LGPD – Lei Geral de Proteção de Dados

Dentro da realidade que vivemos é difícil imaginar um cenário isento de manuseio de dados. Se uma empresa possui funcionários, cadastros de clientes pessoa física, contrato com parceiros ou terceirizados, entre outras hipóteses, ela precisa se preocupar com a gestão desses dados.

 

O alcance da LGPD é muito amplo, responsabiliza pessoas físicas e jurídicas – escritórios, consultórios, startups, indústrias e comércios varejistas, por exemplo. Cada cenário deve ser analisado caso a caso, pois existem individualidades que precisam ser sopesadas, mas não resta dúvida quanto a necessidade de conformação.

 

O respeito ao tratamento dispendido pela empresa aos dados a que tem ou teve acesso é visto como indispensável neste novo cenário, e as penalidades para quem não despende a atenção necessária ao tema podem ir muito além dos custos pecuniários.

 

Neste contexto, estar em conformidade significa muito mais que cumprir a lei, é um grande demonstrativo da idoneidade da organização.

 

 

A ORIGEM DA LGPD E SUA CONTEXTUALIZAÇÃO NO CENÁRIO INTERNACIONAL

 

A evolução da comunicação somada a globalização das relações comerciais estimulou o desenvolvimento do cenário digital. Essa nova ordem expôs a necessidade de ações para proteger e garantir os direitos fundamentais, principalmente no tocante a privacidade das pessoas.

O Regulamento Europeu de Proteção de Dados (GDPR), que entrou em vigor em 25/05/2018, nasceu para atender às exigências dessa nova dinâmica relacional mundial.

O GDPR sistematizou a proteção aos dados pessoais e buscou regulamentar a circulação desses dados. Consigo trouxe a exigência de que países e empresas que mantivessem relações comerciais com a União Europeia deveriam adequar o tratamento de dados com a elaboração de uma legislação compatível.

No Brasil, o Marco Civil da Internet e a Lei de Cadastro Positivo já previam a proteção das pessoas físicas quanto ao tratamento de dados pessoais, mas não detinham eficiência nem a clareza necessária com relação a critérios específicos de segurança como a guarda, manuseio e descarte, entre outros pontos incertos ou omissos.

Nesse contexto, em 14/08/2018 a LGPD foi promulgada, e veio para ocupar o espaço deixado pelas legislações anteriores, adequando as políticas de tratamento de dados no Brasil aos critérios internacionais.

 

 

SOBRE A LEI GERAL DE PROTEÇÃO DE DADOS – LEI 13.709/18

 

Artigo 1º. Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

 

Ou seja, a Lei Geral de Proteção de Dados regulamenta as atividades de tratamento de dados pessoais – que vão da coleta, ao processamento, o armazenamento até seu devido descarte. O alcance da LGPD tem como fundamento a proteção dos direitos fundamentais, e visa responsabilizar pessoa física ou jurídica de direito público ou privado, pela gestão dos dados coletados, sejam eles obtidos de forma física ou digital.

 

 

SOBRE OS TERMOS EMPREGADOS NA LGPD

 

Dados pessoais

Toda informação que identifica ou que possa a vir identificar uma pessoa, como por exemplo o nome, apelido, idade, telefone, endereço, e-mail pessoal, IP, dados acadêmicos, histórico de compras, entre outros. (artigo 5º. Inciso I da LGPD)

 

Dados pessoais sensíveis

São os dados associados mais intrinsicamente a personalidade do individuo, bem como escolhas da sua vida social e profissional. A legislação relaciona como dados sensível o dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. (artigo 5º. Inciso II da LGPD)

 

Dados anonimizados

São dados relativos a um titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. (artigo 5º. Inciso III da LGPD)

 

Dados Pseudonimizados

É um processo semelhante a anonimização, em que um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro. (Artigo 13. § 4º, Lei 13709/18)

 

Dados Pessoais de Crianças e de Adolescentes

A LGPD apresenta uma seção específica que visa a especial proteção a criança e ao adolescente, mantendo resguardado os preceitos de proteção, visando seu melhor interesse. Neste ponto, entre outras observações, a Lei prevê o consentimento dos pais e responsáveis no tratamento de dados que envolvam menores. (Artigo 14. § 1º. ao § 6º. da Lei 13709/18)

 

Banco de Dados

É o conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico. (Artigo 5º. Inciso IV, Lei 13709/18)

 

SOBRE OS SUJEITOS ENVOLVIDOS NO TRATAMENTO DE DADOS

 

Titular dos dados: É a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

 

Agentes de tratamento:

  • Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. Trata-se de quem coleta e toma as decisões em relação a forma de tratamento dos dados pessoais.
  • Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

 

Encarregado: É a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

 

 

Sobre o tratamento de dados

 

Os dados pessoais podem ser tratados após o consentimento do titular ou em caso de previsão expressa na Lei.

A LGPD estabelece um rol taxativo das hipóteses que autorizam o tratamento de dados pessoais (artigo 7º. da LGPD), quais sejam:

  • Mediante o consentimento do Titular;
  • Para o cumprimento de obrigação legal ou regulatória pelo Controlador dos dados;
  • Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos;
  • Para a realização de estudos por órgão de pesquisa, garantido, sempre que possível, que os dados pessoais permaneçam anônimos;
  • Quando necessário para a execução de contrato ou de procedimentos contratuais preliminares;
  • Para a proteção da vida ou da incolumidade física do Titular ou de terceiro;
  • Para o exercício regular de direito em processo judicial, administrativo ou arbitral;
  • Para atendimento de interesses legítimos do Controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do Titular que exijam a proteção dos dados pessoais;
  • Para a tutela da saúde, em procedimento realizado por profissionais da área da saúde, serviços de saúde ou por entidades/autoridades sanitárias;
  • Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

 

Sobre os direitos dos Titulares dos Dados

 

A legislação também trouxe previsões a respeito dos direitos do titular dos dados pessoais (Artigo 18 da LGPD), dentre elas estão:

 

  • Solicitar confirmação da existência de tratamento;
  • Acessar os dados;
  • Corrigir os dados incompletos, inexatos ou desatualizados;
  • Solicitar a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD
  • Solicitar a portabilidade dos dados de um controlador para outro;
  • Requerer a eliminação dos dados pessoais tratados com o consentimento do titular;
  • Solicitar informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
  • Obter informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
  • Requerer a revogação do consentimento.

 

É fundamental que a empresa tenha conhecimento dos direitos do titular dos dados para que ela consiga fazer uma boa gestão e atender as solicitações que possam acontecer.

 

 

Sanções Administrativas

 

As penalidades para as empresas que não se adequarem ao previsto na LGPD serão aplicadas de forma gradativa, de acordo com o caso concreto, considerando a gravidade, a natureza e a conduta do infrator. As sanções vão de uma advertência até o montante de 2% do faturamento do seu último exercício fiscal (limitado a R$ 50 milhões de reais), chegando ao ponto de ter uma proibição parcial ou total do exercício das atividades relacionadas a tratamento de dados, também há previsão da publicização da infração após devidamente apurada e confirmada a sua ocorrência. (artigo 52 da LGPD)

 

Além dos significativos numerários que envolvem as penalidades previstas pela LGPD, o dano a imagem e a confiabilidade de uma empresa que expõe ou usa de forma abusiva dados pessoais podem ser muitas vezes irreparáveis.

 

 

Como a empresa pode se adequar à LGPD?

 

  • Mapear o fluxo de dados da organização, realizando um inventário dos dados pessoais – Quais são? Onde estão? Esse mapeamento consiste em identificar e detalhar as fontes de captação ou recebimento dados e informações, como também os pontos para os quais ela faz a transferência ou disponibilização para terceiros, ou ainda a identificação do ponto final do dado dentro da organização. Ainda neste ponto, é importante averiguar se a empresa compartilha dados internacionalmente, listando quais dados e com quais países.

 

  • Definir um programa de compliance digital contendo:

– A previsão orçamentária;

– Parâmetros para busca de ferramentas de segurança de dados;

– Formação de equipe multidisciplinar responsável pela revisão, adequação e melhoria de procedimentos e controles de fluxos de dados pessoais;

– Cronograma de implementação das medidas e de aplicação dos mecanismos de controle;

– Projetos educacionais de mudança de cultura da empresa;

 

  • Repensar os parâmetros dos dados recolhidos, qual a relevância e a necessidade da coleta.

 

  • Revisar e atualizar a política de privacidade e segurança, adequando as novas regulamentações de Proteção de Dados Pessoais, definindo quais os tipos de tratamentos empregados e para quais finalidades serão utilizados;

 

  • Atualização dos documentos (formulários, propostas, contratos e convênios) trocados com titular de dados pessoais, seja consumidor final, parceiro ou funcionário.

 

  • Atualização de contratos com parceiros e fornecedores que atuem com soluções de gestão de informação;

 

  • Planejamento conjunto com o TI para estruturação do ciclo de vida do dado dentro da organização;

 

Também é importante atentar para a necessidade de manutenção de registros de toda vida do dado dentro da organização, o que envolvem atos desde a coleta, o recebimento, o processamento e o descarte.

Não é demais lembrar que a LGPD é uma Lei bastante abrangente, e envolve diversos setores de uma organização, com enfoque maior nos processos de:

  • Compliance
  • Jurídico;
  • Privacidade e Segurança da Informação;
  • Financeiro;
  • Recursos Humanos;
  • Inteligência de Mercado / Logística;
  • Serviço de Atendimento ao Cliente – SAC;

Assim, podemos dizer que esses setores precisam estar especialmente atentos e alinhados entre si, sendo que a implementação da LGPD depende do sucesso no resultado de um projeto multidisciplinar.

 

 

Podemos ajudar sua empresa no processo de implementação e na gestão da LGPD, entre em contato.

 

Sobre a Guaíba Soluções Corporativas

 

A Guaíba Soluções Corporativas é uma empresa sediada na cidade de Curitiba e com 30 anos de experiência na área de TI. Somos parceira de negócios da Hewlett Packard Enterprise (HPE) – categoria Platinum, especializados em soluções de tecnologia de ponta.

 

A Empresa possui o CertiGov – Selo de Compliance que garante a integridade, a conformidade da empresa e a qualifica a vender com segurança.

 

IMPORTANTE:

 

Este material foi atualizado em 18 de Setembro de 2020

 

Autoria: Coordenação Jurídica: Amanda Cardoso

OAB/SP 262.929