Os efeitos da nova Lei Geral de Proteção de Dados
12
José Luís da Conceição
Com a aprovação da Lei Geral de Proteção de Dados, que
passou a vigorar no país em agosto deste ano, a Seção São
Paulo da Ordem dos Advogados do Brasil promoveu uma série
de palestras para debater os impactos da nova legislação e
também da importunação sexual nas relações de trabalho. A
discussão reuniu especialistas na sede institucional (05/12),
que apresentaram os desafios e inovações no âmbito da
advocacia.
Os principais conceitos da lei foram destrinchados por Rubia
Ferrão, da Coordenadoria de Proteção de Dados da OAB SP e
membro das Comissões de Direito Digital e Compliance e de
Combate à Pirataria, que tratou sobre a base legal, os direitos
e prerrogativas no tratamento dos dados pessoais do empregado.
Entre estes conceitos constam o titular, o tratamento, o
consentimento e os agentes de tratamento, que podem ser o
controlador ou operador. “A nossa lei foi generosa e traz dez
hipóteses legais de tratamento de dados”, observou.
Além da qualidade dos dados, que devem ser constantemente
atualizados, a transparência e a segurança, Rubia aponta que
outro desafio é justamente o consentimento. “A partir do momento
que fundamenta o tratamento de dados na permissão,
essa é a sustentação legal. É preciso ter em mente que isso
acompanha o direito de revogá-lo. Se o tratamento for feito
apenas com essa base, você pode ter problemas para manter
aquilo arquivado. Em uma série de situações precisaremos
buscar a autorização. O ônus da prova vai ser do controlador,
ele vai ter de demonstrar que tinha anuência para a operação.
E se não for por esta via, será preciso demonstrar o enquadramento
e dar transparência ao tratamento do dado”, acentuou.
Contudo, a concordância é necessária principalmente no caso
de dados sensíveis, como informações referentes à saúde.
Sobre os princípios do tratamento de dados, Rúbia Ferrão
destaca que é preciso respeitar uma finalidade para a coleta.
“Anteriormente coletava-se tudo para o caso de precisar, agora
devemos saber o porquê de estar coletando o dado e tratá-lo
conforme a coleta. Hoje existe o direito do titular e o direito
de petição, em que o empregador pode buscar informações
perante qualquer controlador ou operador sobre o tratamento
de dados, e a empresa vai ter de estar preparada para dar uma
resposta”, ponderou.
A presidente da Associação Brasileira dos Profissionais de
Recursos Humanos (ABPRH), a advogada Milva Gois dos
Santos Pagano, observou alguns dos efeitos da legislação na
seara das empresas e da área de recursos humanos.
“A proposta da lei é a proteção à privacidade. Se o dado é
meu, eu decido para quem quero revelar, com quem quero
compartilhar e para qual finalidade. O que acontece hoje em
dia é que eu não tenho o direito de escolha sobre o meu próprio
dado. Qual o escopo e o objetivo da lei? É a proteção da
liberdade e da privacidade. Até que ponto, efetivamente, as
empresas e pessoas estão preparadas para as mudanças que
vêm? Algumas coisas que constam na lei já eram tratadas,
como a questão do direito à privacidade, do sigilo, até na área
da saúde. Quando se fala na lei que os dados de saúde são
sensíveis, já existia essa proteção de confidencialidade, de
sigilo médico e sob os dados de saúde. A lei vem e reveste
com arcabouço, dando estrutura legal diferente, colocando
sanções”, explicou.
Milva Gois também explicou o que significa tratamento de
dados: “É toda operação realizada com dados pessoais, a
coleta, avaliação, classificação, controle, armazenamento,
ou seja, tratamento de dado é qualquer atividade ou ação que
você faça sobre aquele dado”. A abrangência da lei, contudo,
não inclui situações como o uso dos dados para fins exclusivamente
pessoais, jornalísticos, artísticos ou acadêmicos,
da segurança púbica, defesa nacional, segurança do Estado
ou repressão criminal, e os dados pessoais provenientes de
outro país sem tratamento no Brasil.
Já entre as sanções administrativas previstas na legislação
Rúbia Ferrão, da
Coordenadoria de
Proteção de Dados
da OAB SP, destaca
que é preciso
respeitar uma
finalidade para a
coleta de dados
constam: advertência, com indicação de prazo para adoção
de medidas corretivas; multa simples ou diária, de até 2%
da receita do grupo no Brasil no último exercício, limitada
a R$ 50 milhões; publicização, após devidamente apurada e
confirmada a infração; bloqueio dos dados pessoais a que se
refere a infração e também a eliminação deles.
Segurança e proteção
O engenheiro elétrico e membro da Comissão de Estudos de
Direitos Digitais e Compliance e da Comissão de Proteção de
Dados da OAB SP, Josmar Giovannini, abordou a segurança,
governança e a proteção de dados. Sobre vazamentos de
dados, Josmar explica que essa é uma questão de tempo.
“Não é se irão ocorrer, mas quando irão ocorrer. Outra questão
sobre a violação de dados pessoais são os custos envolvidos.
A primeira fase é de detecção do episódio, depois vem a de
contenção, monitorando nos sistemas. Quando chego à conclusão
de que tem o vazamento, é preciso fazer a contenção
imediatamente e atrelado a isso tenho a questão da perda
de clientes associada ao vazamento de dados”, considerou.
Uma medida fundamental a ser tomada pelas empresas é
o monitoramento dos dados. “Não adianta absolutamente
nada eu fazer um esforço gigantesco para mapear todos
os dados pessoais que têm na empresa, no departamento,
identificar os riscos e priorizar, promover ações especificas
usando controles internos da própria empresa, se, depois, eu
não fizer um monitoramento específico e constante dessas
ações. É o processo que deve ser acompanhado como um
todo, sendo que cada departamento individual deve seguir o
mesmo processo. É uma ação multidisciplinar que envolve
foco, métodos específicos e tem estratégia e propósitos bem
claros”, concluiu.
LEGISLAÇÃO
Confira a galeria de fotos