A LEI DE PROTEÇÃO DE DADOS PESSOAIS: DESAFIOS ÀS EMPRESAS

Publicada em 15 de agosto de 2018, a denominada Lei Geral de Proteção de Dados Pessoais — Lei nº 13.709/2018 — entrará em vigor em fevereiro de 2020, após decorrido 18 meses de sua publicação oficial.  

Criada para proteger os dados pessoais das pessoas naturais, incluindo-se aqueles tratados em ambiente online, a Lei tem abrangência ampla, aplicando-se a toda operação de tratamento de dados pessoais realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do país de sua sede ou de onde estejam localizados os dados, nas hipóteses em que tal tratamento seja efetuado em território nacional, os dados utilizados para tal tratamento tenham sido aqui coletados ou o tratamento tenha por objetivo indivíduos localizados no Brasil.

 A definição de dados pessoais e tratamento é igualmente ampla. Em relação ao primeiro dos termos, engloba informação relacionada a pessoa natural identificada ou identificável, e concede proteção adicional aos dados pessoais qualificados como sensíveis (origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico); em relação ao segundo, abrange toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Define a Lei quais as hipóteses específicas em que o tratamento poderá ser realizado, destacando-se a que exige o consentimento pelo titular dos dados por escrito ou meio apto a demonstrar a manifestação de sua vontade, em cláusula que explicite a finalidade do tratamento e esteja destacada das demais cláusulas contratuais. 

Além do mais, ao titular dos dados pessoais deverão ser disponibilizadas informações sobre a existência, forma e duração do tratamento e sobre a identificação do responsável pelas decisões referentes ao tratamento de dados pessoais, acesso aos dados mediante solicitação, portabilidade a outro fornecedor, dentre outros, sem qualquer cobrança. 

Por fim, e sem que isto esgote o assunto, destaque-se as seguintes e obrigatórias adaptações que deverão ser implementadas por, ao que parece ser, virtualmente toda empresa que esteja abrangida pela Lei: a indicação de um encarregado pelo tratamento dos dados pessoais, a quem incumbirá o relacionamento com os titulares, as autoridades públicas e os funcionários da empresa; a adoção de  medidas de segurança que protejam adequadamente os dados pessoais; a formulação de regras de boas práticas e de governança relacionadas ao tratamento de dados pessoais (esta de caráter não mandatório, mas cuja (in)existência será levada em consideração para fins de aquilatar a aplicação de eventuais sanções ao violador da Lei).

Em suma — e resguardadas as escassas exceções expressamente previstas na Lei — todas as empresas serão impactadas, independentemente de tamanho, faturamento ou ramos de atividade. Isto significa que em pouco menos de 18 meses, todas deverão ter-se ajustado aos preceitos determinados pela Lei, sob risco de serem apenadas com multas que podem atingir até 2% (dois por cento) do faturamento da empresa. 

Dada a abrangência dos direitos estendidos aos titulares dos dados pessoais, completar o ajuste dentro do prazo estipulado será o grande desafio das empresas. Ainda que o prazo pareça generoso, o período de adaptação pode ser longo e cheio de percalços, dada a ausência de precedente nacional sobre o assunto. E, obviamente, tais ajustes demandarão a aplicação de tempo e recursos.

Para que esta adaptação ocorra dentro do período concedido pela Lei e com o mínimo de intercorrências, a empresa fará bem ao utilizar-se dos serviços de profissionais especializados para auxilia-la no mapeamento de seus processos e políticas atinentes ao tratamento de dados pessoais, o que, recomenda-se, seja iniciado o quanto antes.

É apenas a partir deste mapeamento que a empresa estará em condições de proceder a uma ampla revisão interna e planejar e implementar medidas que se coadunem às exigências legais, assim mitigando sua exposição.


Por Dr. Nelson Felipe Kheirallah Filho
Áreas de Atuação: Societário, contratos, internacional, investimentos estrangeiros e propriedade intelectual.
Formação:Mestre em Direito internacional (LL.M.) pela Universidade de Nova York. Pós-garduado em contratos internacionais pela PUC-SP. Graduado em Direito pela Universidade Presbiteriana Mackenzie em 2003. Membro da ordem dos Advogados do Brasil-OAB/SPdesde 2004.