Os dados pessoais ganharam grande importância na economia moderna, uma vez que permitem fazer predições, analisar perfis de consumo, opinião, entre outras atividades.

A Lei nº 13.709, de 14 de agosto de 2018, mais conhecida como LGPD (Lei Geral de Proteção de Dados Pessoais), regulamentará qualquer atividade que envolva utilização de dados pessoais com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade da pessoa natural.

 

Quem precisa se adequar à LGPD?

A LGDP é uma lei que se aplica a qualquer pessoa, física ou jurídica (pública ou privada) que faça o tratamento de dados pessoais, inclusive aqueles coletados antes do início da obrigatoriedade.

NÃO é somente empresas, profissionais liberais e todos que de alguma forma lidam com dados pessoais de terceiros, como exemplo aqueles que comercializam produtos e serviços de forma online, pagamentos digitais, cursos, entre outros, devem se adequar.

 

Nomenclaturas importante que você deve saber:

  • Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
  • Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
  • Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
  • Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
  • Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
  • Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
  • Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
  • Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD); (Redação dada pela Lei nº 13.853, de 2019)Vigência
  • Agentes de tratamento: o controlador e o operador;
  • Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
  • Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
  • Autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.  

 

Agentes de tratamento? Quem são? Para que serve?

A LGPD define e institui alguns cargos e papéis no que se refere ao tratamento dos dados pessoais, portanto todas as empresas terão que se ajustar e definir quem, em suas estruturas organizacionais, assumirá cada uma das funções trazidas pela lei.

OS cargos que devem ser instituídos são:

  • Controlador – pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
  • Operador – pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
  • Encarregado ou “DPO” (Data Protection Officer) – responsável pela proteção desses dados, bem como por orientar os membros da organização quanto às práticas que estão de acordo com a proteção e o tratamento dos dados coletados, além de prestar esclarecimentos aos titulares de dados e tomar as providências que sejam necessárias, através de um canal de comunicação direto entre os titulares dos dados pessoais e o “DPO”

Caso exista o descumprimento ou ato contrário a LGPD, tanto o operador como o controlador respondem de forma solidaria com a empresa para quem atuam sobre o incidente de dados pessoais.

 

Alguns princípios que todos devemos saber sobre a LGPD

A LGPD nos traz dez princípios aos quais devemos seguir quando falamos de proteção de dados pessoais, conforme dispõe o artigo 6º. Vejamos abaixo alguns deles.

 

FINALIDADE:

O tratamento precisa ter um resultado único, específico e legítimo que deve ser alcançado com tal tratamento;

NECESSIDADE:

Devem ser tratados apenas os dados pessoais necessários para aquela finalidade descrita, dispensando-se os excessivos ou desnecessários;

SEGURANÇA:

Os agentes de tratamento deverão sempre buscar utilizar medidas técnicas e administrativas para proteger os dados pessoais de acessos não autorizados e de incidentes que levem à quebra da integridade dos dados (perda, alteração, difusão, etc.)

TRANSPARÊNCIA:

Deve-se garantir sempre informações claras, precisas e acessíveis aos titulares com relação ao tratamento de seus dados pessoais, inclusive sobre os agentes de tratamento;

PREVENÇÃO:

Os agentes de tratamento devem adotar medidas preventivas contra a ocorrência de incidentes sobre os dados pessoais;

NÃO DISCRIMINAÇÃO:

É vedado tratar os dados para fins discriminatórios ilícitos ou abusivos;

 

BASES LEGAIS PARA O TRATAMENTO DE DADOS

A lei traz 10 bases legais para justificar o tratamento dos dados pessoais. Vejamos quais se aplicam as empresas em geral:

CONSENTIMENTO PELO TITULAR – para que exista é necessário que seja fornecido por escrito ou por outro meio que demonstre a manifestação inequívoca da vontade do titular;

CUMPRIMENTO DE OBRIGAÇÃO LEGAL OU REGULATÓRIA PELO CONTROLADOR – Não depende de consentimento do titular, aplica-se aos casos em quem a obrigação da coleta de dados decorre de lei. Exemplo: Quando uma empresa transmiti os dados de seus empregados à Secretaria Especial do Ministério da Economia (antigo Ministério do Trabalho), a fim de cumprir com a entrega da Relação Anual de Informações Sociais (Rais);

EXECUÇÃO DE CONTRATO – Essa base legal autoriza o tratamento de dados pessoais para execução de um contrato ou de procedimentos preliminares relacionadas a um contrato que o titular dos dados figurará como integrante.

EXERCÍCIO REGULAR DE DIREITOS EM PROCESSO JUDICIAL, ARBITRAL OU ADMINISTRATIVO – o tratamento de dados no curso do processo é base legal para a produção de provas e uso para o devido processo legal.

LEGÍTIMO INTERESSE – Para que se possa utilizar esta base legal como autorizadora para o tratamento de dados é necessário identificar um interesse inequivocamente legítimo, demonstrar que o tratamento de dados é necessário para se atingir tal objetivo e tomar o devido cuidado para não violar nenhum dispositivo legal ou nenhum direito do titular daqueles dados.

Lembrando que para cada finalidade, o tratamento de dados deve estar justificado em uma das bases legais previstas no art. 7º da LGPD.

 

INCIDENTE DE SEGURANÇA

Caso ocorra algum incidente de segurança que acarrete risco ou dano relevante aos titulares, caberá à empresa:

  • Informar a descrição da natureza dos dados pessoais afetados;
  • Relatar as informações sobre os titulares envolvidos;
  • Indicar as medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
  • Informar os riscos relacionados ao incidente;
  • Informar os motivos da demora, no caso de a comunicação não ter sido imediata;
  • Informar as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

 

QUEM IRÁ FISCALIZAR?

A lei prevê a criação da AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD) autarquia ligada ao Ministério da Justiça que deverá fiscalizar e garantir a aplicação da lei.

Suas funções serão de natureza normativo-interpretativa, fiscalizatória e integrativa e com competência para:

  • Editar normas e procedimento sobre a proteção de dados pessoais;
  • Requisitar informações, a qualquer momento, aos controladores e operadores de dados pessoais que realizem operações de tratamento de dados pessoais;
  • Fiscalizar e aplicar sanções na hipótese de tratamento de dados em descumprimento com a legislação mediante processo administrativo que assegure o contraditório e ampla defesa;
  • Promover ações de cooperação com autoridades de proteção de dados pessoais de outros países;
  • Editar normas e procedimentos diferenciados de modo a facilitar a adequação à LGPD para as empresas de pequeno porte e microempresas.

 

COMO SERÃO PROCESSADAS E QUAIS SERÃO AS SANÇÕES?

As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa. Tendo em vista as infrações terem graus variados de gravidade, cada uma será analisada observando as seguintes peculiaridades:

  • gravidade e a natureza das infrações e dos direitos pessoais afetados;
  • boa-fé do infrator;
  • vantagem auferida ou pretendida pelo infrator;
  • condição econômica do infrator;
  • reincidência;
  • grau do dano;
  • cooperação do infrator;
  • adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com a lei;
  • adoção de política de boas práticas e governança;
  • pronta adoção de medidas corretivas; e
  • proporcionalidade entre a gravidade da falta e a intensidade da sanção.

As sanções aplicáveis para as infrações cometidas podem variar de acordo com a gravidade, conforme falamos anteriormente, vejamos quais são:

  • Advertência, com indicação de prazo para adoção de medidas corretivas;
  • Multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
  • Multa diária, observado o limite total a que se refere ao indicado acima;
  • Publicização da infração após devidamente apurada e confirmada a sua ocorrência.
  • bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
  • eliminação dos dados pessoais a que se refere a infração;
  • suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
  • suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
  • proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

 

PRIMEIROS PASSOS PARA IMPLANTAR A LGPD

  • Mapear a entrada e o tratamento dos dados pessoais
  • Mapear os riscos do tratamento
  • Criar a política de proteção de dados e adaptar os documentos internos e externos
  • Treinamento das equipes que tratam dados pessoais
  • Designar um responsável pelo cumprimento da LGPD na sua empresa (DPO);

Quer saber mais como se adequar? Conta-te nos, temos um time especializado para te ajudar nessa adequação.