Lei Geral de Proteção de Dados - LGPD
Tal como o General Data Protection Regulation (GPDR), a lei Europeia de 2016 que regulamenta a privacidade e proteção de dados, aplicável a todos os indivíduos na União Europeia e Espaço Econômico Europeu, a LGPD motivará mudança de paradigma na gestão dos dados no Brasil, evidenciando a necessidade de adequações internas e da construção de uma cultura de proteção de dados.
ESCOPO DE APLICAÇÃO - ART. 1º DA LGPD: Afeta qualquer atividade que envolva utilização de dados pessoas, incluindo o tratamento pela internet, de consumidores, empregador, entre outros.
AUTORIZAÇÃO PARA O TRATAMENTO DE DADOS – ART. 7º DA LGPD: O consentimento será uma das 10 possibilidades que legitimarão o tratamento de dados pessoais.
PRINCÍPIOS DE PROTEÇÃO DE DADOS – ART. 6º: Introduzidos 10 princípios da proteção de dados, incluindo-se o de demonstrar medidas adotadas para cumprir a lei (prestação de contas).
DIREITO DOS TITULARES DE DADOS – ART. 17 A 22: Titulares dos dados terão amplos direitos: informação, acesso, retificação, cancelamento, oposição, portabilidade, entre outros.
AUTORIDADE: Autoridade Nacional de Proteção de Dados (ANPD) criado pela Lei 13.853/2019 será a responsável por garantir o cumprimento da LGPD, editando normas e fiscalizando os procedimentos sobre proteção de dados pessoais.
NOTIFICAÇÕES OBRIGATÓRIAS – ART. 48: Em caso de incidentes de segurança envolvendo os dados nas situações aplicáveis.
APLICAÇÃO EXTRATERRITORIAL – ART. 3º: Aplica-se também a empresas que não possuem estabelecimento no Brasil.
DADOS: SENSÍVEIS, DE MENORES E TRANSFERÊNCIA INTERNACIONAL – ART. 11, 14 E 33: Regras específicas para tratar dados sensíveis, transferência internacional de dados e utilização de dados de crianças e adolescentes.
ASSESSMENT SOBRE O TRATAMENTO DE DADOS – ART. 38: Necessidade de realizar assessment de impacto à proteção de dados (semelhante ao DPIA da GDPR).
MAPEAMENTO DO TRATAMENTO DE DADOS – ART. 37: Atividades de tratamento de dados devem ser registradas em relatório.
DATA PROTECTION OFFICER (DPO) – ART. 41: Todo controlador de tratamento de dados pessoais, e os operadores em casos apontados pela Autoridade, deverão nomear um Encarregado pelo Tratamento de Dados Pessoais.
SANÇÕES: Multa de até 50 milhões de reais por infração, entre outras sanções.
A LGPD tem seu âmbito de aplicação extremamente amplo, incidindo sobre praticamente todas as atividades empresariais.
A QUEM SE APLICA A LGPD? Do ponto de vista material, a LGPD se aplica a qualquer pessoa – natural ou jurídica de direito público ou privado – que realizar tratamento de dados pessoais, ou seja, exerça atividade em que se utilizem dados pessoais (coleta, armazenamento, compartilhamento, exclusão, etc.), inclusive nos meios digitais.
O entendimento da Lei Geral de Proteção de Dados, LGPD, dado pessoal é, em síntese, toda e qualquer informação que possa levar a identificação de uma pessoa (física ou jurídica), de maneira direta ou indireta. Exemplificando: dados cadastrais (nome ou razão social, CPF, CNPJ, endereço etc.), dados de localização de GPS, identificadores eletrônicos, hábitos de consumo, preferências, dentre outros.
O âmbito de aplicação material da LGPD é extremamente abrangente, abarcando a maior parte de projetos e atividades do dia-a-dia empresarial.
EXEMPLOS DE SITUAÇÕES EM QUE A LGPD SE APLICA: Relações trabalhistas, relações consumeiristas (inclusive quanto aos negócios offline), relação entre usuário e serviço de internet, negócios B2B que utilizam dados pessoais de parceiros e/ou representantes empresariais etc.
Você sabia que, de forma similar ao GDPR, a LGPD possui aplicação extraterritorial?
Isso significa que os efeitos da LGPD não se restringem aos limites geográficos do Brasil, podendo se aplicar mesmo a empresas que não tenham qualquer estabelecimento em nosso território.
Se atender qualquer um dos seguintes requisitos, à empresa estará subordinada a LGPD:
- A empresa possuir estabelecimento no Brasil
- Oferecer qualquer produto ou serviço ao mercado consumidor brasileiro
- Realizar e tratar dados de pessoas localizadas no Brasil
Alguns pontos se mostram irrelevantes perante a LGPD, como por exemplo, o meio de operação utilizado no tratamento de dados, o país sede da empresa, a localização de armazenamento ou tratamento dos dados, e a nacionalidade dos titulares de dados.
A LGPD estabelece 10 princípios gerais que, junto à boa-fé, devem nortear a atividade de tratamento de dados pessoais no país.
Tais diretrizes constituem as linhas mestras que as empresas têm de obrigatoriamente conhecer. Ressalta-se que conhecer apenas não basta, tem de seguir.
- FINALIDADE: propósitos legítimos, específicos, explícitos e informados;
- ADEQUAÇÃO: compatível com as finalidades;
- NECESSIDADE: utilização (apenas) de dados estritamente necessários;
- LIVRE ACESSO: acesso ao tratamento e à integralidade dos dados;
- QUALIDADE DOS DADOS: dados exatos, claros, relevantes e atualizados;
- TRANSPARÊNCIA: informações claras e precisa aos titulares;
- SEGURANÇA: medidas técnicas e administrativas aptas a proteger os dados pessoais;
- PREVENÇÃO: adoção de mediadas para evitar danos aos titulares;
- NÃO DISCRMINAÇÃO: não utilização para fins discriminatórios, ilícitos ou abusivos;
- RESPONSABILIZAÇÃO E PRESTAÇÃO DE CONTAS: demonstração de adoção de medidas eficazes ao cumprimento das normas.
A LGPD tem aplicação transversal e multissetorial, devendo ser observada pelas diversas áreas das companhias que tratam dados pessoais, como por exemplo: Marketing, Desenvolvimento de Software e TI, Gerenciamento de Produtos, Jurídico, Compliance, Recursos Humanos e Departamento Pessoal, Operações e Logística, dentre outros.
A LGPD inovou ao quebrar a hegemonia do Consentimento, que agora passa a ser apenas uma das 10 bases legais que autorizam o tratamento de dados pessoais. A mudança é positiva para o pleno desenvolvimento da economia digital, em especial diante das mais modernas tecnologias.
As 10 bases legais para o tratamento de dados pessoais são: Consentimento; Cumprimento de Obrigação Legal. Execução de Políticas Públicas; Estudos por Órgão de Pesquisa; Execução de Contrato e Diligências Pré Contratuais; Exercício Regular de Direitos; Proteção da Vida. Tutela da Saúde; Interesses Legítimos do Controlador e/ou Terceiro; Proteção ao Crédito.
A LGPD impõe que as empresas que tratam dados pessoais devam indicar um Encarregado pelo Tratamento de Dados Pessoais. Esse encarregado é conhecido por DPO (Data Protection Officer), sendo este profissional o responsável por aconselhar e verificar se tais entes estão obedecendo a LGPD ao processarem e tratarem dados pessoais de terceiros.
O DPO será indicado pelo Controlador, podendo ser indicado apenas um único DPO por empresas ou entidade de um mesmo grupo econômico. Este profissional deverá ser detentos de conhecimento jurídico-regulatório e ser apto a prestar serviços especializados em proteção de dados. Também possui autonomia técnica e profissional no exercício do cargo, que será regulamentado pela ANPD.
Dentre as atividades do DPO estão: recepcionar e atender demandas dos titulares dos dados; interagir com a ANPD (Autoridade Nacional de Proteção de Dados), e; orientar funcionários e contratados quanto a práticas de proteção de dados.
Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, intimidade e privacidade, além de todos aqueles previstos na Lei Geral de Proteção de Dados (LGPD).
O titular dos dados pessoais tem direito a obter do controlador:
1. Confirmação da existência de tratamento das informações
2. Acesso aos dados
3. Correção de dados incompletos, inexatos ou desatualizados
4. Anonimização, bloqueio ou eliminação de dados desnecessário, excessivos ou tratados ilicitamente
5. Eliminação dos dados pessoais
6. Revisão das decisões tomadas exclusivamente com base em tratamento automatizado de dados pessoais
7. Portabilidade dos dados a outro fornecedor de serviços ou produto
8. Informação das entidades com as quais o controlador realizou uso compartilhado de dados
9. Informação sobre a possibilidade de não fornecer consentimento
10. Revogação de consentimento
11. Reclamação à autoridade Nacional
12. Oposição ao tratamento, se irregular
A LGPD permite a transferência internacional de dados pessoais a países ou organismos internacionais que gozem de adequado grau de proteção de dados ou em outras limitadas hipóteses.
Algumas das hipóteses são as relativas à cooperação jurídica internacional para fins de investigação, as que visam proteger a vida ou incolumidade física do titular ou de terceiros, ou quando ocorrer acordo de cooperação internacional, quando autorizada pela ANPD, ou mediante consentimento específico e em destaque do titular.
Ainda podem ser transferíveis em nível internacional mediante garantias oferecidas pelo controlador, como por exemplo, através de cláusulas contratuais específicas, normas corporativas globais, e selos, certificados e códigos de conduta.
A LGPD estabelece sanções administrativas em casos de infrações cometidas em relação a tratamento de dados pessoais. Quem deve fiscalizar e aplicar a penalidade é a Autoridade Nacional de Proteção de Dados (ANPD), criada pelo Executivo.
As sanções podem variar desde uma simples advertência, podendo chegar em uma multa de até 2% do faturamento do Grupo no Brasil, com o teto máximo de R$ 50 Milhões por cada infração cometida. Podem ser fixadas multas diárias por descumprimento, além da publicização da infração, bloqueio dos dados envolvidos, eliminação dos dados envolvidos, suspensão parcial do funcionamento do banco de dados, e até mesmo a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Para fixação das sanções a Autoridade Nacional deve levar em conta alguns aspectos, e dentre eles podemos ressaltar a boa-fé, a reincidência, a condição econômica da empresa, a proporcionalidade entre a infração e o grau de dano e gravidade, a pronta adoção de medidas corretivas, mecanismos e procedimentos internos de proteção de dados, política de boas práticas e governança, a cooperação do infrator, e a vantagem obtida ou pretendida.
O titular dos dados pessoas tem assegurado a proteção dos seguintes dados:
- Filiação a organização de caráter religioso, filosófico ou político
- Origem racial ou étnica
- Filiação a sindicato
- Convicção religiosa
- Opinião política
- Dado referente à saúde ou à vida sexual
- Dados genético ou biométrico
De acordo com a nova lei, entre as competências da ANPD estão zelar pela proteção dos dados pessoais, elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade e aplicar sanções em caso de tratamento de dados feito de forma irregular.
A ANPD terá natureza transitória, podendo ser transformada em autarquia vinculada à Presidência da República após dois anos, a critério do governo. O novo órgão terá a seguinte estrutura organizacional: Conselho Diretor (órgão máximo de direção), Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, Corregedoria, Ouvidoria, órgão de assessoramento jurídico próprio e unidades administrativas necessárias à aplicação da lei. A ANPD será formada por diretores que serão nomeados para mandatos fixos.
O Conselho Nacional de Proteção de Dados Pessoais e da Privacidade será composto de 23 representantes, titulares e suplentes, de órgãos públicos e da sociedade civil.
Suas atribuições estão previstas nos incisos do art. 55-J da LGPD, introduzidos pela Lei 13.853/2019. Podemos destacar: zelar pela proteção dos dados pessoais, nos termos da legislação; fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação; apreciar petições de titular contra controlador após comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação; dispor sobre as formas de publicidade das operações de tratamento de dados pessoais; editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade e etc.
Confira a síntese das principais alterações à LGPD trazidas pela MP nº 869/2018 (PLV 7/2019), com destaque para a confirmação do prazo para adequação, a natureza da ANPD, a flexibilização do compartilhamento de dados sensíveis, disposições sobre o DPO e penalidades.
O prazo para o início da vigência da LGPD é em agosto de 2020.
Quanto ao setor da saúde, admite-se o compartilhamento de dados pessoais sensíveis referentes à saúde em hipóteses específicas, inclusive para permitir portabilidade e transações financeiras e administrativas resultantes da prestação de serviços.
Definiu a transitoriedade da natureza jurídica, podendo transformá-la em entidade da administração pública federal indireta (autarquia), assegurando a sua autonomia técnica e decisória.
O cargo de DPO (Data Protection Officer) poderá ser exercido por pessoa física ou jurídica, requerendo deste conhecimento jurídico-regulatório e aptidão a prestação de serviços de proteção de dados. A ANPD pode determinar que o operador nomeie o DPO.
Direito à revisão, sem intervenção necessária de pessoa física.
A lei terá sua vigência à partir de agosto de 2020, e pela sofisticação que os dados requerem, bem como pela exigência de um DPO (Data Protection Officer) detentor de conhecimento jurídico-regulatório e ser apto a prestar serviços especializados em proteção de dados, com atribuições específicas junto a ANPD e relacionamento com os titulares dos dados, não é uma tarefa que possa ser direcionada a qualquer profissional ou empresa.
A implementação das políticas e procedimentos requererá extensivo plano de trabalho e integração entre as mais diversas áreas da empresa, o que poderá afetar, inclusive, a estrutura cultural do negócio.
A legislação mostra-se em conformidade com o entendimento global acerca de dados pessoais, e da importância que se tem de preservá-los e dar o tratamento correto, garantindo assim a aplicação de princípios constitucionais fundamentais da pessoa (como por exemplo, Privacidade).
O que o nosso escritório pode fazer por você e sua empresa para atender aos requisitos da Lei Geral de Proteção de Dados - LGPD