A Lei Geral de Proteção de Dados (LGPD) foi criada sob o número 13.709 no ano de 2018, porém entrou em vigor somente em 2020, e dispõe sobre o armazenamento e coleta de dados e informações pessoais de titularidade de pessoas naturais. A lei foi criada para suprir uma lacuna legislativa existente no Brasil até então.
É fácil perceber que nossas informações são disponibilizadas a terceiros em uma série de situações cotidianas. Quando se abre o crediário em uma loja, quando se abre uma conta bancária, no cadastramento em um site na internet, nas redes sociais, etc. são fornecidos dados pessoais que ficam de posse destas empresas ou sistemas. Dessa forma a Lei Geral de Proteção de Dados é de suma importância para fornecer segurança digital às pessoas.
O conjunto destes dados representa algo extremamente valioso. Imagine a quantidade de informações detidas pelo banco de dados de uma grande empresa. Justamente para que haja uma regulamentação em relação a este armazenamento de dados, e também o seu compartilhamento, foi que se criou a Lei Geral de Proteção de Dados, a LGPD.
Neste artigo falaremos um pouco mais sobre esta inovação legislativa, trazendo os pontos que merecem maior atenção, além da perspectiva do usuário e dos aspectos da atividade empresarial.
Índice do artigo:
-
Entendendo os conceitos e a aplicação da Lei Geral de Proteção de Dados
A quem se aplica a Lei Geral de Proteção de Dados?
Quais são os requisitos para tratamento de dados pessoais?
Quando o consentimento para o tratamento de dados termina?
Como é feita a fiscalização da Lei Geral de Proteção de Dados?
É possível que a violação à LGPD gere o dever de indenização por danos morais ou materiais?
A minha empresa precisa se adequar à Lei Geral de Proteção de Dados?
Como adequar minha empresa à LGPD?
Quais medidas podem ser adotadas para a adequação da empresa à LGPD?
conclusão
Entendendo os conceitos e a aplicação da Lei Geral de Proteção de Dados
Neste título traremos alguns aspectos conceituais com o objetivo de compreender um pouco mais sobre a aplicação da LGPD, para entender como é feita a sua aplicação.
A lei visa a proteção basicamente dos dados pessoais de uma pessoa, considerado como qualquer informação de uma pessoa natural identificada ou que possa permitir a sua identificação.
Ainda existe a classificação de alguns dados como sensíveis, aqueles que trazem informações de caráter mais pessoal e íntimo. Que são os que se referem à origem racial ou étnica, à crença religiosa, à opinião política, à saúde física e sexual, entre outros.
Os olhos da lei estão voltados às atividades cuja nomenclatura foi conferida pelo legislador como tratamento. Tratamento, conforme a lei, é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração, nos termos do Art. 5º, inciso X, da LGPD.
Todas estas ações acima expressas deverão ser feitas observando as determinações da LGPD, criando a necessidade de que as empresas se adaptem ao novo contexto empresarial criado.
A quem se aplica a Lei Geral de Proteção de Dados?
São inúmeras as atividades, públicas ou privadas, que dentro da sua dinâmica mantém o armazenamento de informações de outras pessoas. Vamos compreender neste título quem deve observar os preceitos criados pela LGPD, nos termos expressos em seu texto.
A aplicabilidade da LGPD atinge pessoas naturais, pessoas jurídicas de direito público e pessoas jurídicas de direito privado, bem como pelos entes federados, conforme previsto em seu Art. 1º:
Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Parágrafo único. As normas gerais contidas nesta Lei são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e Municípios.
A lei cria um amplo espectro de abrangência, incluindo praticamente todas as atividades que demandam o tratamento e armazenamento de dados e informações de outras pessoas, de nível mais amplo e formal até os menos formais.
Citemos o exemplo de um escritório de contabilidade que mantém armazenados uma série de informações dos clientes dos quais a contadoria é feita. Ou então de um comércio que mantém um sistema de cadastramento de clientes para a realização de vendas a prazo. Em ambos os casos, os preceitos da LGPD devem ser observados.
O texto legal cria as hipóteses e os caso em que não haverá aplicação da LGPD:
Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais:
I Realizado por pessoa natural para fins exclusivamente particulares e não econômicos;
II Realizado para fins exclusivamente:
a) jornalístico e artísticos; ou
b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei;
III Realizado para fins exclusivos de:
a) segurança pública;
b) defesa nacional;
c) segurança do Estado; ou
d) atividades de investigação e repressão de infrações penais; ou
IV Provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.
Uma empresa não poderá compartilhar os dados pessoais de um cliente sem que haja sua autorização, pois não se enquadra nas hipóteses excluídas pela lei. Porém, é claro que as informações detidas pela Polícia, por exemplo, poderão ser compartilhadas com outros órgãos de Segurança Pública sem que seja necessário o consentimento da pessoa a quem as informações se referem.
Quais são os requisitos para tratamento de dados pessoais?
Todos aqueles que se sujeitam à aplicação da Lei Geral de Proteção de Dados devem seguir os critérios por ela estabelecidos quando forem realizar alguma atividade relacionada ao tratamento de dados pessoais. Vejamos o que diz o texto da lei, e verifiquemos os aspectos que merecem mais destaque:
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I Mediante o fornecimento de consentimento pelo titular;
II Para o cumprimento de obrigação legal ou regulatória pelo controlador;
III Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
IV Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;
VII Para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
O primeiro requisito é o consentimento do titular das informações, que deverá ser fornecido de maneira inequívoca. Assim, quando a empresa realizar o cadastro de um cliente, por exemplo, deverá tomar por meio escrito (de preferência) o seu consentimento para que haja o armazenamento das suas informações pessoais.
O consentimento fornecido por meio escrito é muito importante. E deve-se atentar ao detalhe de que o documento deverá prever a finalidade especifica para a utilização dos dados, sendo que o consentimento genérico é considerado nulo.
Tendo a empresa armazenado os dados do cliente, jamais poderá efetuar o seu compartilhamento sem que haja o consentimento inequívoco do titular. Contudo, para fins de proteção ao crédito, as informações podem ser fornecidas ao gestor do banco de dados de negativados, como o Serasa, por exemplo.
Nas demais hipóteses previstas no dispositivo legal trazido acima, não há necessidade de que exista o consentimento do titular dos dados. O que não exime o operador de que adote todas as medidas para a proteção dos dados que a LGPD exige.
Ressaltamos a importância de ter a assessoria de um advogado especialista em Segurança Digital, para que possa ter sua segurança jurídica totalmente garantida.
Quando o consentimento para o tratamento de dados termina?
O tratamento de dados não é algo que pode se perpetuar no tempo, sendo que a LGPD criou hipóteses de término.
A primeira delas é a revogação do consentimento quando ele for necessário. O titular das informações poderá a qualquer momento revogar o consentimento para que o operador continue com o tratamento
Outra maneira de encerrar o processo de tratamento de dados é a determinação por parte de alguma autoridade nacional, nos casos em que a lei for violada.
E ainda, quando o objetivo do tratamento for alcançado, haverá o término do tratamento de dados.
Encerrado o prazo, os dados devem ser eliminados, podendo ser conservados apenas nos casos em que a LGPD permite, conforme disposto em seu Art. 16:
Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:
I Cumprimento de obrigação legal ou regulatória pelo controlador;
II Estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
III Transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou
IV Uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
A permanência do armazenamento fora dos casos em que a lei permite configura ato ilícito, passível de multa e até mesmo indenização.
Como é feita a fiscalização da Lei Geral de Proteção de Dados?
Foi criada com a LGPD a Agência Nacional de Proteção de Dados (ANPD), órgão responsável por regulamentar a lei e fiscalizar a sua aplicação.A ANPD é responsável por realizar atividades de monitoramento e fiscalização, podendo adotar medidas repressivas para garantir o cumprimento da lei. A atuação pode ser de ofício, em conjunto com outros órgãos, em programas de fiscalização ou mesmo a partir de denúncias.
Quais as sanções que podem ser aplicadas em caso de descumprimento da Lei Geral de Proteção de Dados?
O descumprimento da LGPD pode gerar ao violador sanções no âmbito administrativo, e também em alguns casos até mesmo um processo judicial de reparação de danos, ou até mesmo um processo criminal.
O Art. 52 da lei determina quais são as sanções aplicáveis:
Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
I advertência, com indicação de prazo para adoção de medidas corretivas;
II multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III multa diária, observado o limite total a que se refere o inciso II;
IV publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI eliminação dos dados pessoais a que se refere a infração;
X suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
XI suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
XII proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Podemos observar a importância de que se observe a LGPD, devido a gravidade que algumas sanções podem representar ao operador. Por isso, é recomendável que principalmente as empresas busquem o auxílio de uma assessoria jurídica especializada para que haja a implantação dos processos previsto na LGPD em sua empresa.
Como é feita a aplicação das sanções em caso de descumprimento da LGPD?
A aplicação das sanções deverá ser precedida de um procedimento administrativo, no qual seja oportunizada a ampla defesa ao infrator.
A definição de qual será a penalidade e da sua extensão levarão em conta critérios como a gravidade da infração, a condição econômica do infrator, a reincidência, a vantagem auferida ou pretendida, a extensão do dano, a boa-fé e cooperação do infrator e a proporcionalidade.
O fato de o infrator sofrer sanção em processo administrativo não elimina a hipótese de que seja responsabilizado no âmbito cível e criminal, se a prática causar alguma espécie de dano ou configurar algum crime.
É possível que a violação à LGPD gere o dever de indenização por danos morais ou materiais?
Conforme exposto acima, a aplicação das sanções administrativas previstas na LGPD não isenta o operador que cometeu a falta de vir a responder civil ou criminalmente pelos seus atos.
Caso a consequência da violação seja um dano de ordem moral ou material ao titular dos dados, será possível o manejo de uma ação judicial buscando a compensação pelo prejuízo experimentado. O que evidencia a imprescindibilidade do acompanhamento por meio de uma assessoria ou consultoria jurídica de modo que estas surpresas negativas acabem por ocorrer.
Vejamos o que dispõe a LGPD sobre a responsabilidade em caso de dano:
Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
Então, deve a empresa adotar as medidas necessárias para que os danos sejam evitados.
A responsabilidade em caso de danos pessoais no tratamento de dados é objetiva ou subjetiva?
Quando o descuido com o tratamento de dados ocasionar prejuízos, surge o dever de indenização. Importante que observemos as disposições da LGPD a esse respeito.
Primeiramente, é possível ao Juiz determinar a inversão do ônus da prova. O que significa que a parte que mantinha os dados em armazenamento é que terá que comprovar a inocorrência da reponsabilidade civil, conforme disposto no Art. 42 da lei:
Art. 42, § 2º O juiz, no processo civil, poderá inverter o ônus da prova a favor do titular dos dados quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa.
Somente não serão responsabilizados os agentes de tratamento nas hipóteses previstas no Art. 43:
Art. 43. Os agentes de tratamento só não serão responsabilizados quando provarem:
I Que não realizaram o tratamento de dados pessoais que lhes é atribuído;
II Que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou
III -Que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
Os incisos do Art. 43 elencam em quais hipóteses não haverá a responsabilização.
A minha empresa precisa se adequar à Lei Geral de Proteção de Dados?
Conforme já vimos acima a LPD cria um sistema de proteção aos dados pessoas de pessoas naturais, quando colhidos e armazenados por outras pessoas, sejam elas pessoas físicas ou pessoas jurídicas de direito público ou privado.
Se a atividade da empresa de alguma forma envolver a coleta e armazenamento de informações sobre seus clientes, ela terá que se adequar à LGPD, para evitar que venha a sofrer algum tipo de sanção. Podemos imaginar uma série de atividades que exigem o armazenamento de informações pessoais dos clientes. O mais comum, cadastramento para compras no crediário, ou mesmo o simples login em uma rede wifi.
Imagine que você ingressa em um ambiente qualquer, uma clínica médica, por exemplo. Na fila de espera, você decide olhar algumas noticias em seu celular, e tenta conectar na rede sem fio disponibilizada pelo estabelecimento aos seus pacientes. Logo, é pedido que haja o fornecimento de algumas informações como nome completo, CPF e e-mail, para poder fazer a conexão. A partir daquele momento aquelas informações ficarão armazenadas em um banco de dados.
A clínica médica que detém os dados do paciente terá sim que observar os ditames da LGPD, isso é mais claro de se ver. Mas e quem detém as informações fornecidas no login da rede móvel de internet? Possivelmente as informações ficarão armazenadas em algum tipo de sistema do provedor da internet. A empresa responsável por isso também precisará se adequar aos parâmetros estabelecidos pela LGPD. Esteja ciente dos seus direitos contratando uma equipe especializada em Direito Digital.
Então, as situações que demandam o tratamento de dados são as mais diversas imagináveis, fazendo com que o empresário necessite ficar atento para não sofrer as sanções legais, ou mesmo um processo judicial movido por um de seus clientes.
Ainda que se possa pensar que somente grandes conglomerados precisem adotar as medidas previstas na LGPD, o pequeno empresário sujeita-se à aplicação da norma da mesma maneira. Devendo ele também adequar o seu negócio conforme o estabelecido.
Como adequar minha empresa à LGPD?
A Lei Geral de Proteção de Dados impõe algumas medidas que precisam ser adotadas pelas empresas que dentro de sua atividade necessitam realizar o tratamento de dados dos seus clientes.
O Art. 6°, inciso VII, da LGPD, menciona o Princípio da Segurança, relacionada à utilização de técnicas administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
No mesmo sentido, o Art. 46 da mesma lei assim dispõe:
Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Os cuidados devem ser adotados em todas as etapas do processo de tratamento de dados, desde a coleta das informações até o seu armazenamento e a sua destruição quando não houver mais justificativa legal para sua utilização.
Quais medidas podem ser adotadas para a adequação da empresa à LGPD?
As medidas concretas a serem adotadas precisam ser consideradas conforme o caso concreto e a complexidade e necessidade da empresa. Traremos algumas recomendações da Agência Nacional de Proteção de Dados (ANPD) quanto à adequação.
Tudo começa pelo planejamento. Ao fazê-lo para a sua empresa procure o auxílio de um profissional jurídico, para garantir que não ocorrerão falhas e para evitar problemas futuros.
E preciso que a empresa estabelece um sistema que garanta a segurança das informações armazenadas. Não há necessidade de que seja algo de grande complexidade ou que represente um gasto financeiro elevado, mas que demonstre aos órgãos fiscalizadores e/ou judiciais a existência de um mecanismo criado para a proteção e sigilo dos dados. Assim fica mais fácil evidenciar a boa-fé em caso de alguma ocorrência inesperada.
Outra prática complementar é no sentido da disseminação das informações entre os colaboradores. Fornecer materiais explicativos e até mesmo um treinamento é algo que pode contribuir para a correta aplicação da LGPD.
Recomenda-se ainda a celebração de um contrato de confidencialidade com os empregados, para que haja mais uma garantia de que não ocorra o vazamento de dados por meio deles, sem o conhecimento do responsável pela empresa. Se mesmo assim ele ocorrer, a existência do documento demonstra que o empresário se preocupou em adotar as medidas necessárias para a efetivação e proteção dos direitos de seus clientes.
Quais as medidas técnicas que precisam ser adotadas pela empresa para a adequação à LGPD?
Primeiramente é preciso a criação de um controle de acesso aos dados, de modo que somente pessoas autorizadas poderão acessá-los. Isso pode ser realizado de diversas formas, a depender do sistema criado pela empresa.
Se a empresa armazenar os dados em computadores, por exemplo, é interessante que se crie senhas de acesso e que limite a atuação conforme o usuário. Do mesmo modo, que se possa rastrear quando foi feito o acesso por cada usuário e quais as ações por ele praticadas.
A instalação de um sistema de backup em mídia física ou em nuvem é outra maneira de garantir ou de prevenir a perda das informações. É importante lembrar que o backup deve ser feito para uma mídia exterior ao computador ou à rede que mantém os dados, assim caso haja alguma falha eles estarão protegidos.
Ainda no campo do armazenamento digital, recomenda-se a utilização de programas de segurança, como os antivírus. Evitando que os computadores sejam infectados por algum software malicioso ou mesmo invadido por hackers.
Conclusão
A Lei Geral de Proteção de Dados foi criada com a finalidade de proteger as informações e dados pessoais, garantindo a privacidade e a dignidade das pessoas.
Institui a necessidade de adoção de novas práticas empresariais, destinadas aos que exploram o mercado de consumo em mantém dados dos seus clientes armazenados.
Neste artigo trouxemos os aspectos que consideramos mais importantes para que o leitor pudesse ter uma noção geral da LGPD. Inclusive indicando algumas medidas que podem ser adotadas para o fiel cumprimento da lei.
Para uma correta adequação da empresa à LGPD recomenda-se a realização de um planejamento, que crie um sistema eficaz de gestão de dados. Por isso, consulte uma assessoria jurídica para dar o correto acompanhamento ao processo, garantindo maior eficácia e redução de custos.
Nossos profissionais estão sempre à disposição para o esclarecimento de eventuais dúvidas em um de nossos canais de comunicação.
Por fim, ressaltamos a necessidade do suporte de um advogado especialista em direito imobiliário ao realizar um contrato de locação.