É o que promete a Lei Geral de Proteção de Dados ou simplesmente LGPD (lei 13.709/18), sancionada em 13/8/18 pela Presidência da República.
A sanção da lei 13.709/18, que altera a lei 12.965, de 2014 (o Marco Civil da Internet) e que estabelece a lei brasileira de proteção e tratamento de dados pessoais ocorreu com vetos pelo presidente Michel Temer.
Á partir de fevereiro de 2020 a lei passou a ter eficácia plena em todo território nacional.
A LGPD cria uma regulamentação para o uso, proteção e transferência de dados pessoais no Brasil, nos âmbitos privado e público, e estabelece de modo claro quem são as figuras envolvidas e quais são suas atribuições, responsabilidades e penalidades no âmbito civil, das quais podem chegar a multa de 50 milhões de reais por incidente.
A LGPD foi criada e implementada para suprir uma necessidade urgente de proteção dos dados, com vistas a penalizar de forma mais objetiva a utilização de dados pessoais de forma indevida pelas empresas.
O regulamento dá mais protagonismo ao titular dos dados e torna clara e objetiva a necessidade de consentimento explícito do proprietário das informações.
Isso impedirá que as empresas utilizem táticas como a disponibilização de termos de uso de dados de forma obscura, sem deixar claro para o usuário o que será feito e os objetivos da captação das informações.
Os dados só devem ser utilizados para as finalidades específicas para as quais foram coletados e previamente informados aos seus titulares, e também do princípio da necessidade, que significa limitar o uso dos dados ao mínimo necessário para que se possa atingir a finalidade pretendida, do qual surge ainda a indispensável exclusão imediata de dados, após atingida tal finalidade.
O que são dados pessoais?
Dados pessoais são aqueles que podem, sozinhos ou em conjunto, identificar o seu titular. Alguns exemplos são:
- nome e apelido;
- endereço de residência;
- e-mail;
- número de cartões;
- endereço IP;
- localização;
Qualquer operação de tratamento de dados pessoais realizada no território nacional, por pessoa natural ou pessoa jurídica de direito público ou privado, cujos titulares estejam localizados no Brasil, ou que tenha por finalidade a oferta de produtos ou serviços no Brasil, estão sujeitos á LGPD, que passa a exigir o consentimento expresso do usuário para esta operação.
O usuário deverá manifestar o seu consentimento de forma livre, expressando sua concordância com o tratamento de seus dados pessoais para uma finalidade determinada, não sendo admitidas autorizações genéricas, sendo vedado o tratamento, caso a autorização tenha sido obtida mediante vício de consentimento.
A lei prevê algumas exceções nas hipóteses de tratamento de dados pessoais realizado por pessoa natural para fins exclusivamente particulares e não econômicos, além daqueles realizados exclusivamente para fins (i) jornalístico, artístico ou acadêmico (neste caso, não se dispensa o consentimento), (ii) de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais ou (iii) dados em trânsito, ou seja, aqueles que não tem como destino Agentes de Tratamento no Brasil.
Será necessário a criação dos Agentes de Tratamento de Dados Pessoais, sendo o Controlador e o Operador, ao primeiro (controlador) compete as decisões referentes ao tratamento de dados pessoais, enquanto ao segundo (operador), a realização do tratamento em nome do primeiro, podendo ser pessoa natural ou jurídica, de direito público ou privado.
Foi definida também a figura do Encarregado, que também na condição de pessoa natural ou jurídica, de direito público ou privado, atuará como canal de comunicação entre o Controlador e os titulares de dados pessoais e a Autoridade Nacional de Proteção de Dados (ANPD).
As informações sobre o tratamento de dados (finalidades, forma e duração, identificação do controlador e seus dados de contato, informações sobre uso compartilhado, responsabilidades dos agentes que farão o tratamento), devem ser de fácil acesso ao usuário, bem como o procedimento de retirada ou revogação do consentimento e a mudança de finalidade (finalidade não compatível com a original) devem ser gratuitos e facilitados.
Os agentes de tratamento devem adotar medidas de segurança, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
As empresas também deverão nomear seu Encarregado de Proteção de Dados (DPO – Data Protection Officer), que terá como principal atividade o monitoramento e disseminação das boas práticas em relação à proteção de dados pessoais perante funcionários e contratados no âmbito da empresa, bem como a interface com a Autoridade Nacional de Proteção de Dados (ANPD), a ser criada posteriormente.
Desta forma, os principais objetivos de uma Lei Geral de Proteção de Dados são:
- resguardar o direito à privacidade;
- definir regras claras para empresas;
- fomentar o desenvolvimento econômico e tecnológico;
- garantir o direito do consumidor;
- promover a segurança jurídica.
Caberá às empresas, quando captar os dados de um cliente, justificar o uso de forma explícita. Se ela precisa armazenar os dados de um cliente, deverá explicar como usará, qual a finalidade e por quanto tempo fará a utilização.
Além disso, deverá oferecer meios para que o usuário possa ter um controle sobre essas informações a qualquer momento.
Portanto, em caso de vazamento, perdas de dados ou mudanças em relação ao uso, a empresa deverá notificar o titular imediatamente.
Diante disso, as empresas dos clientes que dependem do armazenamento e tratamento de dados de consumidores necessitarão de um cuidado em seus sistemas, a fim de evitar vazamentos e extravios de dados e, por consequência, a incidência de multas pesadas, além do risco de imagem para a companhia.