Lei Geral de Proteção de Dados Pessoais: entenda as principais mudanças e como se adaptar a nova legislação

publicado 03/12/2018 15h46, última modificação 03/12/2018 16h10
Brasil - Especialistas do escritório Pinheiro Neto Advogados analisaram a lei durante webinar
Lei Geral de Proteção de Dados Pessoais.jpg

O julgamento do Facebook pelo Suprema Corte dos Estados Unidos em abril deste ano mostrou para todo o mundo que segurança de dados é assunto sério para qualquer empresa. No Brasil, a Lei Geral de Proteção de Dados Pessoais [LGPDP], aprovada recentemente pelo governo, traz mudanças significativas para todas as empresas - independente do tamanho e do setor. A legislação é também uma novidade: o Brasil nunca teve alguma lei sobre dados pessoais, segurança e empresas, algo essencial em tempos em que vazamento de dados prejudicam milhões de usuários.

A LGPDP foi tema do webinar da Amcham no dia 30/11. Especialistas de Direito se debruçaram sobre as novas regras e trouxeram dicas e recomendações para executivos.

 

Entendendo o que é dado pessoal

Conforme aponta Marcel Leonardi, consultor do Pinheiro Neto Advogados e professor da FGV Law, dado pessoal pode ser considerado tanto a informação que claramente identifica alguém (como RG, nome completo) quanto informações que, dado um contexto, tornam alguém identificável: dados de endereço IP e geolocalização, por exemplo.

“É impossível pensar em uma empresa que não lide com dado pessoal, dado a abrangência da definição. O tratamento de dados pessoais é toda e qualquer atividade que a organização possa fazer com dados pessoais: da coleta, armazenamento ao descarte. Ou seja, não envolve só setor online, mas sim todo tipo de atividade. Estamos falando de dados de clientes, consumidores, colaboradores”, explica.

 

Bases legais para o tratamento: só consentimento?

A LGPDP cria algumas bases legais que permitem com que o dado pessoal seja tratado pela empresa. A mais conhecida é através do consentimento: o cliente ou colaborador assina um termo de uso ou contrato em que consente com aquilo. Há também a base por obrigação legal ou regulatória: setores que precisam manter certos registros por segurança, como é o caso da área de saúde ou de bancos, com o armazenamento de dados de transação financeira.

Segundo Leonardi, uma das grandes novidades é a base legal por legítimo interesse, justamente pela flexibilidade de interpretação. Ele explica que a empresa decide como usar essas informações alegando interesse comercial ou intrínseco ao negócio como, por exemplo, para melhorar os serviços.

"Não tem lista de legítimo interesse, o ajuda demais a ter interpretações mais flexíveis, como vai ser pensado. Todo esse raciocínio jurídico precisa ser documentado e caracterizado através de relatórios, justamente para autoridade que fiscaliza a lei verificar como está usando. Se a autoridade discordar do uso, interpretar que cruzar alguma linha, o argumento pode ser invalidado e a justiça entrar com penalidade", detalha.

Cada empresa vai precisa encontrar a base legal que mais adequada a cada dado. Ele ainda alerta que definições genéricas, como "utilizaremos seus dados para melhorar serviços e produtos", não vão mais funcionar. É preciso de um consentimento mais específico e claro para que o consumidor exatamente qual dado está com a empresa e para que finalidade ou área aquilo será usado.

 

Mudança cultural

Para Larissa Galimberti, sócia do Pinheiro Neto Advogados, a legislação representará uma mudança de mindset importante: as organizações precisarão olhar para todos os dados pessoais que circulam em seus sistemas, de onde eles vêm e encaixar nas bases legais. “A lei fortaleceu os direitos dos usuários quanto a dados pessoais. Vai haver uma mudança educacional no Brasil, em que todas as pessoas vão se preocupar mais com quem está compartilhando seus dados, para que estão sendo usados. E as empresas precisam entender quais são esses novos direitos e como se estruturar pra cumprir a lei”, resume.

 

Recomendações

A especialista lembra que a legislação não faz distinção entre tamanhos de empresas ou do fluxo de dados que correm em suas respectivas operações: ou seja, será aplicada a todas. Suas recomendações é que as empresas trabalhem o quanto antes em entender a legislação e ver como aplicarão as regras, lembrando que o prazo para implementação é pequeno.

“Já comece um projeto para mapear dados, chegar para cada um dos departamentos e perguntar que dados pessoais eles guardam e como, para que a empresa tenha isso registrado em relatórios onde se saiba exatamente qual dado foi coletado, para que finalidade e como será eliminado”, indica.

 

Ainda com dúvidas?

A Amcham fará um curso de capacitação empresarial voltado para ajudar as empresas com a adaptação a nova LGPDP. O curso acontece no dia 12/12 na Amcham São Paulo (Rua da Paz, 1431). Para se inscrever, acesse aqui.

Além disso, a PwC preparou um e-book exclusivo para associados da Amcham para tirar dúvidas sobre proteção de dados. Ele está disponível no Connect neste link, com download gratuito.