LEI GERAL DE PROTEÇÃO DE DADOS, multa pode chegar a $50
milhões
Lei No 13.709, de 14 de agosto de 2018
Prezado Cliente,
Com o advento da publicação da Lei n° 13.709/2018, mais
conhecida como Lei Geral de Proteção de Dados (LGPD) e com vigência a partir de
agosto de 2020, é necessário que as empresas se adaptem o quanto antes, a fim
de estarem em conformidade com a legislação vigente, evitando, desta forma,
multas.
A LGPD visa padronizar as normas e práticas em todo
território nacional para promover a proteção aos dados pessoais de todo cidadão
brasileiro ou cidadão estrangeiro que esteja em território nacional.
Além disso, a lei se aplica a organização estando
fisicamente no Brasil ou não. Havendo processamento de dados de pessoas,
brasileiros ou estrangeiros, que estejam em território nacional, a LGPD se
aplica.
A fim de expor um panorama geral sobre a LGPD, seguem abaixo
algumas perguntas e respostas:
A QUEM SE APLICA A LGPD?
Conforme artigo 3o, a LGPD se aplica a Pessoas Físicas ou
Jurídicas que realizem tratamento de dados pessoais ou cuja atividade se
utilize de dados pessoais, tais como coleta, armazenamento, compartilhamento,
entre outros.
A Lei também é aplicável ao Poder Público, recentemente o
Decreto 10.046/19, publicado em 9 de outubro de 2019, dispôs sobre a governança
no compartilhamento de dados no âmbito da Administração Pública.
QUAL O CONCEITO DE DADO PESSOAL?
Em seu artigo 5o, a LGPD define como dado pessoal qualquer
informação relacionada à pessoal natural identificada ou identificável.
Em resumo, dado pessoal é qualquer informação que possa
levar à identificação do indivíduo.
EXEMPLOS DE DADO PESSOAL SENSÍVEL:
• Origem racial ou étnica;
• Convicção religiosa;
• Opinião política;
• Filiação a sindicato ou a organização de caráter
religioso, filosófico ou político;
• Dado referente à saúde ou à vida sexual;
• Dado genético ou biométrico, quando vinculado a uma pessoa
natural.
QUEM SÃO OS AGENTES DEFINIDOS PELA LEI?
Conforme o artigo 5o da LGPD, definem-se os seguintes
agentes:
Titular: pessoa natural a quem se referem os dados pessoais
que são objeto de
tratamento;
Controlador: pessoa natural ou jurídica, de direito público
ou privado, a quem competem as decisões referentes ao tratamento de dados
pessoais;
Operador: pessoa natural ou jurídica, de direito público ou
privado, que realiza o tratamento de dados pessoais em nome do controlador;
Encarregado de Proteção de Dados (DPO): pessoa indicada pelo
controlador e operador para atuar como canal de comunicação entre o
controlador, os titulares dos dados e a Autoridade Nacional de Proteção de
Dados (ANPD).
APLICAÇÃO DA LGPD NO MUNDO DOS NEGÓCIOS
Pelo fato de a Lei ser bastante abrangente, sua aplicação é
bastante extensa,
abrangendo:
• Relações trabalhistas;
• eCommerce;
• Serviços de internet;
• Condomínios;
• Negócios que utilizam dados pessoais (ainda que off line);
• Marketing;
• Hospitais e Laboratórios (grandes armazenadores de dados
sensíveis e passíveis de maior controle regulatório
• Entre outros.
CONSENTIMENTO POR PARTE DO TITULAR DOS DADOS
A LGPD, em seus artigos 7o e 8o, determina a necessidade de
consentimento do titular dos dados, devendo ter finalidade determinada,
específica, e de devendo ser dada por escrito ou de forma eletrônica, desde que
comprove a manifestação da vontade do titular.
Ressalte-se que cabe ao controlador o ônus da prova do
consentimento.
O titular dos dados também pode revogar o consentimento no
acesso aos dados, bem como exigir a eliminação dos seus dados pelo controlador,
podendo, inclusive, formalizar reclamação à Autoridade Nacional de Proteção de
Dados (ANPD)
AUTORIZAÇÃO PARA O TRATAMENTO DE DADOS
O artigo 7o da LGPD define as seguintes hipóteses para o
tratamento de dados, incluindo as
hipóteses do tratamento dos dados ainda que sem autorização
expressa do titular:
I - mediante o fornecimento de consentimento pelo titular;
II - para o cumprimento de obrigação legal ou regulatória
pelo controlador;
III - pela administração pública, para o tratamento e uso
compartilhado de dados necessários à
execução de políticas públicas previstas em leis e
regulamentos ou respaldadas em contratos,
convênios ou instrumentos congêneres, observadas as
disposições do Capítulo IV desta Lei;
IV - para a realização de estudos por órgão de pesquisa,
garantida, sempre que possível, a
anonimização dos dados pessoais;
V - quando necessário para a execução de contrato ou de
procedimentos preliminares
relacionados a contrato do qual seja parte o titular, a
pedido do titular dos dados;
VI - para o exercício regular de direitos em processo
judicial, administrativo ou arbitral, esse
último nos termos da Lei no 9.307, de 23 de setembro de 1996
(Lei de Arbitragem);
VII - para a proteção da vida ou da incolumidade física do
titular ou de terceiro;
VIII - para a tutela da saúde, exclusivamente, em
procedimento realizado por profissionais de
saúde, serviços de saúde ou autoridade sanitária;
IX - quando necessário para atender aos interesses legítimos
do controlador ou de terceiro,
exceto no caso de prevalecerem direitos e liberdades
fundamentais do titular que exijam a
proteção dos dados pessoais; ou
X - para a proteção do crédito, inclusive quanto ao disposto
na legislação pertinente.
PROTEÇÃO DE DADOS
O artigo 6o da LGPD dispõe sobre os princípios da proteção
de dados, os quais os
controladores e operadores deverão observar.
Vale ressaltar que a lei impõe a necessidade de medidas
técnicas, administrativas e de
segurança a serem adotadas pelo controlador a fim de
proteger os dados do titular, bem como evitar acesso indevido às mesmas.
COMO SE ORGANIZAR PARA O INÍCIO DA VIGÊNCIA DA LGPD?
A implantação de uma política de proteção e gestão de dados
é uma atividade que envolve múltiplos departamentos, bem como terceiros
(advogados, técnicos, prestadores de serviços, entre outros).
O primeiro passo para aqueles que gerem base de dados
pessoais é realizar o mapeamento na empresa, envolvendo todas as áreas através
de engajamento, elaborar estratégias de segurança redigir normas, bem como
restringir o acesso aos dados por pessoas que não necessitam tratá-los.
Terá ainda de adotar planos de contingência, auditar
processos e resolver incidentes, comunicando-os à Agência Nacional de Proteção
de Dados, bem como aos titulares dos dados, no caso de vazamento de
informações.
PRINCIPAIS PONTOS QUE DEVEM SER OBSERVADOS NA EFETIVIDADE DO
CONTROLE DE DADOS
MULTAS E SANÇÕES PELO NÃO CUMPRIMENTO DA LEGISLAÇÃO
Os agentes de tratamento estão sujeitos às seguintes
penalidades pelo não cumprimento da lei, conforme artigo 52:
- Advertência;
- Multa de até 2% do faturamento total da empresa, podendo
chegar a R$ 50 milhões
por infração;
- Multa diária, observado o teto do item anterior;
- Publicização da infração após devidamente apurada e
confirmada a sua ocorrência;
- Bloqueio dos dados pessoais a que se refere a infração até
a sua regularização;
- Eliminação dos dados pessoais a que se refere a infração.
CONSIDERAÇÕES FINAIS
A tarefa para se adaptar à LGPD é enorme, haja vista a
abrangência e especificidades da própria lei.
Convém em primeiro lugar uma leitura atenta à mesma, a qual
pode ser acessada no link
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm.
Outra boa fonte de informação sobre a LGPD é o site do Serviço Federal de
Processamento de Dados –
SERPRO, o qual pode ser acessado no link
https://www.serpro.gov.br/lgpd.
Além disso, entender o negócio e como os dados pessoais são
coletados, tratados e armazenados é de fundamental importância para que uma
política de privacidade possa ser
desenhada e posteriormente disponibilizada ao detentor dos
dados antes do início do tratamento dos seus dados.
Por fim, cabe ressaltar que é necessário o envolvimento de
diversas áreas da organização no sentido de identificar como cada uma delas é
afetada pela LGPD e as ações que devem ser desenvolvidas no sentido de
adequação e aderência à lei.
Dúvidas contactar um advogado (a)
Att,
Planizza