Até 20 de agosto de 2020, as empresas brasileiras terão que estar prontas para atender às exigências da Lei Geral de Proteção de Dados Pessoais (13.709/18), sancionada em agosto de 2018. Com reflexos diretos nas relações comerciais entre consumidores e fornecedores, as novas regras determinam que o tratamento de informações relacionadas à identificação de uma pessoa – incluindo coleta, acesso, utilização, armazenamento e eliminação – só poderá ocorrer com o seu consentimento e para uma finalidade definida. Não terão validade autorizações genéricas.
As empresas também precisarão de uma permissão específica do titular dos dados para compartilhá-los com terceiros, como é comum ocorrer, por exemplo, entre montadoras e concessionárias. Um novo consentimento será necessário, ainda, se houver modificação na finalidade do tratamento. Caberá ao controlador das informações provar que a concordância foi obtida conforme a lei. Além disso, no momento em que a pessoa desejar, poderá solicitar a revogação da autorização.
Outra exigência da nova legislação é a garantia do livre acesso do titular aos seus dados, a qualquer momento, gratuitamente, incluindo informações sobre a forma e a duração do tratamento e os agentes envolvidos no processo. Como responsáveis pela proteção dos dados, as empresas terão que contar com uma política de segurança cibernética e medidas para impedir acessos não autorizados e vazamentos. E deverão nomear um encarregado pelo tratamento, que orientará os demais colaboradores e prestará esclarecimentos aos titulares dos dados e aos órgãos fiscalizadores.
Fiscalização
A implementação e fiscalização das normas será de responsabilidade da Autoridade Nacional de Proteção de Dados (ANPD), criada em 28 de dezembro de 2018, por meio da última Medida Provisória do governo de Michel Temer. A MP também ampliou de fevereiro de 2020 para 20 de agosto do mesmo ano o prazo para as empresas atenderem às regras. As penalidades pelo descumprimento da Lei incluem multa que pode chegar a 2% do faturamento do grupo empresarial no Brasil.
Editar regras e procedimentos sobre proteção de dados pessoais, deliberar sobre a interpretação da nova legislação, requisitar informações aos controladores e operadores, implementar mecanismos simplificados para o registro de reclamações, fiscalizar e aplicar sanções estão entre as atribuições da ANPD. Caberá também ao órgão incentivar a adoção de padrões para serviços e produtos, que facilitem o controle dos titulares sobre seus dados, além de promover ações de cooperação com autoridades internacionais ou transnacionais e realizar consultas públicas.
Constituída como um órgão da administração pública federal, a ANPD é vinculada à Casa Civil da Presidência da República e possui autonomia técnica. Seu comando está a cargo de um Conselho Diretor, formado por cinco diretores nomeados pelo Presidente da República, com mandatos de quatro anos. Sua estrutura organizacional conta ainda com o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, formado por 23 membros, representando o poder executivo federal, Senado, Câmara dos Deputados, Conselho Nacional de Justiça, Conselho Nacional do Ministério Público, Comitê Gestor da Internet, instituições científicas e entidades da sociedade civil e do setor empresarial relacionado a dados pessoais.
ABRADIC busca orientação jurídica
Para contribuir com a Rede e a montadora para o correto entendimento e a implantação da Lei Geral de Proteção de Dados Pessoais, a ABRADIC solicitou orientação ao escritório Opice Blum, especializado em direito digital. O objetivo é analisar os impactos da legislação sobre os procedimentos diários das Concessionárias e da FCA na gestão das informações dos clientes e, posteriormente, definir ações.
