O presente texto tem o objetivo de trazer informações para subsidiar os debates sobre o requerido adiamento da aplicação de sanções ligadas à Lei Geral de Proteção de Dados (LGPD), diante do quadro atual de contágio pela COVID-19, que é a sigla, em inglês, para “coronavirus disease 2019”, a doença conhecida no Brasil como “coronavírus 2019”, que vem liquidando vidas, em várias partes do mundo.
Se havia dúvidas de que tanto empresários, quanto administração pública precisariam de maior tempo para se adequar ao novo regramento, a pandemia trouxe a certeza!
Esse importante instrumento regulatório (LGPD) cria preceitos acerca do tratamento de dados pessoais, inclusive, nos meios digitais, seja por pessoa natural, seja por pessoa jurídica de direito público ou privado.
A Lei 13.709/2018 (LGPD) tem a finalidade de proteger os direitos fundamentais de liberdade, de privacidade e do livre desenvolvimento da personalidade da pessoa natural, privilegiando garantias constitucionais.
- BREVE ORIGEM DA LGPD
Desde os tempos mais remotos, a humanidade vem buscando formas de otimizar suas atividades, trazendo celeridade, por meio do armazenamento de dado que, antes, era físico; porém, na atualidade, é quase que, em sua totalidade, virtual.
Tendo em vista que os dados pessoais podem ser caracterizados como sensíveis, tendo seu acesso restrito ou reservado, ocorreu a necessidade dos países promulgarem normativos para a proteção dos dados.
Essas normas de proteção, por exemplo, na União Europeia – UE, já são maduras e servem de modelo para as demais nações mundiais, por serem consideradas “padrão-ouro”, em todo o mundo.
Nos últimos 25 anos, os cidadãos do globo assistiram a veloz transformação tecnológica de suas vidas, a qual aconteceu de maneira inimaginável; por isso, esses regulamentos estão em constante revisão.
A União Europeia, em 2016, teve como uma de suas maiores conquistas, o Regulamento Geral de Proteção de Dados (RGPD), substituindo a Diretiva de proteção de dados de 1995, a qual foi adotada, no momento em que a Internet estava em sua tenra infância.
Esse regulamento (GDPR) é, agora, reconhecido como uma Lei de referência, que vem servindo de inspiração para os outros países, assim como o Brasil.
No mundo inteiro, há mais de 125 países com legislações de proteção de dados pessoais. Muitas nações já possuem legislação para regulamentar a coleta e o processamento de dados pessoais.
Nesse sentido, a nação brasileira também teve que se adequar para se tornar mais competitiva, conforme os ditames internacionais.
A Lei Geral de Proteção de Dados – LGPD foi desenhada para se “harmonizar” com as demais leis de privacidade de dados, primando por oferecer maior proteção e direitos aos indivíduos. A LGPD foi sancionada em 2018, para alterar como as empresas e outras organizações devem lidar com as informações daqueles que interagem com eles.
O Brasil precisava se adequar às diretrizes internacionais!
Assim, a Lei nº 13.709/2018, que seria exigida a partir de agosto de 2020, tornou-se um importante normativo para buscar a melhora da proteção dos direitos dos titulares de dados, esclarecendo o que as empresas que processam esses e outros dados pessoais devem fazer para salvaguardar esses direitos.
- O PODER DE UMA MEDIDA PROVISÓRIA
Antes de qualquer coisa, é importante entendermos o conceito de Medida Provisória e sua função legislativa no Brasil.
A Carta Magna Nacional, por meio do artigo 62, permite que o Presidente da República, por ato unilateral, ante a urgência e relevância, expeça Medidas Provisórias (MP), que possuem, quando assinadas, força imediata de lei, sem qualquer necessidade, inicial, da participação do Poder Legislativo.
Nesse contexto, quando uma Medida Provisória é emitida, a Câmara e o Senado poderão atuar, após sua promulgação, para debater seu conteúdo e aprová-la, ou não, em momento futuro.
O Congresso Nacional poderá, assim, no prazo de 60 (sessenta) dias contados a partir de sua publicação, prorrogável por igual período, converter a MP em lei.
Dessa maneira, a Lei Geral de Proteção de Dados Pessoais – LGPD, encontra-se com sua vigência adiada pela MP 959/2020, de 29/04/2020, a qual vigorará por 60 dias, prorrogáveis por mais 60.
Essa Medida Provisória tornou-se urgente e relevante por trazer duas temáticas:
· Inicialmente, ela estipula o pagamento de benefícios instituídos como ajuda financeira para os brasileiros, durante o período da pandemia (COVID-19). Por meio dessa providência, a Caixa Econômica Federal – CEF deixa de ter o monopólio do pagamento dos benefícios, pois esses valores poderão ser recebidos, inclusive, nas agências do Banco do Brasil.
· Posteriormente, o documento legislativo, em um único artigo, amplia a vacatio legis da Lei n. 13.709/2018 (LGPD), a qual deveria entrar em vigor, em 16 de agosto de 2020.
A Câmara, o Senado, o Setor Público e o Setor Privado, todos, foram apanhados de surpresa, uma vez que já tramitava o Projeto de Lei 1179/2020, com prorrogação da vigência da LGPD para janeiro de 2021.
Salienta-se que o Plenário da Câmara dos Deputados, por meio da PEC 70/11, aprovou novo rito, em 2019, proibindo a inclusão de propostas conhecidas como “jabutis”. Por analogia, as Medidas Provisórias expedidas pelo Presidente não poderiam conter matéria estranha ao seu assunto original.
Da mesma maneira, o Supremo Tribunal Federal (STF), em 2015, já havia proibido toda e qualquer inclusão de temas alheios ao objeto da MP.
Destaca-se que esse impedimento, quanto à incorporação, à medida provisória, de temas que não tenham qualquer correlação ao objeto principal (jabutis), pode gerar insegurança jurídica.
Independentemente da celeuma sobre o conteúdo da MP 959/2020, de 29/04/2020, ela já está em vigor, fornecendo novo prazo e oportunidade aos entes públicos e privados para se adequarem à LGPD.
Realmente a pandemia (COVID-19) conseguiu deslocar as atenções da carência de estrutura para suportar os efeitos legais da LGPD, no Brasil, para proporcionar, nas últimas linhas da MP, um maior fôlego aos bem intencionados.
- E AGORA? O QUE FAZER?
Uma vez que a Medida Provisória tem força de Lei e pode ser validada, em breve, pelo Congresso Nacional, há respeitáveis ações que precisam ser realizadas para o sucesso da atividade pública e privada.
Mesmo com os obstáculos enfrentados pelo momento atual de coronavírus, será requerida a toda a sociedade, sua adequação aos requisitos e ditames dessa Lei Geral de Proteção de Dados – LCPD, de acordo com o art. 4º da MP 959/2020, até 03 de maio de 2021.
A legislação de proteção de dados pessoais buscará salvaguardar o respeito à privacidade; a autodeterminação informativa; a liberdade de expressão, de informação, de comunicação e de opinião; a inviolabilidade da intimidade, da honra e da imagem, do desenvolvimento econômico e tecnológico e da inovação; a livre iniciativa; a livre concorrência e a defesa do consumidor e os direitos humanos; o livre desenvolvimento da personalidade; a dignidade e o exercício da cidadania pelas pessoas naturais.
A título de exemplo, para um correto e adequado tratamento de dados pessoais, algumas, dentre outras hipóteses estabelecidas na lei, deverão ser observadas:
· O tratamento dar-se-á, mediante o fornecimento de consentimento pelo titular.
· A manutenção dos dados em bancos e arquivos será para o cumprimento de obrigação legal ou regulatória, pelo controlador.
· Os dados poderão ser armazenados pela administração pública, para o tratamento e uso compartilhado de informações necessárias à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres.
· Os dados poderão ser armazenados para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais, entre outros.
Dessa forma, o empresário, o empreendedor, órgãos públicos, etc., necessitarão criar procedimentos internos para a perfeita adequação à LGPD.
Entretanto, essa prorrogação é uma oportunidade corporativa para um exercício de governança, gestão de processos, mapeamento de riscos, criação de políticas e compliance, entre outros.
- DESAFIOS
Muitos serão os desafios, durante e após a pandemia. A Lei Geral de Proteção de dados e a Tecnologia, por exemplo, trouxe dilemas sobre o trabalho remoto, durante esta fase de COVID-19, vislumbrando minimizar os impactos, inclusive, econômicos, gerados pelo isolamento social.
O combate para o enfrentamento da epidemia COVID-19 e gestão de crise, nesse período, acelerou a utilização das redes sociais e sistemas de tecnologia da informação e comunicação, fazendo com que a grande maioria dos cidadãos brasileiros utilizasse os meios remotos para trabalhar e interagir com as pessoas.
Cabe lembrar que as ameaças decorrentes do uso de tecnologias, sejam novas ou antigas, geram preocupações razoáveis quanto à segurança e à proteção lateral de dados pessoais.
Por isso, a LGPD prevê que a violação de dados pessoais engloba a destruição, perda, alteração, divulgação não autorizada, ou acidental ou ilegal, de dados pessoais transmitidos, armazenados ou processados, de outra forma.
A violação dos dados pessoais pode ocorrer, quando seu conteúdo é utilizado de maneira não autorizada, quando acontece um vazamento e/ou quando surge a obtenção ilícita ou perda dessas informações (por exemplo, devido a um ataque de hackers).
Aquele que exerce atividade empresarial precisará estar alerta ao prazo de armazenamento e descarte com segurança das informações pessoais obtidas; necessitará encontrar meios para possibilitar a criptografia de dados, minimizando os riscos de vazamentos e terá que manter todos os seus sistemas de armazenamentos de dados, seguros, entre outras medidas.
O objetivo principal da legislação para proteção de dados pessoais não é, apenas, proteger os dados de cada indivíduo mas zelar pelos direitos e pelas liberdades fundamentais das pessoas que estão relacionadas a esses dados.
Ao proteger os dados pessoais, torna-se possível garantir que os direitos e a liberdade das pessoas não sejam violados.
- CONCLUSÃO
Por meio da Lei nº 13.709/2018, com vigência prorrogada para maio de 2021, os entes público e privado precisarão encontrar maneiras para gerar privacidade no tratamento de informações pessoais.
Haverá maior tempo para organizar, nesse mesmo sentido, a estrutura da Autoridade Nacional de Proteção de Dados – ANPD, com diretrizes objetivas para sua atuação.
Na era digital, normalmente, são aplicados conceitos de privacidade de dados a informações pessoais críticas, também conhecidas como informações de identificação pessoal (PII) e informações de saúde pessoal (PHI). Isso pode incluir números de Seguro Social, registros médicos e de saúde, dados financeiros, incluindo números de contas bancárias e cartões de crédito e, até, informações básicas, mas ainda confidenciais, como nomes completos, endereços e datas de nascimento. A lista de informações pessoais pode ser bastante extensa; assim, tanto a sociedade quanto a ANPD precisarão estar mais bem preparadas para atuar em conformidade com a legislação.
Para uma empresa, a privacidade dos dados precisará ser muito mais ampla que as informações de identificação pessoal (PII) de seus funcionários e clientes. O empreendedor deverá incluir conteúdos que ajudem sua atividade empresarial a operar, sejam dados proprietários de pesquisa e desenvolvimento ou, até mesmo, as informações financeiras que mostram como estão sendo realizados seus investimentos financeiros.
A proteção de dados pessoais é uma iniciativa global. Aquele que quiser se destacar no mercado e ampliar a abrangência de suas atividades comerciais, precisará se adequar para não sucumbir em processos de recuperação judicial ou falência.
Por isso, os dados tem que ser protegidos para evitar a apropriação e uso indevido deles.
A título de exemplo, uma violação de dados em uma agência governamental pode permitir o acesso a informações extremamente confidenciais e secretas a um estado inimigo. Uma violação em uma corporação pode colocar dados proprietários nas mãos de um concorrente, favorecendo a disputa desleal. Uma violação em uma escola pode colocar os dados de identificação pessoal (PII) dos alunos nas mãos de criminosos que podem cometer roubos de identidades e gerar ações de estelionatários, prejudicando a vida presente e futura de várias pessoas. Uma violação em um hospital ou consultório médico pode colocar as informações de saúde pessoal (PHI) nas mãos de quem pode abusar delas.
Como dito, tempos modernos exigem iniciativas criativas e ousadas para, também, proteger a reputação e a imagem do sistema de gestão público e privado do Brasil.
Manter os dados pessoais dos cidadãos brasileiros protegidos tornou-se um dever e uma responsabilidade das instituições públicas e privadas.
Aproveite a prorrogação de prazo!
Currículo resumido de Elise Brites: Professora, Palestrante. Advogada, Administradora com formação em Auditoria Líder em ISO 19600 e 37001. Trainer. Coach. Hipnoterapeuta. Agente de Compliance. Pós-graduada em Português Jurídico, bem como em Direito Público com ênfase em Compliance. Estudou no Tarsus American College – Turquia. Foi fundadora da Associação Nacional de Compliance – ANACO. Membro da Comissão de Combate à Corrupção e da Comissão de Compliance da OAB/DF. Vice-Presidente da Comissão de Legislação, Governança e Compliance da Subseção da OAB de Taguatinga. Desde dezembro de 2019 é Agente de Integridade na Assessoria Especial de Controle Interno do Ministério da Justiça. É Analista Superior de uma Grande Estatal Brasileira. Atuou como gestora em entidades públicas e privadas por vários anos. Criteriosa Civilista e Criminalista com vigoroso trabalho na área da Conformidade. Profissional com vários anos de experiência no assessoramento de líderes, alta gestão, bem como auxílio jurídico, incluindo as políticas anticorrupção e a implementação do Programa de Integridade. Com forte atuação nas áreas de Governança, Gestão de Riscos e Compliance, tanto no setor público, quanto no privado. Conferencista, Debatedora e Palestrante nos mais variados temas. É Instrutora do Procedimento de Apuração de Responsabilidade – PAR; Gestão do Programa de Integridade; Código de Conduta e Integridade; Sistema de Compliance entre outros. Sólidos conhecimentos na condução de assuntos de gestão, sobre anticorrupção e mitigação à fraude e due diligences de terceiros, com análise, revisão e implementação de programas de conformidade. Vasta experiência com organismos internacionais no Brasil. Em suas atividades cotidianas, analisa e revisa pautas, constrói mapeamentos de Compliance, realiza auditorias, prima pela aplicação de metodologias de Compliance, trabalha com a aplicação de penalidades, faz investigações in e out company, realiza treinamentos e cursos internos e externos entre outras tarefas atreladas ao cumprimento normativo nacional.