LGPD: Lei Geral de Proteção de Dados e os impactos no setor público

Em nosso último texto, falamos sobre a privacidade em cidades inteligentes e os desafios na implementação de soluções de IoT neste cenário. Apesar de termos dado exemplos recentes, o texto fala muito sobre como devemos olhar para estes desafios e pensar no nosso futuro. Já no texto de hoje, trataremos algo muito mais próximo do nosso cenário atual e que deve ganhar mais discussões em breve, a Lei Geral de Proteção de Dados (LGPD).

Baseada no General Data Protection Regulation (GDPR), regulamento de proteção de dados da União Europeia, e aprovada em 14 de agosto de 2018, a Lei Geral de Proteção de Dados brasileira (Lei 13.709/18) encerra o seu prazo de adequação em 16 de fevereiro de 2020. Mas o que isso quer dizer e quais os impactos no cenário público?

Para entendermos melhor os impactos da LGPD, precisamos voltar um pouco e entender o que ela significa. A LGPD tem aplicação a qualquer pessoa, seja natural ou jurídica de direito público ou privado que realize o tratamento de dados pessoais, online e/ou offline. Ou seja, qualquer pessoa – do âmbito público ou privado – que armazene ou trabalhe com dados pessoais (por exemplo, dados cadastrais, data de nascimento, profissão, dados de GPS, hábitos de consumo, entre outros) está sujeita a nova lei.

Mais do que isso. Em linhas gerais, os titulares de dados passarão a ter maior controle sobre todo o processamento dos seus dados pessoais, do que decorrem diversas obrigações para controladores (a quem competem as decisões sobre o tratamento dos dados) e operadores (aqueles que tratam os dados de acordo com o estipulado pelos controladores).

Outro ponto importante da lei é a que cita a finalidade dos dados. Um dos princípios mais relevantes é o da finalidade, por meio do qual os dados deverão ser utilizados apenas para as finalidades específicas para as quais foram coletados e devidamente informadas aos titulares, juntamente com o princípio da minimização da coleta, isto é, somente devem ser coletados os dados mínimos necessários para que se possa atingir a finalidade, e o da retenção mínima, o qual determina a imediata exclusão dos dados, após atingida a finalidade pela qual eles foram coletados.

Segundo o departamento de defesa e segurança da FIESP, existem 10 motivos para que fiquemos atentos a nova lei:

  1. Empresas de todos os setores e de todos os portes tratam dados pessoais;
  2. Todos os departamentos das empresas usualmente tratam dados pessoais, entre eles: RH (folha de ponto, por exemplo), Marketing; Análise de Dados e TI. No setor público, o cenário não é diferente;
  3. A utilização de dados pessoais pelas empresas de todos os portes é crucial para o desenvolvimento econômico e tecnológico; a inovação; a livre iniciativa; e a livre concorrência. Nos serviços públicos, como já vimos anteriormente, os dados são itens essenciais para a evolução das cidades inteligentes;
  4. O tratamento de dados pessoais somente poderá ser realizado se estiver em conformidade com uma das bases legais previstas na Lei;
  5. A Lei apresenta relevantes princípios para nortear o tratamento de dados pessoais, como finalidade (propósitos legítimos), adequação (compatibilidade), necessidade (mínima coleta) e transparência;
  6. Os titulares de dados pessoais passam a ter os seguintes direitos: i) confirmação da existência de tratamento; (ii) acesso aos dados; (iii) correção de dados incompletos, inexatos ou desatualizados; (iv) anonimização; (v) portabilidade; (vi) eliminação; (vii) informação a respeito do compartilhamento de dados; (viii) possibilidade de receber informação sobre não fornecer o consentimento e suas consequências; (ix) revogação do consentimento;
  7. Empresas devem adotar medidas de segurança, governança e boas práticas. Setores do governo não estão isentos desta questão (veja o exemplo do Aadhaar, o sistema de biometria indiano, no texto anterior);
  8. Empresas deverão contar com a figura do Encarregado, responsável internamente por orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais, bem como por orientar e avaliar o cumprimento da Lei. É possível que esta figura também seja implementada no setor público;
  9. Foi criada uma Autoridade Nacional de Proteção de Dados para fiscalizar o cumprimento da Lei e aplicar sanções em caso de violação;
  10. A multa pelo descumprimento da lei pode chegar a R$ 50 milhões de reais.

Vale ressaltar que, apesar do Congresso ter avaliado uma possível retirada de diversas obrigações da administração pública na questão sobre tratamento de dados pessoais, no final, a lei foi aprovada por completo para as esferas públicas e privadas.

Leia também:

Crédito: Imagem Destaque – BCFC/Shutterstock