A Proteção de Dados no Brasil e os passos para a adequação da sua empresa

Paula Talpo
Verônica Teixeira

A Lei Geral de Proteção de Dados entrará em vigor em agosto de 2020 e trará avanços sobre o tratamento e a proteção de dados pessoais. As empresas que ainda não se adequaram terão um curto prazo para o mapeamento interno do fluxo de tratamento de dados pessoais e o enquadramento das atividades nas bases permitidas pela legislação.

O Marco Civil da Internet, regulamentado pela Lei 12.965/2014, nos trouxe também o primeiro suspiro sobre a proteção de dados pessoais no Brasil. Ainda que abordado de maneira superficial, a garantia de salvaguarda das informações privadas em operações de coleta, armazenamento, guarda e de tratamento de registros está estabelecida no Artigo 11, conforme segue:

Art. 11. Em qualquer operação de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações por provedores de conexão e de aplicações de internet em que pelo menos um desses atos ocorra em território nacional, deverão ser obrigatoriamente respeitados a legislação brasileira e os direitos à privacidade, à proteção dos dados pessoais e ao sigilo das comunicações privadas e dos registros[1].

Em 2018, a Lei Geral de Proteção de Dados trouxe um importante avanço legislativo ao abordar de maneira significa o tema, além de suprir os vazios deixados pelo Marco Civil da Internet e embora essa discussão ainda seja recente em nosso cotidiano, essa regulamentação apresenta-se com a finalidade de proteger os direitos fundamentais de liberdade e de privacidade e é de grande relevância para as empresas que terão de atender suas diretrizes e seus requisitos para estar em conformidade com a legislação.

Em abordagem prática sobre o tema, destacamos que as empresas terão um curto período para revisar seus processos internos de tratamento de dados pessoais para se adaptarem as novas regras, pois a Lei Geral de Proteção de Dados – LGPD entrará em vigor em agosto do presente ano.

Deste modo, é essencial que  as empresas realizem o mapeamento dos procedimentos internos de tratamento de dados pessoais, com o levantamento de informações exemplificadas a seguir: (i) quais são os dados pessoais coletados; (ii) os responsáveis pela utilização dessas informações e os colaboradores que têm acesso; (iii) o lapso temporal da manutenção desses dados internamente e (iv) o local de processamento e armazenamento.

O referido mapeamento servirá como o plano de ação da empresa, pois somente a partir desse levantamento é que será possível analisar criteriosamente se o tratamento desses dados está em consonância com uma ou mais das hipóteses legais do rol taxativo trazido pela LGPD[2] e sanear os itens que forem identificados como em “não conformidade”.

Ademais, a lei trouxe princípios de privacidade a serem observados diante do tratamento desses dados pessoais. Com isso, as organizações precisam demonstrar que os dados pessoais são tratados de forma limitada ao mínimo necessário para a realização de suas finalidades, com propósitos legítimos, específicos, explícitos e informados ao titular, utilizando medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, dentre outros.

Destaca-se também que a adoção de programas de Compliance pelas empresas está sendo cada vez mais exigida pelo mercado, sendo, inclusive, requisito para as tratativas com determinados Estados brasileiros. Assim, é natural que a adequação das empresas à Lei Geral de Proteção de Dados – LGPD e aplicação de medidas de segurança que garantam a proteção dessas informações sejam medidas relevantes que serão gradativamente focos de atenção do mercado e dos consumidores.

É essencial também que as empresas procedam com a nomeação do responsável interno por esta estrutura, intitulado de Data Protection Officer (DPO) pela GDPR (General Data Protection Regulation) Europeia para atendimento das atividades indicadas no Artigo 41, §2º da LGPD e para que a implantação das medidas de atendimento à nova legislação seja a mais eficaz possível.

Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.

§ 2º As atividades do encarregado consistem em:

I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II - receber comunicações da autoridade nacional e adotar providências;

III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Nós da Lira Advogados estamos à disposição para prestar a assessoria jurídica, suporte e treinamentos necessários para a implementação de estratégias que adequem sua empresa à Lei Geral de Proteção de Dados.


[2] O Artigo 7º da LGPD apresenta as seguintes hipóteses taxativas de coleta de dados pessoais: (i) consentimento; (ii) cumprimento de obrigação legal ou regulatória pelo controlador; (iii) força de lei para execução de políticas públicas; (iv) estudos por órgãos de pesquisa; (v) execução de contrato; (vi) exercício regular de direito em processo judicial, administrativo ou arbitral; (vii) proteção da vida ou da incolumidade física do titular ou de terceiros; (viii) para a tutela da saúde, em procedimento realizado por profissional da área da saúde ou por entidades sanitárias; (ix)  quando necessário para atender aos interesses legítimos do controlador ou de terceiro e (x) para a proteção do crédito.