OS IMPACTOS DA LEI GERAL DE PROTEÇÃO DE DADOS

LGPD – CONCEITO E VIGÊNCIA

A Lei Geral de Proteção de Dados (Lei nº 13.709/2018), também conhecida como LGPD, foi sancionada em 14/08/2018 e regulamenta a forma pela qual as organizações passarão a utilizar os dados pessoais enquanto informação relacionada à pessoa natural identificada ou identificável, impondo assim uma profunda transformação no sistema de proteção de dados brasileiro.

A LGPD traz regras detalhadas para a proteção e o tratamento dos dados pessoais, tais como coleta, processamento, uso, armazenamento e eliminação, abrangendo todas as situações que envolvem o tratamento dessas informações, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Apesar de recente, a LGPD já sofreu alterações através da Medida Provisória nº 869/2018, convertida na Lei nº 13.853/2019, que alterou vários pontos, inclusive criando a Autoridade Nacional de Proteção de Dados - ANPD e alterando a sua entrada em vigor para 24 meses após a data de sua publicação.

Assim, pelo texto original a LGPD teria eficácia plena a partir de 16/08/2020. No entanto, em razão da pandemia causada pelo COVID-19, em 29/04/2020 foi publicada a Medida Provisória nº 959/2020 que alterou a LGPD para prorrogar a data de entrada em vigor para o dia 03/05/2021.

Posteriormente, em 10/06/2020 foi sancionada a Lei nº 14.010/2020, que alterou a LGPD para, somente em relação às sanções administrativas, prorrogar a data de entrada em vigor para o dia 01/08/2021.

E assim, com a sanção presidencial da Medida Provisória nº 959/2020 a Lei Geral de Proteção de Dados está vigente desde o dia 18/09/2020.

 

SANÇÕES ADMINISTRATIVAS

Em relação às sanções fica mantida a alteração trazida pela Lei nº 14.010/2020, as quais passam a vigorar a partir de agosto de 2021.

 

ENTENDA MELHOR AS DEFINIÇÕES TRAZIDAS PELA LGPD

O conceito de dado pessoal trazido pela LGPD é bem abrangente, definindo-o como toda informação relacionada a pessoa natural identificada ou identificável. Ou seja, qualquer informação que identifique ou possa identificar uma pessoa. Nesse conceito, é considerado dado pessoal a informação que isolada ou conjuntamente, em determinado contexto, permita a identificação de alguém. Por exemplo: nome, prenome, RG, CPF, endereço, data de nascimento, número do título de eleitor, endereço de e-mail, dados relacionados a hábitos de consumo e de geolocalização, entre outros.

 

Dado pessoal sensível é um conceito específico dentro da categoria de dado pessoal que, justamente pela sua sensibilidade, além de identificar a pessoa natural pode trazer algum tipo de discriminação ou prejuízos maiores ao titular dos dados em caso de vazamento.

 

A LGPD define como dado pessoal sensível o dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Tratamento de dados, é toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

O conceito de tratamento de dados é, portanto, extremamente abrangente, englobando todas as possibilidades de manuseio dos dados, independentemente do meio utilizado.

O encarregado de dados, também chamado de DPO – Data Protection Officer, é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados - ANPD, trabalhando sempre em cooperação com a autoridade nacional e produzindo os documentos necessários para segurança dos dados coletados pela empresa, além de promover todos os esforços para que a empresa esteja alinhada aos objetivos da Lei.

O relatório de impacto à proteção de dados ou RIPD, é o documento do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco. Logo, o relatório deverá especificar o registro de todas as operações com dados pessoais e conterá, no mínimo, a descrição dos tipos de dados coletados, a base legal que autoriza o tratamento, a metodologia utilizada para a coleta e utilização dos dados e para garantia da segurança das informações, bem como a identificação dos principais riscos relacionados às atividades e as medidas e mecanismos de mitigação dos riscos identificados.

 Apesar de não ser um documento obrigatório para todas as instituições trata-se de instrumento essencial na gestão empresarial, já que tem por finalidade identificar os riscos no tratamento de dados pessoais, permitindo aos gestores o direcionamento de suas ações para estabelecer mecanismos de mitigação de risco, para que possam demonstrar a conformidade com a regulamentação. Além disso, o relatório pode ser exigido pela autoridade nacional a determinadas empresas.

 

SITUAÇÕES EM QUE A LEI É APLICÁVEL

A LGPD aplica-se a qualquer operação de tratamento de dados pessoais realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que: a) a operação de tratamento seja realizada no Brasil; b) a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados pessoais de indivíduos localizados no Brasil; ou c) os dados pessoais objeto do tratamento tenham sido coletados no Brasil.

 

Assim, não importa se o meio de operação de tratamento de dados é físico ou digital, o país sede da empresa, a localização dos dados ou a nacionalidade do titular dos dados, se os dados são de uma pessoa física, a LGPD é exigida no tratamento.

 

Já o contrário, a LGPD não se aplica ao tratamento de dados pessoais quando: a) realizado por pessoa natural para fins exclusivamente particulares e não econômicos; b) realizado para fins exclusivamente jornalísticos, artísticos ou acadêmicos; c) realizado para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais; d) os dados forem provenientes de fora do território nacional e destinados a outros países, que apenas transitem pelo território nacional, sem que no Brasil seja realizada qualquer operação de tratamento, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto na LGPD.

Como a LGPD impactará praticamente todos os setores da economia brasileira, pequenas, médias e grandes organizações, até para que tenham um diferencial competitivo no mercado, é importante que as empresas se organizem para definição de políticas internas e rotinas de proteção de dados, implementação de infraestrutura tecnológica e principalmente treinamento de equipes para mudança de cultura em relação à proteção de dados pessoais.

 

PRINCÍPIOS DA LGPD

A LGPD estabelece 10 princípios trazendo diretrizes e limitações que deverão nortear o tratamento de dados pessoais no Brasil. São eles:

 

  1. Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

 

  1. Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

 

  1. Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

 

  1. Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

 

  1. Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

 

  1. Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

 

  1. Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

 

  1. Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

 

  1. Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

 

  1. Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

 

 

QUANDO O TRATAMENTO DE DADOS PESSOAIS É PERMITIDO PELA LEI

O tratamento de dados pessoais somente é permitido quando presente uma das hipóteses que o justifica, estabelecidas pela LGPD em rol taxativo, a saber: a) mediante o consentimento do titular dos dados pessoais; b) para o cumprimento de obrigação legal ou regulatória pelo controlador dos dados pessoais; c) pela administração pública, para o tratamento e uso compartilhado de dados pessoais necessários à execução de políticas públicas; d) para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; e) quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular dos dados pessoais; f) para o exercício regular de direitos em processo judicial, administrativo ou arbitral; g) para a proteção da vida ou da incolumidade física do titular dos dados pessoais ou de terceiro; h) para a tutela da saúde em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; i) quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou j) para a proteção do crédito.

Já o tratamento de dados pessoais sensíveis, deve vir precedido de cautelas ainda maiores, pois eventual incidente de segurança com esses dados pode desencadear consequências mais graves aos direitos e liberdades dos titulares. São oito as hipóteses em que a Lei autoriza o tratamento de dados pessoais sensíveis, sendo elas: a) quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades determinadas; b) cumprimento de obrigação legal ou regulatória pelo controlador; c) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos; d) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis; e) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral; f) proteção da vida ou da incolumidade física do titular ou de terceiro; g) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou h) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos do titular e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

E por fim, os dados pessoais de crianças e de adolescentes deverá ser realizado sempre em seu melhor interesse e, especificamente em relação às crianças, o tratamento deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal.

A exceção trazida pela Lei às regras acima é quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento específico.

 

DIREITOS QUE PODEM SER EXIGIDOS PELO TITULAR DOS DADOS

A LGPD dispõe que toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade. Para isso, estabelece princípios e traça diretrizes e limitações voltadas à garantia de informações claras ao titular dos dados e imposição de restrições ao seu tratamento.

Além do direito a informações claras sobre o tratamento de seus dados pessoais, o titular tem direito a obter do controlador, em relação aos seus dados por ele tratados, a qualquer momento e mediante requisição:

a) confirmação da existência de tratamento; b) acesso aos dados; c) correção de dados incompletos, inexatos ou desatualizados; d) anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desacordo com a Lei; e) portabilidade dos dados pessoais; f) eliminação dos dados pessoais; g) informação das entidades com as quais o controlador realizou uso compartilhado de dados; h) informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; i) revogação do consentimento; j) reclamação à autoridade nacional; e k) oposição ao tratamento, se realizado em desacordo com a Lei.

É importante frisar que no caso do tratamento de dados pessoais de crianças há de ser levado em consideração a natural falta de maturidade ou nível de conhecimento, razão pela qual as informações deverão ser fornecidas de maneira simples, clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais da criança, com uso de recursos audiovisuais quando adequado, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança.

 

RESPONSABILIDADE PELO DESCUMPRIMENTO DA LEI

Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas na Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: a) advertência, com indicação de prazo para adoção de medidas corretivas; b) multa de até 2% do faturamento da empresa ou do grupo no seu último exercício, limitada a R$ 50 milhões por infração; c) multa diária; d) publicização da infração; e) bloqueio dos dados pessoais a que se refere a infração até a sua regularização; f) eliminação dos dados pessoais a que se refere a infração.

Todas as sanções trazidas pela Lei serão aplicadas de forma administrativa pela autoridade nacional, não estando incluídas eventuais sanções previstas em regulamentações setoriais e pelos órgãos de proteção e defesa do consumidor, bem como responsabilização por danos ocorrida judicialmente, o que pode cumular.

 

AS SANÇÕES ADMINISTRATIVAS NÃO SE APLICAM APENAS EM CASO DE VAZAMENTO

O vazamento de dados é apenas uma das situações passíveis de sanção administrativa. Os agentes de tratamento deverão agir em conformidade com a Lei, adotando políticas de boas práticas e governança, além de conferir segurança e sigilo dos dados.

As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios: a) gravidade e a natureza das infrações e dos direitos pessoais afetados; b) boa-fé do infrator; c) vantagem auferida ou pretendida pelo infrator; d) condição econômica do infrator; e) reincidência; f) grau do dano; g) cooperação do infrator; h) adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano; i) adoção de política de boas práticas e governança; j) pronta adoção de medidas corretivas; e k) proporcionalidade entre a gravidade da falta e a intensidade da sanção.

 

COMO ESTAR EM CONFORMIDADE COM A LGPD

O principal objetivo da Lei é garantir a privacidade dos dados pessoais dos cidadãos e permitir um maior controle sobre eles. Com isso, as organizações terão muito trabalho para se adaptar e garantir a segurança dos dados de seus clientes, fornecedores e colaboradores, sendo alguns dos principais desafios no momento da estruturação do plano de adequação: a) realizar o inventário dos dados tratados; b) descobrir dados sensíveis em dados não estruturados; c) assegurar a proteção dos dados na estrutura interna, na nuvem e em dispositivos móveis; d) garantir e restringir acesso aos dados; e) se antecipar às ameaças de vazamento; f) comprovar que os esforços necessários de conformidade estão sendo realizados; g) encontrar meios de registrar o ciclo de vida dos dados (coleta, uso, armazenamento, compartilhamento e exclusão) fazendo correlação entre o respectivo tratamento, a base legal e a finalidade; h) garantir o exercício dos direitos do titular através da criação de mecanismos para tal finalidade.


*Alexandre Pontieri: Advogado com atuação em todas as instâncias do Poder Judiciário; nos últimos anos atuando perante os Tribunais Superiores (STF, STJ, TST e TSE), e no Conselho Nacional de Justiça (CNJ); Consultor da área tributária com foco principalmente no Conselho Administrativo de Recursos Fiscais (CARF); Pós-Graduado em Direito Tributário pelo CPPG – Centro de Pesquisas e Pós-Graduação da UniFMU, em São Paulo; Pós- Graduado em Direito Penal pela ESMP-SP – Escola Superior do Ministério Público do Estado de São Paulo. Aluno Especial do Mestrado em Direito da UNB – Universidade de Brasília nos anos de 2018 e 2019. [email protected]

Alexandre Pontieri* - 20/09/2021

COMENTÁRIOS

 Nome:
 E-mail:
 Texto:
Comentários (0)
  • Nenhum comentário publicado.