Facebook
Facebook
26 JULY 2018

Como se preparar para cumprir a Lei Geral de Proteção de Dados Pessoais?

Como se preparar para cumprir a Lei Geral de Proteção de Dados Pessoais?

A advogada Vanessa Ribeiro, do escritório Gusmão & Labrunie, comenta os principais pontos da lei que foi aprovada pelo Senado e aguarda sanção presidencial

O Senado aprovou, no dia 10 de julho, o texto da Lei Geral de Proteção de Dados Pessoais, que regulamenta o tratamento de dados pessoais (PLC 53/2018). Agora, falta apenas a sanção presidencial para o Brasil contar com uma legislação específica para o tema, a exemplo do que já ocorre na Europa com o GDPR (sigla em inglês para General Data Protection Regulation). Após a sanção do presidente Michel Temer, a lei entra em vigor dentro de 18 meses. Será esse o tempo que as empresas terão para se adaptarem à nova legislação.

Nesta entrevista, a advogada do escritório Gusmão & Labrunie Vanessa Ribeiro comenta a necessidade de se ter uma Autoridade Nacional de Proteção de Dados, um dos pontos polêmicos do projeto, e explica o que as companhias precisam fazer para ficarem em conformidade com a nova lei. Graduada em Direito pela Universidade Federal do Rio de Janeiro e pós-graduada em Direito da Propriedade Intelectual pela Pontifícia Universidade Católica do Rio de Janeiro, Vanessa Ribeiro também possui mestrado em Direito e Tecnologia — LL.M. Law & Technology — pela Universidade da Califórnia (Berkeley/EUA).

De maneira geral, como você avalia a Lei Geral de Proteção de Dados Pessoais aprovada pelo Senado?  

Vanessa Ribeiro: O Brasil demorou muito tempo para ter uma lei específica sobre proteção de dados pessoais. A maioria dos países já tem, com destaque para a União Europeia com a bastante comentada GDPR. É uma regulação que pretende dar respostas ao atual contexto social, político e econômico em que vivemos, cercado por escândalos como o Cambridge Analytica, a disseminação de fake news e a aplicação de multas por práticas abusivas como o geopricing. Ainda, é uma lei que almeja trazer segurança jurídica para o que já se sabe que o mercado não será capaz de disciplinar sozinho e exemplos de sua aplicação certamente não faltarão.

De alguma maneira, a lei inviabiliza modelos de negócios?

Não. Acho que podemos ter dificuldade de interpretação em alguns pontos, mas ela, de forma alguma, atravanca a inovação tecnológica. A lei olha tanto para as necessidades das empresas quanto para as vulnerabilidades do consumidor, e tenta conciliar interesses. Não por acaso, o consentimento é apenas uma entre as várias hipóteses que autorizam o tratamento de dados pessoais. A lei trará, quando sancionada, mais segurança jurídica para as empresas na construção de seus modelos de negócio. Ao mesmo tempo, garantirá que o consumidor tenha informações mais claras sobre a utilização de seus dados.

A lei dá mais segurança jurídica para as empresas?

Em vários aspectos, sem dúvida. Existe um clamor por mais clareza. Para dar mais segurança jurídica às empresas no sentido de saberem o que podem fazer e não serem surpreendidas. É importante registrar, contudo, que não estávamos em um vazio normativo; tínhamos a Constituição Federal, o Código de Defesa do Consumidor, o Marco Civil da Internet, e tantas outras. Ainda, é lógico que existem muitos deveres impostos às empresas que podem trazer gastos com compliance, porém, por outro lado, o ganho social grande. 

Depois que a lei for sancionada, as empresas privadas e o setor público terão 18 meses para se adaptarem. Que recomendações você dá para as companhias?

Olhar para dentro é o primeiro passo. Entender verdadeiramente o negócio e o papel dos dados nele diante de finalidades legítimas a serem perseguidas.

E depois?

As empresas deverão ter políticas de privacidade e proteção de dados pessoais, incentivar atividades educacionais de promoção da privacidade e ajustar suas atividades para coletar o mínimo de dados possível para a realização de suas atividades. Ainda, em termos gerais, as empresas deverão revisitar suas políticas de segurança da informação, adotar soluções que permitam o armazenamento seguro de dados, ter um plano para atuação em casos de incidentes de vazamento de dados, por exemplo. Ou seja, para além de buscar assistência para a sua adequação aos termos da nova legislação, as empresas precisarão desenvolver uma verdadeira cultura corporativa que tenha a privacidade como um dos pilares centrais. As empresas precisão revisitar também acordos com parceiros, entre outros.

Fala-se também na governança de algoritmos, o que pode mudar?

Como sabemos, o uso de algoritmos pode trazer riscos como discriminação social, violações de privacidade, abuso de direito, dentre outros. Desse modo, a lei servirá como um norte para ferramentas de governança de algoritmo, que figura hoje como parte essencial de novos processos econômicos e sociais e possibilita o tratamento de dados pessoais.  

A lei introduz a figura de um responsável pelos dados, o Data Protection Officer (DPO), qual é a importância e o papel deste profissional?

A primeira é o impacto de quase criação de uma nova carreira. O DPO atuará como canal de comunicação entre o controlador, os titulares de dados e a Autoridade Nacional de Proteção de Dados. É o responsável dentro da empresa pela supervisão do cumprimento das regras previstas em lei, bem como por orientar funcionários, terceiros e parceiros quanto às práticas relativas à proteção de dados pessoais. É uma figura que já existe no exterior, mas que pela redação atual do texto da lei aprovado pelo Senado, poderá ter suas atribuições melhor traçadas pela Autoridade Nacional de Proteção de Dados.

A lei fala sobre a criação da Autoridade Nacional de Proteção de Dados. Qual é a sua opinião?

É de extrema relevância para garantir, inclusive, a eficácia da lei. Vale destacar que a lei prevê, ainda, a criação do Conselho Nacional de Proteção de Dados, órgão consultivo, com composição multisetorial.

A lei ainda precisa ser sancionada pelo presidente Temer, quais pontos poderiam ser vetados?

Há grande articulação para evitar vetos, principalmente porque o texto aprovado foi objeto de amplo debate, inclusive de consulta pública. Porém, eles são esperados, principalmente no que diz respeito à criação da Autoridade Nacional de Proteção de Dados.

A maneira com que as diferentes gerações encaram a privacidade é diferente, até mesmo diante do entendimento do viés econômico do tratamento de dados. Temos barreira cultural, o que é preciso fazer?   

Alguns nasceram no mundo digital, outros não. Temos uma população diversa em muitos sentidos e diferenças existem. A percepção das pessoas em geral, contudo, ainda é muito simples sobre o tema. Dificilmente encontramos gente que tenha real dimensão da miríade de maneiras de coleta e uso de dados pessoais. Mais do que uma legislação, é preciso, portanto, de uma cultura de privacidade em um mundo hiperconectado. Isto é, deve se levar conhecimento as pessoas sobre o tema, para que elas possam, inclusive, fazer escolhas de forma conscientes e não por cabresto.

Além dos pontos já abordados, o que você destaca como mais relevante? 

O texto aprovado pelo Senado está bem em linha com o GDPR. A lei tem 10 capítulos e 65 artigos e será aplicada tanto ao mundo analógico quanto ao digital. Destaco a extensão das bases legais para o tratamento de dados pessoais para hipóteses além do consentimento, e a obrigatoriedade de se adotar os paradigmas de Privacy by Design e by Default. E, por fim, a importância da realização de relatório de impacto à proteção de dados pessoais em dadas hipóteses e a notificação obrigatória em caso de incidentes.

Por:


« Voltar