a pessoa que toma decisões sobre o tratamento de dados pessoais;
• Operador é a pessoa que trata dados pessoais em nome do controlador;
• Tratamento é a coleta, processamento, armazenamento, eliminação, dentre tantos outros usos, de dados pessoais.

Esta clara e precisa definição de personagens e fatos já é valiosíssima para a gestão das dinâmicas de segurança da informação. O texto ainda traz regulações sobre consentimento, direitos do titular, dados pessoais sensíveis de crianças e adolescentes, etc.

A Lei também cria a Autoridade Nacional de Proteção de Dados, órgão vinculado ao Ministério da Justiça e responsável por assegurar o cumprimento da nova lei. Outra criação é a do encarregado pelo tratamento de dados pessoais, um papel correspondente DPO – Data Protection Officer, da GDPR.

Multas da LGPD.

Assim como na GDPR, há previsão de sanções administrativas para infrações ao que regulariza a LGPD. A sanção pode chegar a R$ 50 milhões por infração. Sendo que, a aplicação de multa equivalente é de até 2% do faturamento da pessoa jurídica em seu último exercício, limitada aos R$ 50 milhões por infração.

O alto valor da multa reforça a representatividade e magnitude da LGPD. Sem dúvidas, a adequação por parte das empresas é uma necessidade de primeira importância. Na comparação com a GDPR, ambos têm multas elevadas. A lei europeia pode chegar a 20 milhões de euros ou 4% do volume de negócios global da empresa (o que for maior) em infrações graves. Além da multa altíssima, também são previstas advertências, determinações de bloqueio ou eliminação dos dados, suspensões totais ou parciais do banco de dados correspondente e outros.

Comunicação de Incidentes de Segurança na LGPD.

Assim como descrito sobre a GDPR, a LGPD obriga que o controlador comunique a ocorrência de incidentes de segurança que possam trazer risco ou afetar os titulares dos dados. A primeira comunicação detalhada deve ser feita à ANPD, em prazo razoável a ser definido pela autoridade. Dependendo da gravidade, a ANPD poderá indicar necessidade de divulgação ampla do fato.

Os tópicos somam alguns dos pontos da nova lei, que é amplamente extensa. Para as empresas impactadas, há bastante a ser realizado com a intenção de adequar-se às regras. Por mais que pareça distante, agosto de 2020 não é um prazo longo para que todas as obrigações e responsabilidades criadas pela LGPD sejam atendidas.

Próximos passos e DPO.

Como ficou nítido, há muitas conexões entre a Lei GDPR e LGPD. Além dos momentos de sanção e aplicação e da implicação para empresas com atuação global, as regulações reforçam o avanço da cibersegurança no mundo. Além da ação das empresas em se adequarem às regras, há também a oportunidade para profissionais que almejam atuar no mercado decorrente das regulações.

Se você busca profissionalização na área como DPO – Data Protection Officer, conheça o curso Privacy e Data Protection. Parceria da DARYUS Educação e do EXIN, a certificação tem reconhecimento internacional.

Para conferir na íntegra o que diz a LGPD, confira o texto oficial do Planalto da Lei Geral de Proteção de Dados – LEI Nº 13.709.