Após quase uma década de concepção e disputas em Brasília, a Lei Geral de Proteção de Dados (LGPD) finalmente começou a vigorar nesta sexta-feira, 18, depois que o presidente Jair Bolsonaro sancionou o projeto que permitia o início da vigência da nova lei. Inspirada na europeia General Data Protection Regulation (GDPR), a LGPD regulamenta o tratamento de dados pessoais de clientes e usuários por parte de empresas públicas e privadas.
Com isso, qualquer empresa que incluir em sua base informações de seus clientes, por mais básicas que sejam – como nome e e-mail – deve seguir os procedimentos da nova lei. “A LGPD representa uma mudança de mentalidade tão importante quanto a entrada em vigor do Código de Defesa do Consumidor em 1990. De lá para cá, o brasileiro entendeu que, como consumidor, ele possui direitos. Agora será parecido”, diz Carlos Affonso Souza, diretor do Instituto de Tecnologia e Sociedade (ITS-Rio).
Concebida durante os governos Lula e Dilma e aprovada durante a gestão de Michel Temer, a Lei Geral de Proteção de Dados foi parte de uma disputa legislativa nos últimos meses. Ela deveria ter entrado em vigor em agosto, mas as regras quase mudaram em abril, depois que o governo editou uma medida provisória que tentava adiar o início da vigência para maio de 2021 – o objetivo era atender a pedidos de pequenas e médias empresas, que não teriam tempo para se adequar às regras em meio à pandemia do coronavírus.
Depois, a Câmara aprovou o texto com um prazo menor, com entrada em vigência para o final de 2020, mas o Senado rejeitou o dispositivo. No fim das contas, o presidente sancionou o texto da medida provisória da forma como ele saiu do Senado, sem adiamento. Assim, a lei de dados passou a valer, em setembro, desde agosto de 2020. “Perdemos meses com essa discussão quando podíamos estar discutindo proteção de dados em si”, afirma Danilo Doneda, membro do Conselho Nacional de Proteção de Dados e Privacidade.
É algo especialmente importante para muitas empresas, que precisarão correr para se adequar às regras – como enviar e corrigir informações de cadastro a pedido dos usuários. “A adaptação da LGPD é um processo constante e as empresas terão que levar isso em conta em seus serviços e atividades”, diz Doneda.
De muleta
Além da adequação pelas empresas, a novela da LGPD ainda tem outros capítulos previstos antes de acabar. Isso porque punições em caso de desrespeito à lei não estão valendo ainda e o órgão responsável por fiscalizar as regras não foi plenamente estabelecido.
Como forma de atender aos pedidos das empresas, as punições por desobediência à LGPD só serão aplicadas a partir de agosto de 2021. Até lá, espera-se que a Autoridade Nacional de Proteção de Dados (ANPD) já esteja estruturada – o órgão será responsável por regular a lei, elaborar instruções para o cumprimento de suas normas e fiscalizar o cumprimento.
Após muita expectativa, Bolsonaro editou em agosto um decreto que estabelece a estrutura e os cargos do órgão. Agora, além de indicar cinco conselheiros, que terão de ser aprovados pelo Senado, o governo precisa responder ainda outras questões: onde a ANPD será sediada, como será seu expediente e quem serão seus servidores. Também não se sabe até o momento qual será o orçamento da ANPD – algo que deve ser definido no orçamento geral da União, mas não pode gerar custos extras aos cofres públicos.
Entenda a lei
A LGPD é um dispositivo que estabelece padrões sobre quais dados são pessoais ou sensíveis, além de trazer regras acerca de como essas informações devem ser tratadas e armazenadas por empresas, como as que gerenciam redes sociais.
Entre outras, a nova lei estipula regras sobre tratamentos de dados pessoais sensíveis; responsabilidade e ressarcimento de danos, e tratamento de informações pelo poder público. São considerados dados pessoais, por exemplo: nome, endereço, e-mail, idade, estado civil e situação patrimonial.
A lei determina que o uso dos dados exige consentimento do titular, que deve ter acesso às informações mantidas por uma empresa. O tratamento das informações também será permitido se estiver dentro das hipóteses previstas na proposta, como obrigações legais, contratuais e proteção do crédito.
O usuário pode exigir que empresas mostrem, corrijam e excluam informações de cadastros e sites. Dados de crianças só podem ser usados com consentimento dos pais e os de saúde, apenas para pesquisas.
As empresas que não respeitarem as regras podem ser multadas em até R$ 50 milhões, o que passa a acontecer a partir de agosto de 2021. Até lá, empresas e órgãos públicos receberão apenas advertências por eventuais violações. Ainda assim, é possível verificar a mudanças em diversos serviços digitais - em agosto, Google, Facebook e Microsoft enviaram notificações para os usuários informado sobre mudanças nos termos de uso.
“Diferentes empresas estavam em diferentes estágios de adequação. Os retardatários agora devem começar a se importar mais com o tema”, explica Souza. “Vale destacar que o processo de adequação não é só da porta para fora. Os funcionários também são titulares de dados e as empresas precisam estar atentas para o fato de que processos de adequação também devem acontecer internamente”.
