hamburger

Inspirado pelo GDPR aqui está como a nova lei de privacidade de dados do Brasil funcionará

Novidades

Qual é a nova lei de privacidade de dados do Brasil e o que as empresas que fazem negócios no Brasil precisam saber sobre ela?

Quando o GDPR entrou em vigor em 2018, outras regiões tomaram conhecimento, ansiosas para ver como funcionaria na prática e se poderia ser replicado em seus países.

No mês passado, a Lei Geral de Proteção de Dados, ou LGPD, entrou em vigor. O regulamento estabelece uma estrutura de como os dados são coletados, armazenados e compartilhados e consolida cerca de 40 regras diferentes sob o mesmo tema.

O sistema anterior carecia de regras claras, o que prejudicava a competitividade do Brasil. O LGPD visa fornecer essa certeza e os benefícios econômicos que advirão de sua implantação.

Aprovada em 2018, a lei segue algumas regras do GDPR e deu às empresas e ao poder público dois anos para colocarem suas casas em ordem.

Ele introduz restrições à coleta e uso de dados privados sem consentimento, bem como qualquer uso discriminatório de dados.

LGPD afirma vários direitos para o indivíduo, como o direito de acessar os dados mantidos sobre ele, corrigir ou excluir dados e revogar consentimento. A lei também prevê a portabilidade de dados, em que uma pessoa pode solicitar a transferência de dados de um provedor de serviços para outro.

Embora a lei crie uma base jurídica mais clara para as empresas operarem, ela também traz uma série de novas responsabilidades em torno da conformidade e do potencial de multas, de acordo com Gil Mildar, diretor de novos negócios da Zoomd para a América Latina, uma empresa de tecnologia de marketing online.

“A nova legislação brasileira exige uma abordagem estratégica no tratamento de dados pessoais, o que representa, por outro lado, uma grande oportunidade para empresas sérias que desejam conquistar a confiança dos consumidores”, afirma Mildar.

“As organizações podem alavancar com as novas regulamentações para obter vantagem competitiva no uso desses dados, com o planejamento correto e a aplicação de boas práticas de privacidade.”

“Compliance” e diferenças
Odia Kagan, sócia e responsável pela área de “Compliance” e privacidade internacional do GDPR no escritório de advocacia Fox Rothschild, diz que as empresas que implementaram os padrões do GDPR em suas operações globais são “uma boa parte do caminho para a conformidade” com o LGPD.

O regime europeu tornou-se uma “referência” para outras leis, mas isso não significa que se trata simplesmente de copiar e colar.

Existem seis bases jurídicas no GDPR que permitem o processamento de dados. Muitos deles se sobrepõem ao LGPD, mas a lei brasileira tem 10 bases no total que fornecem algumas instruções mais específicas. Uma diferença importante é que a lei estipula especificamente a proteção dos dados de pontuação de crédito.

Além disso, existem desvios sobre como lidar com solicitações de dados por indivíduos, o que também pode apresentar desafios.

“LGPD não tem um requisito para autenticar solicitações de indivíduos, mas para ajudar a uma solicitação feita por um indivíduo, você precisa ter certeza de que é a pessoa certa”, explica Kagan.

Sem diretrizes se deixa as empresas para determinar se a pessoa que faz a solicitação de dados é quem diz ser de forma individual.

Outra diferença importante é o período para alertar as autoridades sobre uma violação ou um incidente. De acordo com o GDPR, as empresas devem alertar as autoridades em até 72 horas. A LGPD, por outro lado, não é tão específica assim, apenas sugerindo um “período razoável”. Isso pode deixar as coisas abertas à interpretação.

“As empresas estão lidando com um alto nível de incerteza em torno do escopo de trabalho esperado”, disse Steve Walden, vice-presidente sênior de desenvolvimento de negócios da empresa de inteligência de dados Collibra.

“No caso da LGPD, um grande número de decisões dependerá fortemente da Autoridade de Proteção de Dados (ANPD), que só recentemente foi criada e enfrenta dúvidas de diversos setores sobre como melhor abordar os detalhes de “compliance”, afirma.

Embora a lei tenha dado às empresas e organizações uma janela de dois anos para se prepararem, Walden diz que ainda espera que haja alguma confusão e falta de comunicação pela frente.

“Esse ‘tempo razoável’ é certamente algo que está criando uma lacuna por enquanto. Do meu ponto de vista, a sugestão mais adequada é estar bem alinhado com o que aprendemos com o GDPR, onde esse tempo razoável é definido como 72 horas. Não tem que ser necessariamente o mesmo caso aqui, mas levaria horas ou dias do que meses para relatar uma violação de dados.”
Multas

Quando o GDPR entrou em vigor, os apoiadores defenderam seu bom regime como um grande impedimento para evitar a má gestão de dados. Exceto pela multa de €50 milhões de Euros do Google na França, não houve tantas multas gigantescas contra grandes empresas de tecnologia como muitos esperavam.

Da mesma forma, no Brasil, existe agora um bom sistema que é mais difícil do que antes, mas as somas potenciais não são tão altas quanto o GDPR. As empresas podem ser multadas, por infração, em até 2% do faturamento, com teto de R $50 milhões de reais, que atualmente gira em torno de €7,5 milhões de Euros. Isso é visivelmente inferior à €20 milhões de Euros ou até 4% da receita permitida pelo GDPR.

LGPD terá um impacto fora das fronteiras do Brasil também. Qualquer empresa que faça negócios no Brasil e lide com dados sobre brasileiros será responsabilizada.

“Aplica-se a empresas independentemente do país em que estejam sediadas ou localizadas. Aplica-se basicamente a empresas onde os dados são coletados ou processados no Brasil”, diz Kagan.

“Se você é um provedor de comércio eletrônico e está prestando serviços para pessoas no Brasil, mesmo que esteja fora, isso pode se aplicar a você.”

Ainda é cedo para determinar se a LGPD terá o efeito transformador prometido, mas de acordo com Kagan, é mais um passo firme em direção a padrões globais coesos de proteção de dados.

O GDPR se tornou um padrão no qual as regulamentações em outras jurisdições são medidas e implementadas, ela acrescenta.

Isso pode ser visto na aprovação e implementação da Lei de Privacidade do Consumidor da Califórnia, mas também nos acordos de adequação firmados entre a UE e outras países.

Para fazer negócios com a UE quando se trata de transferência de dados, a UE exige um acordo de adequação, o que efetivamente afirma que a regulamentação equivalente de um país terceiro é de alto padrão. Tais decisões foram tomadas com Canadá, Nova Zelândia e Japão, para citar alguns, mas na América do Sul, apenas Argentina e Uruguai têm decisões de adequação até agora.

“LGPD é outra prova do fato de que o GDPR é uma referência forte”, diz Kagan. “Se você usar o GDPR como referência, embora não seja idêntico e haja trabalho a ser feito localmente, os princípios básicos são compartilhados, o que significa que se você tem uma base GDPR para sua estrutura de privacidade, isso é uma parte muito grande do caminho para a conformidade.”

Want to know more?
Fale Conosco
compartilhar