Provavelmente você já recebeu algum aviso em seu celular ou computador de um aplicativo ou site dizendo que atualizou sua política de dados e cookies. Por trás desses alertas está uma grande mudança no tratamento das informações de cada usuário da internet. O Brasil começa uma contagem regressiva para a implantação da Lei Geral de Proteção de Dados Pessoais (LGPD). Na última semana de agosto de 2020, o Congresso Nacional aprovou a Medida Provisória 959/2020, que exclui o art. 4 que tratava da especificamente da postergação da LGPD para maio de 2021.  

A nova lei, que começou a ser desenhada desde 2018, tem o objetivo de garantir maior transparência com o que é feito com os dados e, principalmente, dar maior controle ao usuário para indicar se a empresa pode ou não utilizá-los. Garantir direitos aos donos das informações impõe obrigações a quem recebe e opera os dados, sob pena de processos e multas em até 2% do faturamento, com teto de R$ 50 milhões. Por isso, as empresas correm para se adequar às novas regras. A LGPD trouxe uma abrangência maior em relação à proteção dos dados pessoais, já que prevê essa proteção tanto no ambiente on-line e off-line (documentos físicos). Se antes as empresas buscavam legitimar o tratamento de dados com base apenas no consentimento do titular - que pode, aliás, ser revogado a qualquer momento pelo titular-, hoje, com a LGPD, o tratamento pode ser fundamentado, além do consentimento, no legítimo interesse do responsável pelo tratamento, na execução de um contrato, em uma obrigação legal, na proteção ao crédito, na tutela da vida, dentre outras bases legais previstas no art. 7º, da LGPD - Lei nº 13.709/2018. 

Apesar de a lei só prever multa a partir de 2021, as empresas correm o risco de sanções administrativas, além dos risco reputacional e processos judiciais. A população está mais atenta diante de tantas fraudes e vazamentos. A lei segue o rigor da General Data Protection Regulation (GDPR), da União Europeia, na qual é baseada. 

Entenda a tramitação da LGPD no Congresso 

Em 25 de agosto de 2020, a Câmara dos Deputados votou a MP 959/2020 para que a sua vigência fosse estabelecida para o dia 31 de dezembro de 2020. No dia seguinte (26), o Senado aprovou a MP 959/2020, mas considerou prejudicado o art. 4º, que previa o adiamento da vigência da Lei. Na ocasião, em que a casa analisou a prorrogação da legislação, os senadores aprovaram destaque do senador Weverton Rocha (PDT-MA), que preservava a prorrogação da aplicação das sanções previstas na LGPD para agosto de 2021 e mantinha a manutenção do início da vigência da legislação para o seu prazo original, ou seja, agosto de 2020. 

A Assessoria de Imprensa do Senado publicou nota de esclarecimento explicando que a LGPD não entrará em vigor imediatamente, mas somente após sanção ou veto de outras questões da MP 959/2020. Assim que a MP 959/2020 for sancionada ou vetada pelo presidente da República, Jair Bolsonaro, a LGPD entrará em vigor imediatamente, com exceção das sanções administrativas que serão aplicadas somente a partir de 1º de agosto de 2021. O prazo máximo para sanção é 17 de setembro de 2020. 

Com essas mudanças, o governo publicou em 26 de agosto de 2020 o decreto 10.474, que aprova a estrutura regimental e o quadro demonstrativo de cargos da Autoridade Nacional de Proteção de Dados (ANPD). A agência governamental que cuidará da fiscalização, a Autoridade Nacional de Proteção de Dados (ANPD), ainda está no estágio inicial de criação. O órgão está subordinado à Presidência da República e tem a função primordial de emitir diretrizes sobre o tratamento dos dados pessoais, bem como regulamentar diversos tópicos da legislação. 

Aplicações da LGPD 

A advogada especialista em Direito Digital do escritório Nogueira Advogados Associados, Janaína Nogueira, explica que a LGPD se aplica a qualquer operação de tratamento de dados pessoais, realizada por pessoa física ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados. "Um exemplo de uma atividade de tratamento que tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional é o aplicativo WhatsApp, que embora não tenha um escritório local, disponibiliza seus serviços por aqui. Caso ocorra incidente de vazamentos de usuários brasileiros, o WhatsApp estará sujeito às determinações da LGPD, razão pela qual, recentemente, a empresa atualizou as suas políticas de privacidade", ressalta a advogada. 

É importante reforçar que a LGPD não se aplica apenas às empresas digitais, mas em todas as empresas incluindo a administração pública, e até mesmo pessoas físicas que realizam tratamento de dados pessoais com fins econômicos. Isso inclui, dentre outras, relações entre clientes e fornecedores de produtos e serviços, empregado e empregador, etc. 

Para as empresas que ainda não se atentaram à legislação, a advogada Janaína sugere a criação de um comitê interno que envolva um profissional de cada área da empresa, a fim de possibilitar que todos os processos da empresa estejam sendo realizados de acordo com a LGPD. "O engajamento da alta direção da empresa é de suma importância para o sucesso da implementação, porque permite um ambiente de colaboração e de mudança de cultura na empresa. Não se trata de um projeto em que basta ter conhecimento de Tecnologia da Informação ou de segurança de dados, mas que, além disso, requer conhecimento jurídico, dos fluxos de negócios, procedimentos e gestão de riscos de compliance". 

Entre os pilares com as quais a empresa deve se preocupar em construir estão a governança da privacidade, vazamento e segurança de dados, privacy by design, relatório de impacto de dados pessoais, termo de consentimento, avisos de proteção de dados e políticas de privacidade, direitos do titular, gestão de terceiros, histórico de tratamento, especificação das bases legais de tratamento dos dados pessoais, minimização e retenção de dados. 

Agências de publicidade 

Alguns pontos da LGPD ainda dependem de regulamentação pela Autoridade Nacional de Proteção de Dados (ANPD), em especial as que se referem a terceiros que são envolvidos no tratamento de dados, tais como fornecedores de sistemas, data centers, empresas de marketing e telemarketing, etc. 

Enquanto não existe uma regulamentação específica, recomenda-se que a adequação seja feita com base nas normas e orientações do Regulamento Europeu de Proteção de Dados GDPR. "Ao desenvolverem sites dos clientes, as agências de publicidade precisam estar atentas ao conceito "privacy by default", que significa privacidade por padrão. Isso inclui, a correta utilização dos cookies, que são pequenos arquivos que contêm informações que servem para identificar o visitante, tanto para personalizar a página de acordo com o perfil do usuário como para facilitar o transporte de dados entre as páginas de um mesmo site. No privacy by default, a não coleta de cookies deve ser o padrão, sendo necessário que cada usuário dê o consentimento para o registro das páginas que ele visitou", detalha Janaína Nogueira. 

Avisos como: "ao utilizar o site, você concorda que podemos colocar cookies em seu dispositivo, conforme descrito em nossa Política de Privacidade e neste Aviso de Cookie" são tidos por inválidos, porque não permitem que o consentimento do usuário seja dado livremente. 

É essencial que na utilização de cookies seja fornecido ao usuário as seguintes opções: (i) de que utilize apenas os cookies necessários e, (ii) seja permitida a seleção. 

Outro ponto de destaque é que se for permitido ao usuário ter acesso ao conteúdo da página da web somente após clicar em "prosseguir" ou "aceitar cookies", o consentimento também é tido como inválido, porque caracteriza uma situação em que o usuário não teve uma escolha genuína. 

Uma outra ação que faz parte do escopo das agências publicitárias e será afetada pela LGPD é o e-mail marketing. "No contexto da privacidade por padrão, não é possível utilizar dados (endereço de e-mail), sem ter obtido o consentimento, mesmo que estes estejam presentes em registos públicos e, portanto, acessíveis a qualquer pessoa. O problema surge para as empresas que dispõem de uma grande quantidade de dados, recolhidos no decorrer dos seus negócios, para os quais nem sempre foi recolhido consentimento", alerta a advogada. 

Como agir? 

Primeiro, os dados eletrônicos devem ser divididos em três categorias: 

1. E-mails recolhidos de registos públicos, portanto sem autorização para a utilização destes dados; 
2. E-mail e dados para os quais foi obtido consentimento pré-legislação; 
3. E-mails e dados coletados na sequência de relações comerciais. 

Relativamente à primeira categoria de dados, devem ser eliminados os e-mails recolhidos pelos Registos Públicos, para os quais não foi recolhido qualquer tipo de consentimento, por terem sido recolhidos ilegalmente. Nesse caso, o envio do e-mail conforme indicado acima pode levar a empresa a se expor ao risco de que um usuário faça uma denúncia à Autoridade Nacional de Proteção de Dados ANPD, por violação de privacidade com consequente fiscalização por parte da Autoridade.
A segunda categoria de dados, coletada por meio de consentimento, é certamente mais "segura". Esse processo, entretanto, não é tão simples quanto se pensa. "A empresa terá a possibilidade de enviar um e-mail aos sujeitos para os quais foi obtido o consentimento pré-legislação, indicando que na vigência da nova legislação continuarão a receber comunicados da empresa, a menos que os sujeitos contatados solicitem a destruição de seus dados dos cadastros da empresa. Em anexo ao e-mail, pode-se transmitir a política de privacidade que também deve ficar visível no site da empresa. Entende-se que ainda é necessário, mesmo neste caso, solicitar consentimento para o tratamento de dados nos termos da LGPD". 

Finalmente, no que diz respeito à terceira categoria de dados, ou seja, dados recolhidos sem consentimento, mas na sequência de uma operação comercial, ao contrário do que é previsto para as categorias de dados no ponto dois, para os quais já foi recolhido consentimento escrito pré-legislação, neste caso o "consentimento" pode ser demonstrado por meio de transação anterior celebrada entre as partes, desde que não frustrada a expectativa do consumidor. "A lei contribui para a ampliação da confiança do consumidor em relação aos fornecedores e para o aumento da segurança de seus dados. Estar preparada para atender as exigências da Lei Geral de Proteção de Dados pode ser um grande diferencial competitivo para as empresas. As empresas que estiverem adequadas têm mais chances de passar nos processos de contratação, podendo ganhar mercado frente aos seus concorrentes", finaliza a advogada. 

A LGPD em vigor em 2020: desafios e oportunidades no mercado de comunicação