LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS

Introdução

A Lei Geral de Proteção de Dados Pessoais (LGPD) foi publicada em agosto de 2018 e sua vigência teve início em agosto de 2020, sendo que as sanções relativas ao seu descumprimento começaram a ser aplicadas a partir de agosto de 2021. Essa nova normativa dispõe sobre o tratamento de dados pessoais, sejam eles tratados por meios físicos ou digitais, por pessoa natural ou por pessoa jurídica, pública ou privada.

Mas qual a importância das empresas se adequarem a LGPD? A partir da vigência da lei, todos os negócios e organizações deverão atender suas exigências, que preveem a aplicação de penalidades para aqueles que deixarem de cumpri-la.

É imprescindível que todas as empresas que fazem o tratamento de dados pessoais adotem uma série de medidas para garantir o cumprimento da nova legislação.

No cenário global, aquelas empresas que aderiram boas práticas e inseriram políticas de segurança de dados pessoais, são vistas perante a sociedade mundial com maior credibilidade, se colocando em um patamar diferenciado, além de evitar futuros problemas relacionados aos riscos gerados pela não observância a essa regulamentação, evidenciando assim a necessidade de adequação.

1. O que é a Lei Geral de Proteção de Dados Pessoais (LGPD)?

É a lei que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

2. Entenda alguns dos principais termos utilizados pela LGPD e seus conceitos

Para uma melhor compreensão da cartilha, é importante entender algumas definições estabelecidas pela LGPD:

Dados Pessoais: São informações relacionadas à pessoa natural identificada ou identificável.

Dados Pessoais Sensíveis: São dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

Dados Anonimizados: São dados relativos ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

Titular: É a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

Tratamento de Dados: É toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

Controlador: É a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

Operador: É a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

3. Princípios gerais para o tratamento de dados pessoais

A Lei define que as atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

ADEQUAÇÃO: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento.

FINALIDADE: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem tratamento posterior.

LIVRE ACESSO: garantia aos titulares de consulta facilitada e gratuita sobre a forma e a duração do tratamento.

NÃO DISCRIMINAÇÃO: impossibilidade de realização do tratamento de dados pessoais para fins discriminatórios, ilícitos ou abusivos.

NECESSIDADE: limitação do tratamento ao necessário para a realização de suas finalidades.

PREVENÇÃO: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.

QUALIDADE DOS DADOS: garantia aos titulares de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.

RESPONSABILIZAÇÃO E PRESTAÇÃO DE CONTAS: demonstração pelo agente da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e da eficácia dessas medidas.

Fique sempre informado com o Jus! Receba gratuitamente as atualizações jurídicas em sua caixa de entrada. Inscreva-se agora e não perca as novidades diárias essenciais!

Inscrever

Os boletins são gratuitos. Não enviamos spam. Privacidade

SEGURANÇA: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

TRANSPARÊNCIA: garantia aos titulares de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os agentes de tratamento, observados os segredos comercial e industrial.

4.Requisitos para o Tratamento de Dados

O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

• Mediante consentimento do titular;

• Para cumprimento de obrigação legal ou regulatória do controlador;

• Para execução de políticas públicas pela administração pública;

• Para realização de estudos por órgãos de pesquisa;

• Quando necessário para execução de contrato ou procedimentos preliminares a um contrato do qual seja parte o titular, a pedido do titular;

• Para o exercício regular de direitos em processos judiciais, administrativos ou arbitrais;

• Para proteção da vida ou da incolumidade física do titular ou de terceiro;

• Para tutela da saúde, com procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;

• Quando necessário para atender aos interesses legítimos do controlador ou de terceiros, salvo quando prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção de seus dados pessoais; 

• Para proteção do crédito;

5. Tratamento de dados pessoais sensíveis

O tratamento de dados pessoais sensíveis deverá ter o consentimento do titular ou responsável legal de forma específica ou destacada para finalidades específicas.

Entretanto, poderá ser tratado sem o consentimento quando for indispensável para:

1. Cumprimento de obrigação legal ou regulatória pelo controlador;
2. Tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
3. Realização de estudos por órgão de pesquisa, garantida;
4. Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;
5. Proteção da vida ou da incolumidade física do titular ou de terceiro;
6. Tutela da saúde;
7. Garantia da prevenção à fraude e à segurança do titular;

Poderá ser objeto de vedação ou regulamentação pela ANPD, a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nos casos de portabilidade de dados, quando consentido pelo titular.

6. Tratamento de dados pessoais de crianças e adolescentes

O tratamento de dados pessoais de crianças e adolescentes deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou responsável legal do menor.

7. Término do tratamento de dados pessoais

O término deverá ocorrer nas seguintes hipóteses:

• Quando a finalidade foi alcançada ou os dados deixem de ser necessários ou pertinentes ao alcance da finalidade específica;
• No fim do período de tratamento;
• Quando o consentimento for revogado pelo titular do dado;
• Por determinação da autoridade nacional, quando houver violação ao disposto na Lei;

7. Eliminação dos dados

Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:

• Cumprimento de obrigação legal ou regulatória;
• Uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados;
• Estudo por órgão de pesquisa;
• Transferência a terceiro;

8. Agentes de tratamento

A empresa terá a responsabilidade de designar responsáveis pelo tratamento de dados pessoais, os quais devem ter as seguintes funções, que devem desempenhar as seguintes responsabilidades:

Controlador: É a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

• Tratar e proteger os dados pessoais dos titulares de dados de acordo com a LGPD;

• Elaborar relatório de impacto à proteção de dados;

• Comunicar à Autoridade Nacional e ao titular a ocorrência de incidente de segurança da informação que possa acarretar risco ou dano relevante aos titulares.

Operador: É a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria.

O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.

Encarregado (DPO – Data Protection Officer): É a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

• Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

• Receber comunicações da autoridade nacional e adotar providências;

• Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;

• Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

9. Segurança e sigilo de dados

Os agentes de tratamento devem adotar medidas de segurança (desde a concepção até a execução do produto ou serviço) aptas a proteger os dados pessoais de acessos não autorizados e de eventos acidentais ou ilícitos de destruição, perda, alteração, comunicação ou difusão ou qualquer outra ocorrência decorrente de tratamento inadequado ou ilícito. Os padrões técnicos mínimos poderão ser definidos pela autoridade competente.

Os sistemas de tratamento de dados pessoais devem ser estruturados para atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais da LPD e demais normas da autoridade competente.

A inobservância do princípio da segurança pode, em caso de dano ao titular, gerar responsabilidade civil e criminal solidária entre controlador e operador e o dever de reparar os danos, sem prejuízo das sanções administrativas.

Cumpridas as finalidades para as quais foram coletados, constatado que deixaram de ser necessários, havendo revogação do consentimento ou por determinação das autoridades competentes, os dados devem ser eliminados, isto é, excluídos dos bancos de dados do controlador e do operador. Fica autorizada a conservação de dados para cumprimento de obrigação legal ou regulatória ou para uso exclusivo do controlador, vedado o acesso por terceiros e desde que anonimizados.

A empresa deverá adotar medidas de segurança, técnicas e administrativas, aptas a protegerem os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, bem como, redigir normas de governança, adotar medidas preventivas de segurança, replicar boas práticas e obter certificações existentes no mercado. Terá ainda que elaborar planos de contingência, fazer auditorias e resolver incidentes com agilidade.

10. Fiscalizações e sanções

A autoridade nacional responsável pela fiscalização, será a Autoridade Nacional de Proteção de Dados (ANPD).

As sansões administrativas previstas são, dentre outras:

1. Advertência, com indicação de prazo para adoção de medidas corretivas;
2. Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
3. Multa diária, observado o limite total a que se refere o inciso II.
4.  A publicização da infração, ocasionando dano à imagem da empresa;
5. O bloqueio no tratamento de dados, entre outras sanções a serem   definidas pela autoridade governamental da LGPD;
6. Eliminação de dados pessoais;

Vale lembrar que as penalidades não substituem a aplicação de sanções administrativas, civis ou penais previstas em legislação específica.

11. Responsabilidade e indenização de danos

A empresa será obrigada à reparação de danos causados e comprovados no exercício da atividade de tratamento de dados sempre que um incidente de segurança ocorrer e causar danos aos titulares dos dados envolvidos.

Os agentes não serão responsabilizados quando provarem não terem realizado o tratamento de dados, não terem violado a LGPD ou quando o dano for decorrente de culpa exclusiva do titular dos dados.

12. Boas práticas e governança

A implementação de um guia de boas práticas e governança de dados pessoais é altamente aconselhada e deve seguir algumas diretrizes, especificadas na própria LGPD:

• Demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
• Estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
• Tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;
• Esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;
• Conte com planos de resposta a incidentes e remediação;
• Seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;

13. Sugestões de Ações

Segue algumas sugestões recomendadas pela nossa assessoria jurídica, visando auxiliar na verificação do processo de adequação.

• Envolvimento dos executivos desde o início do plano de adequação para que a proteção de dados pessoais esteja incorporada aos valores da empresa e assim o tema ganhe o engajamento e a força necessária;

• Ações estabelecidas e um líder para o plano, identificando os principais projetos e áreas da empresa afetadas pela LGPD e eventuais legislações setoriais;

• Programa de governança em proteção de dados com a elaboração de medidas e controles para o acompanhamento da implantação de padrões que estejam em conformidade com a LGPD e legislações setoriais aplicáveis;

• Encarregado (DPO – Data Protection Officer) que responderá em nome da empresa por questões que envolvam o tratamento de dados pessoais;

• Treinamentos internos para apresentação das novas políticas de proteção de dados pessoais e disseminação da cultura empresarial sobre o tema.

• Elaboração de guia de boas práticas e governança;

• Elaboração de Política de Privacidade englobando as diretrizes da LGPD, bem como demais acordos de tratamento necessários;

• Elaboração e revisão documentos jurídicos com a realização de eventuais adendos aos contratos existentes para adequação aos padrões de proteção de dados, principalmente para aqueles que envolvam o tratamento e compartilhamento de dados pessoais;

• Garantir o exercício dos direitos dos titulares, mediamente a confirmação da implementação de medidas técnicas e organizacionais;

• Grupo de trabalho (conforme o tamanho da empresa), incluindo representantes de áreas como Recursos Humanos, Tecnologia da Informação e Jurídico;

• Reuniões com todos os setores da empresa, individualmente, para conhecer e coletar os dados que transitam por cada um;

• Manual contendo políticas de boas práticas e governança exclusivo ao tratamento de dados pessoais (será considerado em caso de imposição de alguma penalidade);

•  Método “Privacy by Default”, que significa pensar na privacidade de dados pessoais sempre que se criar um novo processo dentro da empresa;

•  Relatório de impactos que nada mais é do que a proteção de dados pessoais, documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;

14. Considerações Finais

A adequação da empresa é um projeto, necessário, formado por etapas que demandam cuidado e atenção, no qual se deve buscar profissionais capacitados e de confiança para orientarem durante todo o proceesso.