Por Alan Thomaz*
Artigo publicado originalmente no Estadão
Nesta sexta-feira, 18/9/2020, entrou em vigor a Lei Geral de Proteção de Dados Pessoais (“LGPD”). A LGPD tem como objetivo regulamentar a forma sobre como as organizações poderão a utilizar dados pessoais no Brasil e consolida uma série de direitos individuais aos titulares dos dados pessoais.
A LGPD apresenta uma grande transformação no sistema de proteção de dados brasileiro, inspirado no Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, que busca trazer ao Brasil uma cultura de proteção de dados.
Os dados pessoais podem compreender qualquer informação relacionada à uma pessoa física, identificada ou identificável. Por exemplo, nomes, números de CPF e RG, outras informações de documentos pessoais, informações comportamentais e de localização, constituem dados pessoais regulados pela LGPD.
A nova lei estabelece regras detalhadas que regulam qualquer operação de tratamento de dados, realizada por pessoas físicas ou jurídicas, no setor público ou privado, no ambiente online ou físico. Em termos práticos, qualquer atividade realizada com dados pessoais está sujeita a LGPD.
A LGDP não afeta somente as redes sociais e plataformas online, mas qualquer organização, inclusive de setor tradicionais como varejo, automotivo, bancos, corretoras, seguradoras, clinicas médicas, hospitais, e-commerce, varejo, hotéis, companhias aéreas, agências de viagens, restaurantes, academias, entre muitas outras, podem estar sujeitas a aplicação da lei, ainda que tais atividades ocorram exclusivamente fora do ambiente digital.
A LGPD regula o tratamento de dados pessoais em relações de clientes e fornecedores de produtos e serviços, prestadores e tomadores de serviços, empregados e empregadores, e demais relações nas quais dados pessoais sejam recebidos, enviados e/ou processados.
A nova lei estabelece uma série de obrigações as quais as organizações que realizem o tratamento de dados pessoais, incluindo, mas não se limitando, (a) a definição prévia da hipótese legal que autoriza o tratamento de dados pessoais, que pode ser o consentimento ou não; (b) um dever de transparência, que implica fornecer ao titular dos dados informações claras e completas sobre quais atividades de tratamento são realizadas; (c) ao direito do titular de obter o acesso, retificação e eliminação de seus dados pessoais, entre outros direitos dados; (d) a obrigação de todas as entidades, sem exceção, nomearem Data Protection Officer (DPO), responsável pelo tratamento de dados pessoais dentro da organização; (e) o dever de identificar e notificar incidentes de segurança a autoridade competente, a Autoridade Nacional de Proteção de Dados (ANPD); (f) obrigação de adotar medidas de segurança, organizacionais e técnicas, para proteger os dados pessoais, entre outras obrigações.
As penalidades por descumprimento da LGPD incluem advertência, obrigação de divulgação do incidente, eliminação de dados pessoais, bloqueio, suspensão e/ou proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados pessoais, multa de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.
*Alan Thomaz é advogado especializado nas áreas de Tecnologia, Proteção de Dados e Cybersecurity, Venture Capital e Propriedade Intelectual. Formado pela Universidade Presbiteriana Mackenzie, pós-graduado em propriedade intelectual e novas tecnologias, mestre em direito dos negócios pela Faculdade Getúlio Vargas (FGV), e cursando LLM em Law & Technology pela Tilburg Univerisity e LLM em Science and Technology pela Stanford Law School