Símbolo do Jus.com.br Jus.com.br

Lei geral de proteção de dados 13.709/18 (LGPD) está em vigor, e determina que as empresas realizem a adequação.

A Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709/2018) está em vigor para proteger os direitos fundamentais de liberdade e de privacidade e a livre formação da personalidade de cada indivíduo.

Agenda 30/10/2020 às 08:58

Outro ponto para se observar é que os próprios titulares já são capazes de realizar um papel de fiscalizadores de seus dados, pois eles já podem exigir que seus direitos sejam atendidos perante a lei.

A Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709/2018) está em vigor para proteger os direitos fundamentais de liberdade e de privacidade e a livre formação da personalidade de cada indivíduo. Essa Lei versa sobre o tratamento de dados pessoais, dispostos em meio físico ou digital, feito por pessoa física ou jurídica de direito público ou privado e engloba um amplo conjunto de operações efetuadas em meios manuais ou digitais.

A LGPD estabeleceu uma estrutura legal que empodera os titulares de dados pessoais, fornecendo-lhes direitos a serem exercidos perante os controladores de dados. Esses direitos devem ser garantidos durante toda a existência do tratamento dos dados pessoais do titular realizado pelo órgão ou entidade. Muitas organizações captam os dados dos consumidores com a intenção de obter informações confiáveis para desenvolver estratégias e tomar decisões assertivas para a empresa. No entanto, podem representar risco para os clientes se não forem devidamente protegidas. Com isso, a nova lei assegura que cada empresa priorize três princípios de segurança:

Confiabilidade: Ao respeitar a medidas de proteção e prevenção que devem ser implementadas para garantir que as pessoas não sejam expostas a riscos;

Integridade: Garantindo a qualidade dos dados que devem estar corretos e atualizados;

Disponibilidade: Ao determinar que as informações deverão estar sempre disponíveis para acesso livre, a qualquer momento.

Contudo, a LGPD orienta que as empresas eliminem esses dados de sua base, garantindo, assim, que haja proteção para os titulares. Caso seja necessário usar informações para outros fins, as instituições devem apresentar um motivo legítimo, específico e claro para o uso das informações de cada usuário, bem como documentar isso em relatórios. Para as empresas, a vigência da LGPD significa se adequar a uma série de novas regras, mas também cria mais segurança jurídica, simplificando o entendimento de algo complexo.

Quanto ao cidadão

A LGPD não define obrigações para cidadãos, as pessoas devem ficar atentas e observarem a lei na prática. É importante verificar os termos de uso dos serviços para não ficarmos sujeito a abusos. É importante que as pessoas se apropriem dessas regras e busquem reparações caso entendam que há violação de direitos, para que a lei funcione as pessoas precisam cuidar de seus dados pessoais, além de solicitar e fiscalizar que as empresas cumpram suas obrigações.

Fundamentos da LGPD

A disciplina da proteção de dados pessoais tem como fundamentos:

Quais são as exigências práticas da Lei Geral de Proteção de Dados no setor privado?

Gerenciar dados com máxima atenção! A empresa tem que ter definitivamente, um cuidado maior no tratamento de dados pessoais. Isso exigirá um treinamento de pessoal em novos processos e nos novos mecanismos de segurança que devem ser implantados.

As empresas precisam se adequar para darmos o direito de acesso aos dados pessoais do titular do direito, mediante um pedido simples, e que seja facilitado sem dificultar o acesso e entregar a seus titulares, sem isso não estará atendendo a lei de proteção de dados, e pode responder pelos danos causados.

Direito dos titulares dos dados

O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:

Ampliar mecanismos de segurança de dados

A LGPD exige que esse cuidado seja maior a fim de evitar vazamentos de informações e exposição de dados pessoais. E com punições severas previstas para quem negligenciar a proteção de dados, é melhor ter tudo sob controle para evitar que sua empresa pague multas de alto valor. Ter um setor para cuidar de assuntos referentes à lei e serão muitas das providências que o controlador de dados deverá tomar a partir do momento em que começar a se adequar à LGPD.

Eles estão relacionados, principalmente, a segurança e proteção de dados. Além disso, sempre que a empresa tiver que fazer comprovações de que está seguindo as exigências da lei, deverá ter cada processo interno devidamente documentado com especificações técnicas.

Usar tecnologia para elaborar novos processos

Com novas atribuições, nova equipe e novas normas de segurança da informação e proteção de dados, é determinante que aquele que controla os dados elabore novos processos de gestão e governança e que zele pelo correto tratamento previsto pela LGPD. O emprego da tecnologia para esses fins será um desafio imposto pela norma.

Assine a nossa newsletter! Seja o primeiro a receber nossas novidades exclusivas e recentes diretamente em sua caixa de entrada.
Publique seus artigos

Dados pessoais x dados sensíveis

De acordo com a lei nº 12.527/11 LAI (lei de acesso a informacao), informação pessoal é aquela relacionada à pessoa natural identificada ou identificável. Entende-se por pessoa natural a pessoa física, ou seja, o indivíduo. Segundo o art. 31 a LAI, não é toda e qualquer informação pessoal que goza de um regime específico de proteção. Apenas aquela com potencial de vulnerar os direitos de personalidade, tais como definidos no art. X da Constituição Federal, estaria sob uma proteção especial.

No núcleo desse conjunto de dados, estaria o que se denominou, com amparo na doutrina existente, a informação pessoal sensível. Ou seja, aquela informação que viola o direito de autodeterminação da imagem ou que possa levar a que terceiros adotem ações discriminatórias contra o titular daquele dado. A existência de gradações desta natureza mostrou-se bastante importante ao longo dos últimos anos, pois passou a indicar limites à mitigação da expectativa de privacidade no caso em que os titulares dos dados eram os próprios agentes públicos.

A LGPD manteve o conceito de dado pessoal trazido pela LAI, e evoluiu sobre o conceito de informação sensível: “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.

Diferentemente da LAI, no entanto, os direitos e salvaguardas sobre dados pessoais da LGPD incidem sobre todos os tipos de dados pessoais, observadas as legislações existentes, inclusive os regimes existentes de transparência e acesso à informação. Ou seja, a tutela da lei se estende não mais apenas aos dados pessoais sensíveis ou diretamente relacionados aos direitos de personalidade, mas, em maior ou menor medida, a todos os dados pessoais.

Normas

As normas determinam que o uso de dados deverá obedecer à vontade de seus donos, a partir do consentimento deles. Portanto se eles quiserem cancelar, excluir ou alterar suas informações da base, devem ter livre acesso. Afinal, com os dados em suas bases, a empresa torna-se a principal responsável por protegê-los com medidas de segurança reforçadas. No entanto, caso algum incidente ocorra, a companhia terá que comunicar aos órgãos protetores e aos clientes, sempre com clareza. Existe também o cuidado com dados de crianças e adolescentes, bem como transferências internacionais das informações. É necessário que haja comunicação e consentimento dos pais ou responsáveis.

Agentes de tratamento de dados na LGPD

O Controlador

É definido pela Lei como a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. No âmbito da Administração Pública, o Controlador será a pessoa jurídica do órgão ou entidade pública sujeita à Lei, representada pela autoridade imbuída de adotar as decisões acerca do tratamento de tais dados.

O Operador

É a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador, aí incluídos agentes públicos no sentido amplo que exerçam tal função, bem como pessoas jurídicas diversas daquela representada pelo Controlador, que exerçam atividade de tratamento no âmbito de contrato ou instrumento congênere.

O Encarregado da proteção de dados

Conhecido como DPO (Data protection officer), será a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

Tratamento de dados

É qualquer atividade que utilize um dado pessoal na execução da sua operação, como, por exemplo: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. É importante identificar quais ativos organizacionais estão envolvidos em cada fase do ciclo de vida do tratamento dos dados pessoais.

Hipóteses tratamento de dados

A LGPD estabelece também, que o tratamento de dados pessoais deve observar a boa-fé e seus princípios fundamentais como a finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização. As fases do ciclo de tratamento implicam em coleta, retenção, processamento, compartilhamento e eliminação.

Exceções a aplicação da lei

Ademais, é importante esclarecer que, por taxativa previsão da LGPD as disposições da lei não são aplicadas ao tratamento de dados pessoais nas seguintes situações:

Em conformidade com a proteção de dados

A adaptação à LGPD requer organização imediata no gerenciamento de informações. Para isso, é importante que os gestores façam um mapeamento dos processos para saber quais são as principais operações e quantos dados serão necessários para cada uma, de maneira definida e específica. Dessa forma, deve-se gerenciar as informações e controlar o ciclo delas nas bases internas.

A empresa deve implantar um gerenciamento inteligente que garanta a disponibilidade desses dados a qualquer momento. Com esse conhecimento sistematizado, é possível reduzir a coleta de dados ao mínimo necessário, como recomendado pela lei. Mesmo assim, o usuário, titular dos direitos, deve ser capaz de controlar o uso de seus dados.

Outros pontos prescritos pela lei é o Privacy by Design, ou seja, as empresas devem priorizar a privacidade em todas as etapas da concepção de um produto ou sistema, ou seja, do início ao fim. Com isso, a lei determina a criação de um comitê de segurança nas empresas, no qual haverá um profissional especializado em privacidade e em adotar políticas de proteção. Assim, ele terá habilidades e conhecimentos jurídicos para dominar a segurança da informação.

Da responsabilidade

Antes de iniciar alguma espécie de tratamento de dados pessoais, o agente deve se certificar previamente que a finalidade da operação esteja registrada de forma clara e explícita e os propósitos especificados e informados ao titular dos dados, pois respondem de forma solidária todos os envolvidos no tratamento de dados que violem a LGPD.

A LGPD é expressa em responsabilizar aquele que em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, obrigando a repará-lo. Inclusive, existe previsão de sanções administrativas como multas diárias ou multas simples, sendo estas limitadas a cinquenta milhões de reais.

Certo é que, as sanções previstas na LGPD não substituem a aplicação de sanções administrativas, civis ou penais, sendo que, em matéria de criminalidade, visa-se a segurança a ser dada ao tratamento de dados, como sigilo, confidencialidade e boas práticas. Não se pode ignorar que a criminalidade digital tem aumentado de maneira considerável, e com a obrigatoriedade de adequação deve-se utilizar da prevenção como a maneira mais eficaz de evitar desgastes para o administrador, de forma que são necessárias uma visão técnica e uma assessoria especializada sobre o tema. A LGPD não faz referência expressa a investigações ou repressão de infrações penais. A LGPD não cria tipos penais novos, mas servirá de valoração para a conduta dos administradores frente aos acontecimentos que envolvam proteção de dados.

Mudança na postura das empresas e dos cidadãos

O que pode ser observado é uma mudança cultural, principalmente sobre o comportamento esperado dos administradores (e seus prepostos e colaboradores) em relação aos dados pessoais de quem possuem acesso e tratamento, que prontamente exige de forma criteriosa educação e harmonização dos interesses dos envolvidos.

Agora é um momento crucial para as empresas se adequarem, pois, embora a autoridade nacional de proteção de dados (ANDP) ainda não esteja de fato criada, tivemos avanços através do decreto presidencial nº 10.474/2020 determinando sua estruturação. E mais, órgãos como PROCON e ministério público já podem realizar autuações com base na lei, mesmo que as sanções administrativas fiquem para agosto de 2021.

Outro ponto para se observar é que os próprios titulares já são capazes de realizar um papel de fiscalizadores de seus dados, pois eles já podem exigir que seus direitos sejam atendidos perante a lei. Começamos a construir um terreno onde o paradigma de terra sem lei será extinto. A propósito, a pergunta recorrente é, qual empresa deve se adequar? A resposta? Todas.

Jorge Alexandre Fagundes

https://linktr.ee/JorgeAlexandreFagundes

Sobre o autor
Jorge Alexandre Fagundes

Mestre em Negócios Internacionais pela Universidade de Ciência e Tecnologia de Miami - EUA, Advogado e Especialista em Direito Empresarial, Membro do Comitê Jurídico da ANPPD – Associação Nacional de Profissionais de Proteção de Dados; Membro da ANADD - Associação Nacional dos Advogados de Direito Digital Membro do Dtec – Estudos de Direito Digital e Proteção de Dados da Universidade Federal de Minas Gerais UFMG; CEO da Empresa Security LGPD ltda. Information Security Officer (ISO) and Data protection Officer (DPO) EXIN - Specialist LGPD - GDPR - ISO 27001/27002/27701

Informações sobre o texto

Este texto foi publicado diretamente pelos autores. Sua divulgação não depende de prévia aprovação pelo conselho editorial do site. Quando selecionados, os textos são divulgados na Revista Jus Navigandi

Publique seus artigos Compartilhe conhecimento e ganhe reconhecimento. É fácil e rápido!