LGPD: o que mudou na redação final da lei?

Sancionada há pouco menos de um ano, a Lei Geral de Proteção de Dados (LGPD) chegou a sua redação final em meados de julho, com muitas e importantes mudanças. Para ajudar a compreender, comento abaixo essas alterações:

Tratamento de dados relativos à saúde

Ocorreu uma flexibilização em relação à hipótese legal que autoriza o uso de dados para tutela da saúde. Desta forma, tanto os dados pessoais quanto os dados pessoais sensíveis poderão ser tratados por profissionais de saúde, autoridades sanitárias e responsáveis pelos serviços de saúde, o que representa um grande aumento nas possibilidades de uso de dados na área da saúde.

Outra mudança em relação a dados relativos na área é que fica vedado o compartilhamento de informações pessoais sensíveis referentes à saúde com o objetivo de obter vantagem econômica. Deve-se atentar, porém, às seguintes condições:

  1. Ocorrer no contexto da prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde;
  2. Não tiver como objetivo a prática pelas operadoras de planos privados de assistência à saúde, de seleção de riscos na contratação, assim como na contratação e exclusão de beneficiários;
  3. For em benefício dos interesses dos titulares dos dados, relativo a pelo menos uma das atividades: a portabilidade de dados quando solicitada pelo titular ou as transações financeiras e administrativas resultantes do uso e da prestação dos respectivos serviços.

Definições para o DPO (Encarregado de Proteção de Dados)

A versão final da LGPD apresenta um conflito entre a definição do artigo 5º, VIII e regra do artigo 41, que disciplina a função do Encarregado de Proteção de Dados (DPO), o relacionando apenas com os Controladores de dados.

Se olharmos o que pretendia o legislador antes do veto, chegaríamos ao entendimento de que a figura do Encarregado estivesse presente tanto no Controlador como no Operador. Desta forma, a nossa recomendação é para que as empresas operadoras nomeiem seus Encarregados de Proteção de Dados, até mesmo porque é raríssimo termos uma empresa que seja somente uma operadora de dados.

Outra mudança é que a lei não torna mais expressa a necessidade que o DPO (Encarregado) detenha o conhecimento jurídico-regulatório em proteção de dados. Este veto foi baseado em não ofender o direito fundamental, previsto no art. 5º, XIII da Constituição da República, por restringir o livre exercício profissional a ponto de atingir seu núcleo essencial. Surgiu do medo de uma reserva de mercado por parte dos advogados. O certo é que um bom DPO, entre outras habilidades técnicas necessárias, deverá dominar não só a LGPD, mas também a sua regulamentação europeia, a GDPR, além de ter a técnica para peticionar a ANPD (Autoridade Nacional de Proteção de Dados Pessoais), respondendo as questões por ela levantadas.

No fundo, a empresa gastará mais tendo um profissional puramente técnico sem o conhecimento jurídico-regulatório como DPO, logo que necessariamente terá que contratar um Escritório de Advocacia especializado para suportar as demandas junto à ANPD e ao judiciário. Ou seja, em suma, será um tiro no pé das empresas desconsiderar o conhecimento jurídico para a contratação de um DPO.

Revisão das decisões automatizadas

Havia a previsão de que o titular de dados teria o direito de solicitar revisões das decisões tomadas de forma automatizada, processo esse que seria feito, nesse segundo momento, por um agente humano.

Ocorreu, porém, o veto presidencial, dispensando essa necessidade.

Sanções da LGPD

Ficam mantidas na LGPD as sanções administrativas, sendo:

  • Advertência, com indicação de prazo para adoção de medidas corretivas;
  • Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
  • Multa diária, observado o limite total acima;
  • Publicação da infração;
  • Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
  • eliminação dos dados pessoais a que se refere a infração.

Essas punições existentes na Lei são rigorosas e justificam o grande movimento das empresas para sua adequação à LGPD.

Uma novidade com relação às sanções é que os vazamentos individuais ou os acessos não autorizados a dados pessoais poderão ser objeto de conciliação direta entre controlador e titular e, caso não haja acordo, o controlador estará sujeito à aplicação das penalidades da LGPD.

Autoridade Nacional de Proteção de Dados Pessoais (ANPD)

A ANPD será órgão da administração pública federal direta, integrante da Presidência da República, o Poder Executivo, segundo a LGPD. Poderá transformar a ANPD em entidade da administração pública federal indireta após dois anos de funcionamento, submetida a regime autárquico vinculada à Presidência da República.

Podemos destacar como atuação da ANPD os seguintes pontos:

  • A ANPD poderá celebrar compromissos com as empresas;
  • Terá a capacidade de editar normas (e afins) específicas (e mais flexíveis) para startups;
  • Será o grau máximo, na esfera administrativa (não judicial), para interpretar a LGPD, o que não exclui o poder de fiscalização que outros órgãos terão, de forma limitada, às suas competências;
  • Poderá realizar auditorias;
  • Deverá receber e processar as reclamações das pessoas físicas titulares de dados (em meios facilitados, especialmente eletrônicos), desde que tais titulares tenham procurado antes a própria empresa denunciada, e que esta não tenha resolvido a questão;
  • Comunicará às autoridades competentes as infrações penais das quais tiver conhecimento.

Uma das grandes dificuldades que estamos enfrentando na implementação da LGPD em nossos clientes é o entendimento de que se trata exclusivamente de uma demanda jurídica ou apenas tecnológica.

Para o sucesso da LGPD, entretanto, é necessário um grupo multidisciplinar abrangendo as áreas de proteção de dados e segurança da informação. Esse grupo deverá seguir uma jornada com etapas bem definidas, para que as atividades necessárias sejam realizadas por profissionais multidisciplinares e no tempo correto, apoiando cada etapa com a expertise exigida, garantindo, assim, a implementação da LGPD no prazo determinado e com a qualidade demandada pela Lei.

Esta jornada compreende cinco grandes fases, que contemplam:

Criação do escritório de privacidade

  • Definição e treinamento do encarregado de dados
  • Criação de políticas de proteção de dados e privacidade
  • Definição do fluxo para tratamento de dados
  • Definição da estratégia para início das atividades

Mapeamento de dados

  • Mapear dados estruturados
  • Mapear dados não estruturados
  • Catalogar os dados e definir o ciclo de vida dentro dos processos de negócio e nos assets de software

Análise de impacto no tratamento de dados

  • Criar o relatório de impacto de tratamento de dados utilizando a linhagem de dados
  • Definir a hipótese legal de tratamento de dados

Definições tecnológicas para o tratamento de dados

  • Determinar as tecnologias e tratamento necessários para garantir a privacidade de dados dentro dos processos de negócio de acordo com o relatório de impacto de tratamento de dados

Monitoração e operação da privacidade

  • Garantir o atendimento aos titulares de dados e a Autoridade Nacional de Proteção de Dados
  • Monitorar a privacidade dentro dos processos e sistemas da empresa.

Esta jornada requer tempo, pessoas especializadas e engajadas para obtermos o sucesso necessário em adequar as empresas dentro do tempo e requisitos da Lei. Com resta menos de um ano (a LGPD entra em vigor em agosto de 2020), é preciso iniciar o processo o quanto antes.

Wiliam Faria é head de Privacidade de Dados e Data Proctetion Officer da GFT