Esse artigo tem o objetivo de esclarecer quais os fundamentos, impactos e como adequar sua empresa à Lei nº 13.709/18, a Lei Geral de Proteção de Dados Pessoais.

É fato que, a cada dia que passa, nos surpreendemos com as novidades trazidas pela Revolução Tecnológica na qual a sociedade está inserida. Com isso, surgem novos elementos de extração de valores em que nossos sistema econômico/social se baseia.

Nos últimos anos, um elemento que ganhou um protagonismo nesse contexto é a análise de dados pessoais, mecanismo fundamental, utilizado por empresas, para exploração de novos modelos de negócio e adaptação de ações de consumo.

Entretanto, não basta possuir esses dados, mas também conseguir extrair informações deles. Nesse sentido, os mecanismos utilizados para essa função estão revolucionando o Capitalismo, ao realizar a passagem de um Capitalismo Financeiro para um Capitalismo baseado em dados. Podemos ver essa lógica nos serviços que possuem planos gratuitos, nos quais caso o cliente não possua dinheiro para utilizar, é possível que pague* com seus dados para ingressar na ferramenta.

A LGPD foi inspirada, principalmente, na General Data Protection Regulation (GDPR), legislação europeia que trata do mesmo assunto e entrou em vigor em 2018. A Lei brasileira, por sua vez, foi criada com o objetivo de promover um maior controle do usuário sobre seus dados pessoais.

Mas quais são esses dados pessoais sobre os quais a LGPD trata? Em seu artigo 5º, ela define:

Art. 5º Para os fins desta Lei, considera-se:

I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

Resumidamente, se trata de qualquer informação pela qual se torne possível a identificação de um indivíduo.

Além disso, a lei aplica-se à todos os dados coletados em território nacional, ou seja, mesmo empresas do exterior, quando lidam com dados de pessoas localizadas no Brasil ou tenham por objetivo alguma atividade que se passa no Brasil, devem seguir o que prevê a Lei.

Como abordado anteriormente, o objetivo da lei é promover o controle do usuário sobre suas informações. Portanto, essa ela surge como um mecanismo que visa a proteção dos direitos fundamentais de liberdade e de privacidade, bem como o livre desenvolvimento da personalidade da pessoa natural.

Cabe, ainda, apontar quais são os direitos e os impactos que a LGPD promove nas relações entre usuário e fornecedor.

Os famosos “Termos de Uso”, que geralmente são textos longos que poucos usuários lêem, deverão ser modificados de uma maneira que os tornem transparentes e de fácil compreensão. Neles deve estar explícita e clara qual será a finalidade do uso dos dados do usuário. Ocorrerá a extinção de termos genéricos e abstratos. Dessa forma, o consentimento do usuário poderá ser dado por qualquer outro meio, que não os textos longos e complexos utilizados hoje em dia.

Além disso, o consentimento de quem está usufruindo do serviço deve poder ser revogado a qualquer momento mediante sua simples manifestação expressa. É o chamado direito de esquecimento, por meio do qual toda pessoa pode solicitar a remoção de suas informações de um banco de dados, como também saber se possui ou não dados em determinado lugar.

Outro direito proporcionado ao usuário é o de explicação, que o permite solicitar uma explicação sobre todos os modelos e algoritmos que interagiram com seus dados e, inclusive, quais destes dados foram utilizados, por exemplo para saber o porquê que de uma propaganda ter aparecido para ele quando entrou em um site no qual estava cadastrado. Qualquer pessoa também poderá solicitar a portabilidade informacional, que possibilita que haja, após um pedido expresso, a exportação completa dos dados do usuários de qualquer sistema por parte da empresa, para que o detentor dos dados possa levá-los para outros lugares. Essa entrega deve ser dar de uma maneira acessível e legível.

É, ainda, direito do usuário, retificar qualquer informação que esteja imputada em um sistema. Por meio disso, a qualquer momento uma pessoa poderá alterar ou corrigir algum dado seu que tenha sido cadastrado em algum serviço. No caso de dados excessivos o usuário também pode pedir a eliminação da porção excedente de informações. A respeito de menores de idade, só será possível coletar elementos a eles relacionados com consentimento direto de seu responsável legal.

Em suma, assim que a lei passar a vigorar, todos os cidadãos que têm seus dados coletados por empresas, sejam elas privadas ou públicas, terão o direito de saber pontos essenciais para a sua privacidade:

a)como e por que a empresa coleta dados;

b) por quanto tempo eles serão mantidas;

c) como as informações são armazenadas;

d) quais dados serão coletados

e) com quem eles serão compartilhadas.

A lei foi aprovada em 14 de agosto de 2018 e só entrará em vigor em agosto de 2020, tempo em que as empresas deverão passar por um processo de mudança para se adequarem ao dispositivo legal. Essas adaptações devem acontecer em dois âmbitos dentro uma companhia: o de processo e pessoas; e o de elementos técnicos.

No âmbito de processos e pessoas, as empresas, conforme o que está previsto na lei, deverão possuir um profissional que será especialmente ajuizado e responsável pela segurança das informações. Como haverá uma grande demanda e complexidade da análise e manuseio dos dados, é imprescindível que se contrate um especialista no assunto. A identidade dessa pessoa deve ser pública e seu contato deve ser facilitado, como garantia de que todos os usuários possuam o ciência a respeito de quem está encarregado da segurança de suas informações.

Informações depositadas no sistema de uma empresa são de responsabilidade dela durante todo o tempo em que estiverem em seu banco de dados. Portanto, caso haja o compartilhamento ou o recebimento de algum dado com outra empresa, a responsabilidade é compartilhada por todos que operarem com a informação, devendo os envolvidos estarem alinhados à lei.

As instituições têm de acionar e condicionar um mecanismo de monitoração dos seus sistemas de armazenamento de dados e devem avisar os usuários em caso de movimentação anormal ou defeito de segurança. O cliente deve sempre ser mantido ciente das suas informações. Já existem empresas desenvolvedoras de seguros voltados para proteção contra vazamento de dados ou descumprimento da LGPD. É importante as companhias voltarem suas atenções a esse mercado, que irá surgir com o intuito de protegê-las.

É necessário que as empresas estruturem um sistema de exportação de dados mediante a solicitação expressa do usuário titular. Esse processo precisa ser realizado de uma forma segura - de modo que apenas o proprietário dos dados possa requerer a exportação-, rápida - deve ser veloz e eficiente - e simples - as informações devem ser entregues em um formato legível e acessível, para que o usuário as utilize em outras plataformas.

Já com relação aos elementos técnicos, no que tange às adaptações técnicas que as empresas deverão realizar, a segurança dos sistemas e da informação é imprescindível. É preciso limitar as permissões e acessos às informações dos usuários, disponibilizando para funcionários nada além das informações necessárias e essenciais para realização de suas funções.

Também é importante realizar o monitoramento de acessos aos sistemas de segurança, para que haja um maior controle sobre as ações realizadas. Além disso, deve haver a realização de testes de vulnerabilidade e invasão, buscando ter conhecimento sobre nível de segurança existente e os possíveis problemas que podem vir a ocorrer.

É essencial saber o que está ocorrendo com os dados a todo momento através de auditorias e rastreios realizados de forma constante. Dessa forma, identificar alguma irregularidade se torna mais fácil, e, consequentemente, a solução é encontrada mais rapidamente. Um aspecto importante para controle das informações dentro da lei é se certificar da legalidade das informações no sentido de estar ciente de onde se coletou essas informações e se elas são verdadeiras.

Atualmente, a forma mais eficiente de proteção de dados que uma empresa pode possuir é o mecanismo de criptografia, por meio do qual o acesso de terceiros às informações se torna quase impossível e todas as movimentações relacionadas a isso estarão registradas. Ainda que haja uma invasão, a proteção desses dados existirá.

A LGPD já está prestes a entrar em vigor. Dessa maneira, as empresas devem ter pressa para se adaptar aos requisitos da lei e treinar seus funcionários para atuarem de acordo com a legislação. A empresa que aplicar o quanto antes as mudanças trazidas estará sempre um passo a frente na conquista de confiança de clientes. Portanto, não perca tempo, não vacile, se adeque o mais rápido possível, evitando, assim, graves problemas no futuro.