Lei Geral de Proteção de Dados – LGPD

por | 8 jun, 2020 | 0 Comentários

Objetivo é acabar com o uso indevido de dados pessoais, e quem descumprir a norma poderá pagar multa de até R$ 50 milhões.

Pelos advogados Adilson Pinto Pereira Júnior e Paulo César Tavella Nageva.

A informatização em larga escala associada ao contínuo aumento na capacidade de armazenamento de dados vem permitindo cada vez mais a concentração e trânsito de informações pessoais por parte de empresas e instituições, colocando em risco a privacidade das pessoas.

A preocupação com a segurança dos dados pessoais estimulou a criação de normas em diversos países, com o objetivo de regulamentar o tratamento das informações. Em 1978, a Alemanha foi a pioneira em implantar o conceito de proteção de dados. Atualmente, mais de 126 países possuem leis sobre isso, o que evidencia a importância do tema.

No Brasil, foi editada em 2018 a Lei 13.709, denominada de Lei Geral de Proteção de Dados (LGPD), com a finalidade de disciplinar o tratamento de dados pessoais, inclusive nos meios digitais, com o objetivo de proteger os direitos individuais de liberdade e de privacidade.

DADOS SENSÍVEIS

Dados pessoais são as informações que permitem identificar uma pessoa ou torná-la identificável – como o nome, o endereço, os números identificáveis (RG, CPF, CNH), a geolocalização, os hábitos de consumo, os exames médicos, os dados referentes à saúde, à biometria e ao perfil cultural.

Uma subcategoria desses dados é a de “dados pessoais sensíveis”, que demandam especial proteção, já que podem ser alvos de utilização de forma discriminatória. Estão inclusas as informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político. Além disso, são considerados sensíveis os dados referentes à saúde ou à vida sexual e os dados genéticos ou biométricos.

O principal objetivo da LGPD é estabelecer uma cultura de respeito à privacidade das informações pessoais, regulamentando o tratamento que deve ser conferido aos dados obtidos nas mais variadas situações – desde transações comerciais, como para integrar redes sociais, entre outras inúmeras situações.

TRATAMENTO DE DADOS

O “tratamento de dados pessoais” é operação caracterizada pela coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração de informações pessoais.

Os dados pessoais poderão ser tratados quando obtidos mediante consentimento do titular ou do representante legal, de forma específica e destacada e para apenas as finalidades descritas nos termos de consentimento. 

Será permitido o tratamento de dados, independentemente de consentimento, nas seguintes hipóteses: 

1) Cumprimento de obrigação legal ou regulatória pelo controlador para atendimento de interesse público. Por exemplo: na coleta de dados para emissão de uma nota fiscal;

2) Execução de políticas públicas, como a implementação de programa de vacinação;

3) Estudos feitos por órgão de pesquisa. Sempre que possível, deverá ser mantido o anonimato dos dados pessoais; 

4) Execução de contrato quando o titular dos dados é parte na relação contratual; 

5) Exercício regular de direitos em processo judicial, arbitral ou administrativo; 

6) Para a proteção da vida ou da integridade física, bem como para a tutela da saúde, oportunidade em que os dados poderão ser tratados por médicos, enfermeiros e outros agentes de saúde ou sanitários;

7) Para garantir a prevenção à fraude e à segurança do titular nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.

Com a LGPD, o titular dos dados terá os seguintes direitos:

1) Saber da existência de tratamento de seus dados pessoais;

2) Acessar seus dados pessoais;

3) Corrigir os dados pessoais; 

4) Anonimizar, bloquear ou eliminar dados pessoais; 

5) Promover a portabilidade de dados pessoais; 

6) Obter informações sobre o compartilhamento de dados pessoais;

7) Revogar o consentimento do tratamento de dados. 

O exercício desses direitos poderá ocorrer na esfera administrativa e na Justiça.

A lei não será aplicável ao tratamento de dados pessoais nas seguintes condições:

1) Tratamento realizado por pessoa física para fins exclusivamente particulares e não econômicos;

2) Realizado para fins exclusivamente jornalísticos, artísticos ou acadêmicos, desde que observadas determinadas condições legais; 

3) Para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais;

4) Provenientes e destinados a outros países, que apenas transitem pelo território nacional.

A LGPD também estabelece sobre o “dado anonimizado”, que apresenta  informações do titular sem identificar a quem elas pertencem. É uma definição importante, já que a norma não se aplicará à utilização de dados anonimizados, o que permite maior liberdade no tratamento dessa categoria de dados, embora não possa ser descartado o risco de eventual identificação do titular no caso da criação de algoritmos que permitam identificar uma pessoa.

QUEM SERÁ ANTIGIDO PELA LGPD?

A LGPD atingirá todas as pessoas físicas ou jurídicas que façam tratamento dos dados, independentemente do meio de processamento e do país em que elas estejam ou de onde estão os dados, desde que presentes quaisquer das condições a seguir:

– Caso a operação de tratamento ocorra no Brasil; 

– Caso a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de pessoas localizadas no Brasil;

– Caso os dados pessoais tenham sido coletados no Brasil.

No âmbito empresarial, não importa o faturamento, o porte do empreendimento e as condições de exercício da atividade. Ou seja, deverão seguir a lei o empresário individual, o Microempreendedor Individual (MEI), a Empresa Individual de Responsabilidade Limitada (Eirelli), a Sociedade Limitada Unipessoal, a Sociedade Anônima e outras espécies societárias.

A norma será aplicável também às sociedades simples, caracterizadas pelas parcerias profissionais vocacionadas à prestação de serviços, como no caso de serviços médicos, assim como às associações, fundações e cooperativas.

Até mesmo o poder público deverá cumprir a LGPD.

EMPRESAS TERÃO DE SE ADAPTAR

Para assegurar a aplicação da LGPD, as empresas e instituições deverão ter os “agentes de tratamento de dados pessoais”: um controlador – que responde pelas decisões referentes ao tratamento de dados pessoais –, um operador – que realiza o tratamento de dados pessoais em nome do controlador – e um encarregado ou Data Protection Officer (DPO), cujas atividades consistem em receber reclamações, prestar esclarecimentos aos titulares dos dados e às autoridades, orientar as respectivas empresas e executar diretrizes. O DPO deverá ter sua identidade disponibilizada aos titulares e autoridades e disponibilizar seus contatos de forma simples e de fácil acesso.

Com a finalidade de estabelecer as regras de boas práticas e de governança, os agentes de tratamento deverão avaliar os riscos (risk assessment) relacionados aos processos de tratamento de dados pessoais e estabelecer as medidas de segurança, técnicas e administrativas de proteção. 

A conscientização da organização é um passo muito importante na implementação da lei, sendo essencial para o bom desenvolvimento e sustentabilidade do programa de proteção de dados a aplicação do conceito privacy by design. Este princípio de governança corporativa, acolhido pela LGPD, determina que todas as empresas devem aplicar a concepção de privacidade em todos os estágios (modelagem, operação e gerenciamento e encerramento) de um determinado sistema, projeto ou negócio.

Assim, é importante o mapeamento dos dados como meio de permitir um autoconhecimento da organização. O mapeamento inclui os seguintes levantamentos: 

1) Quais os dados pessoais coletados; 

2) Qual o tipo de dado pessoal (sensível ou não);

3) Quem são os titulares (funcionários ou clientes, por exemplo); 

4) Qual o tipo de tratamento;

5) Qual a finalidade do tratamento;

6) Quais os sistemas de armazenamento dos dados; 

7) Com quem os dados são compartilhados e com qual finalidade; 

8) Qual o período de retenção dos dados; 

9) Se há transferência internacional dos dados e com qual finalidade;

10) Qual é o fluxo interno dos dados.

 É a partir do mapeamento que as organizações conseguem mensurar o volume e a sensibilidade dos dados que tratam e a complexidade de seus processos. Assim, terão seu primeiro diagnóstico, podendo iniciar os respectivos procedimentos para adequação à lei.

Mas o mapeamento de dados é um procedimento que exige rotina na sua realização, de maneira que permita uma constante revisão e atualização de procedimentos com o propósito de assegurar as melhores práticas de tratamento e segurança das informações.

Além disso, as empresas devem promover ações educativas e treinamentos aos seus membros e colaboradores, visando difundir e disseminar, em toda a estrutura, o sistema interno de proteção de dados.

PUNIÇÕES

No caso do descumprimento da LGPD ou quando os dados não forem tratados com a segurança necessária, responderão, respectivamente, a empresa ou instituição e o controlador e operador. Para a fiscalização da lei, foi instituída a Autoridade Nacional de Proteção de Dados (ANPD), que é um órgão federal com a responsabilidade de assegurar a aplicação e o cumprimento da LGPD, com prerrogativas de naturezas normativa, regulatória, informativa, fiscalizatória e punitiva. 

A entidade poderá aplicar sanções administrativas aos responsáveis mediante procedimento administrativo que assegure a ampla defesa. As sanções previstas incluem uma advertência, com a indicação de prazo para adoção de medidas corretivas, e a aplicação de multa de até 2% do faturamento da empresa ou instituição, grupo ou conglomerado no Brasil (no seu último exercício, excluídos os tributos), limitada a R$ 50 milhões por infração.

O titular dos dados poderá entrar na Justiça para pedir reparação de eventuais danos causados.

QUANDO A LEI ENTRARÁ EM VIGOR?

A LGPD estava prevista para valer a partir de agosto deste ano, mas em decorrência da pandemia, foi editada em abril a Medida Provisória (MP) 959, que prorroga o início de vigência para 3 de maio de 2021. Também foi aprovado Projeto de Lei 1179/2020, o qual prevê que as punições passem a valer só em  1° de agosto de 2021. O projeto aguarda análise do presidente Jair Bolsonaro.

Caso o presidente sancione o texto, e MP não seja convertida em lei, a LGPD entrará em vigor ainda neste ano, mas com as regras punitivas valendo só a partir de 2021. Mas se o projeto for vetado, e a MP não se tornar lei, a LGPD passará a valer em sua totalidade já a partir de agosto deste ano. 

Diante do impacto da LGPD no âmbito social e das suas implicações na seara empresarial, é de fundamental importância que todos estejam atentos à sua observância e conformidade com o regramento estabelecido.   

 

Leia mais

Comentários

0 comentários

Enviar um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.