Em julho de 2018, o Senado Federal aprovou o PL 53/2018 que cria a primeira lei geral de proteção de dados pessoais no Brasil. Em maio de 2019, a União Europeia (UE) colocou em prática a General Protection Regulation (GDPR). Empresas com sede na UE, mas com atuação fora do grupo, têm de fazer valer as novas regras para seus clientes em todo mundo, o que também pressionou outros países a pensarem suas próprias diretrizes.
Esta lei responde à enorme confusão provocada por um infinito sistema de armazenamento, classificação, transmissão e até comercialização de dados pessoais que estava proliferando em todos os âmbitos da administração. Hábitos, preferências de consumo, características étnicas, posições políticas, condições de saúde, orientação sexual, patrimônio, situação creditícia e muitos outros aspectos são observados, coletados e tratados para diversos usos, como estratégias de venda e de propaganda eleitoral.
Na América Latina, países como Chile, Colômbia, Costa Rica, Peru, Uruguai, e Argentina destacam-se atualmente por ter uma lei considerada de mesmo nível do Regulamento Europeu de Proteção de Dados Pessoais (GDPR). Assim como na União Européia, após a sanção presidencial, abriu-se o prazo de 18 meses para que as empreses se adaptem ao novo regulamento. E este prazo, no Brasil, finda-se em dezembro de 2019.
Qual o propósito desta nova regra?
Abordar como indivíduos e entidades públicas e privadas irão manipular todas as informações pessoais e de qualquer natureza de pessoas identificadas ou identificáveis. O texto sujeita a regras específicas toda informação coletada, seja por empresas ou não, em especial nos meios digitais – onde hoje essas informações estão mais difusas -, como dados pessoais concedidos em cadastros, ou mesmo textos e fotos publicados em redes sociais.
Para coletar e tratar um dado, a empresa o precisa solicitar o consentimento do titular. Essa autorização deve ser solicitada de forma clara, em cláusula específica, e nunca de maneira genérica. Caso uma empresa colete um dado para uma coisa e mude sua finalidade, deve obter novo consentimento. A permissão pode ser revogada a qualquer momento.
Outra regra imposta às empresas é a garantia da segurança dos dados, impedindo acessos não autorizados e qualquer forma de vazamento. No caso de vazamento os donos dos dados devem ser informados imediatamente. O titular poderá solicitar acesso às informações que uma empresa tem dele – incluindo a finalidade, a forma e a duração do tratamento – e se houve uso compartilhado com algum outro ente e com qual finalidade.
Também é possível requisitar a correção de um dado incompleto, a eliminação de registros desnecessários ou excessivos e a portabilidade para outro provedor de serviço. Ou seja, o usuário de uma conta de e-mail pode ter todas as suas mensagens, caso deseje abrir conta em outro serviço deste tipo. O titular também pode solicitar a revisão de uma decisão automatizada baseada em seus dados, como uma classificação para obtenção de crédito, por exemplo.
Qual a punição para a empresa que desrespeitar essa lei?
Dentre as sanções por infrações à nova norma está a multa, simples ou diária, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil em seu último exercício, excluídos os tributos, limitada, no total, a 50 milhões de reais.
A lei prevê a criação da Autoridade Nacional de Proteção de Dados, autarquia cuja principal atribuição será fiscalizar o cumprimento da legislação e aplicar as sanções, além do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, formado por 23 representantes titulares de diversos órgãos do governo e da sociedade civil e que será responsável pela disseminação do conhecimento sobre o tema, por meio de estudos, debates ou outras ações.
Essa autoridade terá poder, por exemplo, para exigir relatórios de impacto à privacidade de uma empresa, documento que deve identificar como o processamento é realizado, as medidas de segurança e as ações para reduzir riscos.
O que muda para os escritórios contábeis?
Neste passo, deverá ser observado o prazo para armazenamento dos dados, não só de empregados, mas também de todos os indivíduos dos quais houver a coleta de dados, ainda que na fase pré-contratual, motivo pelo qual as cautelas deverão ser adotadas desde o anúncio de emprego até o fim da relação contratual.
E, assim sendo, é essencial que todas as empresas busquem auxílio profissional adequado, em especial auxílio jurídico, para que haja uma análise completa de condutas a serem adotadas e revisão dos contratos a qualquer tempo, bem como solicitar a elaboração de modelos para adequação às inovações trazidas, para que possam atuar com segurança jurídica dentro dos parâmetros legais.
Confira abaixo a LIVE sobre a Lei Geral de Proteção de Dados no canal do YouTube da Makrosystem: