* Por Débora Sacchetto e Álvaro Cravo
Recentemente foi editada a lei 13.709/2018, que dispõe sobre a proteção de dados pessoais e altera a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet). A referida Lei traz regras para disciplinar a forma como os dados pessoais dos indivíduos podem ser armazenados por empresas, entes públicos ou mesmo por outras pessoas físicas.
O objetivo da Lei é proteger os direitos fundamentais de liberdade, de privacidade e o livre desenvolvimento da personalidade do indivíduo.
A lei entra em vigor no dia 16 de agosto de 2020. Esse prazo foi concedido para que as empresas e órgãos públicos tenham tempo suficiente para se organizarem e colocarem em prática as novas exigências de proteção e transparência no tratamento das informações de seus clientes e usuários.
Neste contexto, as empresas públicas e privadas deverão se adequar acerca do exposto na LGPD sobre a proteção de dados pessoais de seus usuários e clientes. Isso porque grande parte delas realizam tratamento de dados pessoais e sensíveis tendo em vista que coletam, classificam, acessam, transmitem, armazenam e transferem dados pessoais.
A lei ressalta ainda que para haver o tratamento de dados pessoais de crianças/adolescentes a empresa ou ente público deverá obter de um dos pais ou responsável legal um consentimento específico. Esse consentimento deverá ser livre, informado, inequívoco, destacado e específico, bem como deverão ser tomadas todas as medidas para verificar que aquele que está consentindo é um dos pais ou responsável legal da criança/adolescente.
Segundo a lei, os responsáveis pelo tratamento de dados deverão manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos do titular dos dados que estão previstos no art. 18 da LGPD. As informações sobre o tratamento deverão ser fornecidas de maneira simples, clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de recursos audiovisuais quando adequado.
Por fim, a lei prevê que poderão ser coletados dados pessoais de crianças sem o consentimento já referido quando a coleta for necessária para contatar os pais ou o responsável legal, desde que sejam utilizados uma única vez e sem armazenamento, ou ainda para a proteção da criança, ressaltando que em nenhum desses casos poderão ser repassados a terceiro sem o consentimento.
Portanto, as empresas e entes públicos deverão identificar os dados pessoais e sensíveis recebidos, identificar o que é realmente necessário para a execução de suas atividades, identificar as vulnerabilidades, definir o tratamento desses dados, definir quem ficará responsável pelo tratamento, avaliar a tecnologia adequada para criar métodos de transparência e segurança no tratamento de dados.
Além disso, será necessária uma conscientização de todos os envolvidos no processo de tratamento de dados, sendo necessária a realização de palestras informativas para os funcionários, servidores e colaboradores, sobre os impactos práticos da LGPD no ambiente de trabalho e as responsabilidades advindas da aplicação dessa Lei.
A LGPD definiu que a responsabilidade por quaisquer ocorrências com os dados captados é objetiva, ou seja, independe da comprovação de culpa, uma vez que considera a atividade que envolve tratamento dados como uma atividade de risco.
As empresas públicas e privadas terão que informar às autoridades de proteção de dados toda vez que houver um vazamento ou um incidente de segurança que envolva dados pessoais e que possa causar danos aos seus titulares. Além das notificações, outras medidas de publicidade podem ser impostas, como veiculação na mídia do acontecido.
Além disso, poderão sofrer sanções administrativas como advertência, multa simples, multa diária, bloqueio dos dados pessoais e eliminação dos dados pessoais, com sanções que podem chegar à R$ 50 milhões de reais.
Portanto, para evitar prejuízos aconselha-se além da divulgação do tema através de palestras, treinamentos e consultorias, a contratação de seguro de riscos digitais, a fim de que as empresas possam estar preparadas para essa nova cultura de tratamento de dados. Por fim, seria aconselhável manter uma orientação jurídica qualificada no tema para atender as demandas de forma coordenada e preventiva, evitando a exposição aos riscos e prejuízos.
*Débora Duarte Sacchetto, Advogada, Sócia do Escritório Álvaro Cravo Advogados, especializada em consultoria empresarial, Mestranda em Direitos Fundamentais.
Álvaro Cravo, Advogado, Sócio do Escritório Álvaro Cravo Advogados, especilizado em consultoria empresarial, Especialista em Gestão de Negócios e Conselheiro da Comissão de Tecnologia e Inovação da Associação Comercial do RJ e Coordenador Jurídico da Rio Soft/Rio Info..