LGPD

A lei Geral de Proteção de Dados do Brasil (LGPD), sancionada em agosto de 2018, determina regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, estabelecendo mais proteção e penalidades para o descumprimento das mesmas.

A lei 13.709/2018 entrou em vigor em 2020 e possibilitou às empresas um período de 18 meses para se organizarem. A LGPD compreende como dados pessoais, informações de natureza pessoal e por “tratamento de dados”, as operações realizadas com dados pessoais (coleta, classificação, utilização, acesso, processamento, armazenamento, reprodução, eliminação, controle de informação e outros.

A LGPD se aplica a todas as empresas brasileiras, seja ela pública ou privada. As regras se estendem a instituições que oferecem ao consumidor bens e serviços ou trabalham com informações do cidadão brasileiro.

A LGPD alterou as regras específicas para coleta, armazenamento, tratamento e compartilhamento dos dados pessoais. A lei traz um sistema de regulação e fiscalização, assim como penas que serão aplicadas àqueles que descumprirem a legislação vigente.

A LGPD elenca dez princípios básicos que as organizações devem cumprir em relação ao tratamento de dados, sendo eles:

• Princípio da finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.

• Princípio da adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento. Os dados pessoais tratados devem ser compatíveis com a finalidade informada pela empresa.

• Princípio da necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.

• Princípio do Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.

• Princípio da qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.

• Princípio da transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial.

• Princípio da segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

• Princípio da prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.

• Princípio da não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos.

• Princípio da responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

A Lei Geral de Proteção de Dados possui alguns conceitos importantes para o entendimento:

• Dados pessoais: são informações que identificam um indivíduo, isto é, dados que possibilitem a localização da pessoa (CPF, RG, nome, telefone, e-mail ou endereço).

• Dados sensíveis: são dados que se referem aos valores da pessoa (orientação sexual, posicionamento político, etnia, convicção religiosa, informações sobre a saúde, entre outros. São informações que podem dar origem a algum tipo de preconceito.

• Tratamento de dados: os dados podem ser armazenados, compartilhados, classificados, reproduzidos, acessados, avaliados, processados e transformados em novos dados, com base nos antigos.

• Titular dos dados: o titular consiste na pessoa física dos dados.
• Consentimento aos dados: o consentimento é quando o usuário autoriza e concede a terceiro o uso de seus dados fornecidos. Essa informação deve ser repassada ao sujeito de forma transparente e deve ser esclarecido para que finalidade os dados estão sendo solicitados.

• Anonimização e pseudoanonimização: quando o dado tem alguma associação dificultada por processo técnico, este é chamado de pseudoanonimizado. Quando o dado não pode ser identificado, não pode ser considerado dado pessoal, e é chamado de anonimizado, não se encaixando nas regras da LGPD.

• Controlador e processador: o controlador é o sujeito (ou empresa) que decide e se responsabiliza pelo que será feito com as informações coletadas e seu tratamento.

Quando a infração é comprovada quanto ao uso ilegal dos dados, a empresa pode pagar uma multa de 2% sobre o faturamento até R$ 50 milhões, além de outras penalidades administrativas previstas na Lei Geral de Proteção de Dados.

A lei é clara: todas as empresas (pessoas jurídicas) que coletam e tratam dados pessoais devem se orientar pela lei, independente da área de atuação, as instituições devem se adequar com o objetivo de proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Por outro lado, a lei não se aplica quando o tratamento dos dados é realizado por uma pessoa física, seja para fins exclusivamente particulares e não econômicos, bem como para fins exclusivamente jornalísticos e, ainda, com finalidade artística, além dos tratamentos realizados para fins de segurança pública e defesa nacional.

Assim, podemos dizer que todas as empresas brasileiras serão obrigadas a passar pelo processo de implementação da Lei Geral de Proteção de Dados para evitar penalizações.

A empresa deve procurar um aconselhamento jurídico especializado em Proteção e Privacidade de Dados para saber sobre os impactos legais dessa nova lei. Posteriormente, um plano deve ser adotado com foco na adequação à nova lei.

Além disso, antes de adotar um plano estratégico, é preciso revisar todos os controles e processos da empresa para que seja construído um mapa dos dados sensíveis e dos atuais níveis de proteção. Assim como a elaboração de um Mapa de Riscos de Tratamento de Dados Pessoais da sua empresa.

É preciso saber como, quando e onde todos os dados pessoais de funcionários, clientes e fornecedores são coletados – todos mesmo: de uma simples data de nascimento até informações sobre folha de pagamento. Onde esses dados ficam armazenados? Quais são as camadas de proteção?

Depois do planejamento concluído, é necessário reestruturar as políticas e acordos de confidencialidade e acordo. Sempre que for coletar algum dado pessoal de forma física ou pela internet, o indivíduo deve consentir, ou seja, assinar um termo de consentimento e uso desses dados. A empresa deve ser transparente e o cliente precisa saber como essas informações serão usadas e armazenadas.

Um programa de educação e conscientização dos funcionários da empresa deve ser realizado internamente. Todos devem saber evitar vazamentos e ter a noção das responsabilidades e consequências do mau uso dos dados.

Dessa forma, o titular do dado (pessoa física) passa a ter mais controle sobre o uso e como suas informações pessoais estão sendo utilizadas, além de poder solicitar à empresa (controladora/operadora) o acesso ou remoção de suas informações mantidas dentro da instituição.

Por meio do Decreto 10.474, de 26 agosto de 2020 foi criada a ANPD – Autoridade Nacional de Proteção de Dados – órgão da administração público federal direta, ou seja, integrante da Presidência da República, formada por 23 representantes. As principais atribuições da ANPD são:

• Fiscalização e aplicação das sanções previstas em lei;

• Edição de normas e procedimentos;

• Zelo pela proteção dos dados pessoais;

• Implementação de formas de registros de reclamações;

• Solicitação de informações às empresas quanto ao tratamento de dados.