A Lei Geral de Proteção de Dados Pessoais é um projeto de interesse de todos os brasileiros, mas que, por sua magnitude, deixa várias dúvidas no ar: o que a lei protegerá, especificamente? Todas as empresas terão que se adaptar? Quais as punições para descumprimento da lei? Quem fiscalizará? Essa lei é mesmo necessária? Como essa vai impactar na atividade de Promotoras de Crédito e Correspondentes no País? Para responder a essas perguntas, reunimos os principais pontos a seguir. Confira!

O que é a Lei Geral de Proteção de Dados Pessoais

Como o próprio nome diz, a chamada LGPD é uma legislação que determina como dados de cidadãos podem ser coletados e tratados, e que prevê punições para transgressões. O próprio Senado reconhece que a proposta para o marco geral de proteção de dados — outra denominação dada à proposta — foi fortemente inspirada no GDPR, um rigoroso conjunto de regras sobre privacidade da União Europeia que entrou em vigor em maio de 2018.

Empresas e outras organizações atuantes no Brasil terão que seguir essa série de regras, para permitir que o cidadão tenha mais controle sobre o tratamento que é dado às suas informações pessoais.

Quem é afetado
Serão impactadas pela nova lei todas as empresas que coletam quaisquer tipos de dados pessoais. E por dado pessoal entende-se qualquer informação que permita a identificação de um indivíduo, como nome, sobrenome, endereço, e-mail, número de documento, número de cartão de crédito, informações bancárias, dados médicos, além de dados de localização, endereços de IP e testemunhos de conexão, os chamados cookies. É importante lembrar que a lei não engloba apenas dados digitais, os dados coletados em papel, como fichas de cadastro e cupons de promoções ou mesmo coletados por meio de imagens ou sons também valem.

Como os dados pessoais deverão ser coletados e tratados?

As empresas não poderão mais coletar dados pessoais sem o consentimento das pessoas, sejam consumidores ou funcionários, e também passarão a ser totalmente responsáveis pela segurança dessas informações.

Na prática, ficam impedidas de coletar dados pessoais e usá-los na oferta de publicidade direcionada, telemarketing ou venda de informações para terceiros sem autorização do consumidor.

A solicitação de seu consentimento para fornecer os dados deverá ser feita de maneira clara para que o cidadão saiba exatamente o que vai ser coletado, para quais fins e se haverá compartilhamento. Quando houver envolvimento de menores de idade, os dados somente poderão ser tratados com o consentimento dos pais ou responsáveis legais.

Se houver mudança de finalidade ou repasse de dados a terceiros, um novo consentimento deverá ser solicitado. O usuário poderá, sempre que desejar, revogar a sua autorização, bem como pedir acesso, exclusão, portabilidade, complementação ou correção dos dados. Caso o uso das informações leve a uma decisão automatizada indesejada — recusa de financiamento por um sistema bancário, por exemplo —, o usuário poderá pedir uma revisão humana do procedimento.

Caso os dados não sejam mais necessários — quando uma conta ou serviço tiver sido finalizado, por exemplo —, a organização terá que apagá-los, exceto se houver obrigação legal ou outra razão justificável para a sua preservação.

A ideia é proteger o cidadão do uso abusivo e indiscriminado dos seus dados.

O que acontece em caso de vazamento de dados?

Vazamentos ou problemas de segurança que comprometem dados pessoais deverão ser relatados às autoridades competentes em tempo hábil. Após análise da situação, as autoridades indicarão os próximos passos, como determinar que o problema seja divulgado à imprensa.

Investimento em segurança

A empresa que coletar dados terá que provar, por meio de relatórios, que tem uma estrutura de segurança preparada para assegurar a proteção dos dados. Caso a empresa seja vítima de algum incidente de segurança, como um vazamento de dados, seja acidental ou criminoso, ela será obrigada a notificar todos os clientes e poderá receber multa de até 2% do faturamento ou até 50 milhões de reais por infração.

Vale só para empresas brasileiras ou estrangeiras também?

A proposta vale para operações de tratamento de dados realizados no Brasil ou em outro país, desde que a coleta de dados seja feita em território brasileiro. Isso significa que, se o Google coletar dados de um usuário por aqui, mas processá-los nos Estados Unidos, por exemplo, terá que seguir a legislação brasileira.

Quem vai fiscalizar?

O projeto prevê a criação da Autoridade Nacional de Proteção de Dados (ANPD), autarquia ligada ao Ministério da Justiça que deverá fiscalizar e garantir a aplicação da lei. Também está prevista a criação do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, que será formado por 23 representantes do poder público e da sociedade civil. Caberá ao grupo realizar estudos, debates e companhas referentes ao assunto.

Tanto a iniciativa privada quanto os órgãos públicos poderão ter que indicar um responsável pelo tratamento dos dados dentro da organização. Eventuais solicitações ou comunicações referentes a dados pessoais serão tratados prioritariamente com essa pessoa.

Quando a Lei Geral de Proteção de Dados Pessoais começa a valer?

A lei entre em vigor em fevereiro de 2020 e as empresas devem se adaptar até esse prazo.