LGPD: entenda as 7 principais mudanças para empresas e consumidores

A nova Lei Geral de Proteção de Dados Pessoais pretende estabelecer um marco na relação e no tratamento das informações entre empresas e consumidores. Essa mudança vai gerar uma série de dúvidas tanto para clientes como para as companhias. É o que aponta Fábio Pereira, especialista em proteção de dados do Veirano Advogados.

“A LGPD terá grande impacto nas relações comerciais e de consumo, principalmente diante da tendência de tratamento de dados pessoais de consumidores com a finalidade de traçar seu perfil. Para empresas com bases de dados já consolidadas, poderá haver necessidade de se buscar o reconsentimento. Em caso negativo, é possível que seu uso seja questionado”, explica o advogado.

“É comum que as empresas tenham bases de dados sem reconhecer suas procedências, algo inviável a partir da implementação da lei. Uma opção seria segregar as bases e buscar a origem de todas as informações. Também podem utilizá-las com base em outros fundamentos legais, como legítimo interesse por exemplo, mas isso pode acabar abrindo brechas para futuros questionamentos. As bases existentes ainda serão reguladas pela Autoridade Nacional”, completa o especialista.

A Lei nº 13.709, sancionada em 2018, teve sua vigência postergada e correu risco de novo adiamento em meio à pandemia de Covid-19. No entanto, com a decisão do Senado, a proposta foi declinada e a medida passa a entrar em vigor após nova sanção presidencial.

Confira as 7 principais alterações apontadas pelo especialista para empresas e consumidores com a implementação da lei:

• Facilita o exercício dos direitos pelos titulares

Com a vigência da LGPD, os titulares passam a ter direito de receber informações transparentes sobre a forma com a qual seus dados estão sendo tratados. Pode ser que a instituição precise do consentimento para utilizar as informações. O usuário poderá revogá-lo quando desejar, e solicitar a eliminação do que foi armazenado previamente.

Caso a empresa não se adeque às regras, a lei prevê uma série de sanções, que aplica medidas corretivas e multas de até 2% do faturamento, com limite de R﹩ 50 milhões. A suspensão ou proibição das atividades ligadas ao tratamento de dados também passa a ser permitida em casos de maior gravidade. No entanto, de acordo com o que prevê a lei do Regime Jurídico Emergencial, criada em meio à pandemia, a aplicação das sanções só começa a ser válida no dia 1º de agosto de 2021.

• Estabelece a necessidade de nomeação de um DPO

Com a vigência da LGPD, as empresas passam a ter de nomear um Encarregado de Dados, ou Data Protection Officer (DPO), ou seja, um profissional encarregado da proteção de dados, cuja identidade deve ser divulgada publicamente, junto com suas informações de contato. A obrigatoriedade se estabelece em três casos: quando o tratamento for efetuado por uma autoridade ou um organismo público, excetuando os tribunais no exercício da sua função jurisdicional; quando as atividades do responsável pelo tratamento ou do subcontratante consistam em operações que exijam um controle regular e sistemático dos titulares dos dados em grande escala, e quando as atividades principais consistam em operações de tratamento em grande escala de categorias especiais de dados, como condenações ou delitos criminais.

• Traz a obrigação de preparar relatórios de impacto à proteção de dados

Com o objetivo de mitigar riscos, o documento, de total responsabilidade do controlador, registra as atividades que envolvam o tratamento de dados pessoais e que podem gerar ameaças aos direitos fundamentais. Nele, estão contidos os processos de responsabilidades que a empresa passa a assumir diante da ação. Serve como base para o cumprimento de vários princípios da LGPD, como finalidade, transparência, adequação, segurança, entre outros.

• Traz a obrigação de responder imediatamente aos pedidos de titulares à confirmação do tratamento e acesso a dados e, em 15 dias, fornecer declaração completa

Como expressão do direito constitucional à privacidade e intimidade, os titulares sempre serão informados da necessidade de obtenção de dados e da finalidade para as quais serão utilizados. Com o objetivo de manter o máximo de transparência possível, a obrigatoriedade de informar imediatamente, de forma simplificada, a existência do tratamento e o acesso a dados, não tem exceções. Em um prazo de até 15 dias para a resposta, uma declaração que indique a origem dos dados, os critérios utilizados e a finalidade do tratamento deve estar disponível ao usuário.

• Titulares passam a ter novos canais de contato com as empresas

Para garantir o direito exigidos por lei, as empresas devem dar prioridade para a manutenção de canais transparentes de contato com usuários para atender às suas demandas, assim como as da Agência Nacional de Proteção de Dados (ANPD). As medidas valem para redes sociais, sites de internet, setor de varejo, setor de saúde, bancário, e qualquer tipo serviço que colete dados pessoais.

• Usuários passam a contar com uma Autoridade Nacional que defenda seus direitos

Para garantir as boas práticas previstas pela lei, o Governo irá atuar junto à Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública responsável por zelar, implementar, fiscalizar e implementar sanções ao cumprimento da LGPD em todo o território nacional. Serve como canal direto entre as empresas e os usuários, registrando queixas e solicitando informações para que entendam, de modo simples e transparente, como suas informações estão sendo utilizadas pelas instituições.

• Titulares passam a ter informação sempre que seus dados sejam transferidos para fora do Brasil

Os titulares recebem informações sempre que seus dados forem transferidos para fora do Brasil, afinal, a LGPD estabelece que não importa se o centro de dados é nacional ou internacional, se houve o processamento em território brasileiro, a lei deve ser cumprida. O compartilhamento de informações com outros países é permitido desde que ocorra a partir de protocolos seguros, mediante o cumprimento de todas as exigências legais e na forma do disposto na LGPD.