A LGPD, ou Lei Geral de Proteção de Dados (Lei 13.709/18), tem impactos práticos no dia a dia de empresas, consumidores e advogados. Confira os principais artigos da LGPD comentados e veja o que mudou na legislação de proteção de dados, desde 2018.
Atualmente, vivemos em um cenário digital. Muitos negócios e empresas têm seu próprio site, suas próprias redes sociais e, por conta disso, atraem inúmeros visitantes todos os dias.
E esses visitantes, como sabemos, realizam compras online, baixam materiais, se cadastram em diferentes portais… enfim, cedem seus dados pessoais em troca de algum resultado.
Diversas notícias já estamparam jornais relatando sobre o vazamento de dados pessoais de milhares de pessoas, por parte de diferentes empresas. Como lidar com isso, em um cenário de tanta insegurança?
É nesse meio que surge a Lei Geral de Proteção de Dados, buscando regulamentar todo o tratamento fornecido às informações particulares cedidas pelo próprio indivíduo, e que deve ser objeto de conhecimento por parte de todos os advogados e empreendedores.
Neste artigo, abordaremos os principais pontos sobre a referida lei, desde sua criação até as dúvidas mais frequentes sobre ela. Confira!
A LGPD (Lei Geral de Proteção de Dados) é a lei brasileira que regulamenta o tratamento de dados pessoais por todos aqueles que, de alguma forma, captam informações sensíveis sobre os indivíduos, seja no meio digital ou não.
Todas as etapas do tratamento criados pela LGPD (na forma da Lei 13.709/18) devem ser seguidas por pessoas naturais e pessoas jurídicas, tanto públicas, quanto privadas, que captam dados, principalmente no meio online.
Ao mesmo tempo, a LGPD busca dar maior poder ao titular dos dados pessoais, a fim de que esse indivíduo possa exercer determinados direitos enquanto seus dados estiverem sob posse de uma pessoa natural ou jurídica.
A Lei Geral de Proteção de dados é uma legislação extensa, que envolve diferentes conceitos da tecnologia, nomeia atores a partir de suas funções e estabelece formas de tratar os dados. Entender a linguagem da lei, portanto, é fundamental.
Abaixo, explicamos alguns conceitos que ajudam nesse entendimento, a partir de três categorias:
Vamos ver os termos e significados mais importantes, dentro de cada um desses três grupos.
O principal fator que influenciou o surgimento da LGPD no Brasil foi a GDPR (General Data Protection Regulation), traduzida como Regulamento Geral sobre a Proteção de Dados, legislação europeia que entrou em vigor em 2018.
Embora tenha entrado em vigor há pouco tempo, a GDPR teve seu texto final apresentado em 2012. Nessa época, ela foi considerada pioneira, com dispositivos legais inovadores para combater os crimes virtuais que aconteciam por toda a Europa.
Sua aplicabilidade, muito similar à LGPD, foi estendida às empresas e aos consumidores, a fim de manter os dados pessoais dos indivíduos protegidos contra eventuais ataques, invasões e vazamentos de informações.
De acordo com o artigo 1º da Lei Geral de Proteção de Dados, o objetivo da sua criação é “proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”.
A partir dessa definição, analisando toda a LGPD, podemos extrair dois grandes objetivos que pautam seus dispositivos legais: a proteção de direitos da pessoa natural e a transparência de informações.
A necessidade de se criar um tratamento especial aos dados pessoais e sensíveis dos indivíduos pauta-se, justamente, na proteção de direitos fundamentais dos indivíduos.
Esses direitos são, por sua vez, o de liberdade, de privacidade, de intimidade.
Ao buscar a proteção dos dados pessoais de um indivíduo, o legislador garante que as pessoas naturais ou jurídicas que os manusearem e/ou que tiverem acesso a eles, realizarão uma série de procedimentos de segurança, a fim de que não sejam objeto de alguma ação ilegal ou antiética.
Da mesma forma que busca garantir a proteção de dados, a LGPD também age em prol da transparência de informações em favor do próprio titular.
Isso quer dizer que a lei vem para estipular alguns direitos para os indivíduos, a fim de que lhes seja possível acionar as pessoas e empresas em busca de informações acerca de si mesmo e, claro, saber o que está sendo feito com seus dados pessoais.
Com isso, entende-se que essa transparência e esse acesso aos próprios dados constantes em bancos de terceiros é um dos objetivos da LGPD.
No momento de sua criação, a LGPD definiu alguns princípios, os quais deverão ser observados por todos aqueles que, de alguma forma, captam dados e informações de indivíduos e se enquadram na lei.
Esses princípios estão elencados no Art. 2º da LGPD, se aplicando a toda a lei. São os seguintes:
Contudo, quando o assunto é tratamento de dados, a LGPD conta ainda com outros 10 princípios. Estes, devem nortear toda e qualquer ação de coleta e tratamento de dados pessoais.
Esses princípios estão presentes no Art. 6º da Lei 13.709/18, e compreendem:
Vejamos, o que cada um desses princípios do tratamento de dados significa?
A finalidade está prevista no Art. 6º, inciso I da LGPD. Por meio desse princípio, entende-se que qualquer atividade de coleta e tratamento de dados deve seguir propósitos legítimos, específicos, explícitos e, sobretudo, informados ao titular.
Assim, por exemplo, ao captar dados (nome, e-mail, documento) de um usuário do seu site, por meio de um formulário, sua empresa deverá informar a esse titular com que finalidade esses dados serão captados.
O princípio da finalidade também deixa claro que os dados coletados não poderão ser utilizados posteriormente, para outras finalidades que não aquelas inicialmente especificadas.
Assim, seguindo com o exemplo do formulário, se sua empresa informa ao usuário que está coletando os dados para entrar em contato com ele por meio telefônico, não poderá, posteriormente, usar esses dados para enviar promoções e ofertas por e-mail.
Nos termos do art. 6º, inciso II, o princípio da adequação se refere à “compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento”.
Na prática, os dados coletados e tratados precisam estar adequados aos propósitos e objetivos do negócio. Se você informa ao usuário que está coletando dados para, por exemplo, realizar a matrícula dele num curso online, pode coletar informações relacionadas à escolaridade desse futuro aluno, mas não pode coletar dados de saúde, religião ou posição política.
O princípio da necessidade vai de encontro ao princípio anterior, da adequação.
A LGPD assim define a ideia de necessidade: “limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados”.
O objetivo do princípio da necessidade, em última análise, é garantir que os agentes que coletam e tratam dados o façam priorizando coletar o mínimo de dados possível.
No caso hipotético de um formulário online para entrar em contato com o usuário por telefone, faz sentido coletar o telefone e o DDD do titular de dados. Mas, é possível que não haja necessidade de coletar seu endereço, por exemplo.
O princípio do livre acesso, expressado no Art. 6º, inciso IV da LGPD, tem por objetivo garantir ao usuário que ele poderá acessar, a qualquer tempo e de forma facilitada, informações sobre os dados pessoais próprios coletados pelo órgão ou agente.
Bem como, visa garantir que o titular de dados possa ter livre acesso à informações sobre o tratamento dado aos seus dados pessoais. In verbis:
IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
O princípio da qualidade dos dados tem por objetivo a garantia de que os dados pessoais sejam coletados e priorizados priorizando a exatidão, clareza, relevância e atualização.
Portanto, a qualidade e atualização dos dados é, em última análise, um direito dos titulares.
O princípio da transparência está presente em toda a LGPD e norteia grande parte das normativas da Lei.
No Art. 6º, inciso VI é enunciado da seguinte forma:
VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
Assim, fica claro, todo o tratamento de dados realizado deve estar acessível e transparente ao titular dos dados, desde que não fira o segredo comercial ou industrial das organizações.
A LGPD tem, em seu âmago, a segurança e proteção de dados como pilares fundamentais. Assim, no inciso VII encontramos a segurança como requisito e princípio de qualquer atividade de tratamento de dados.
Para além, o texto da lei trata de colocar sobre o agente que faz o tratamento de dados a responsabilidade por garantir essa segurança, nos seguintes termos:
VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
A prevenção, como princípio do tratamento de dados, visa garantir que ações de minimização de risco sejam adotadas, para proteger os dados pessoais coletados.
O texto da lei, ao definir o princípio da prevenção, menciona especificamente a adoção de medidas que permitam prevenir “a ocorrência de danos” durante o processo de tratamento.
A princípio da não discriminação deixa explícito que os dados pessoais não podem ser coletados ou tratados com o fim ou de modo discriminatório ou abusivo.
O último princípio fundamental do tratamento de dados de acordo com a LGPD é o da responsabilização e prestação de contas, expresso no inciso X do art. 6º.
Em termos práticos, esse princípio indica que não basta que o agente de tratamento adote medidas preventivas, de segurança, cuidado ou transparência com os dados pessoais. Ele deve publicizar isso, prestar contas e responsabilizar-se pelas ações tomadas. In verbis:
X- responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Como se pode perceber, a LGPD, em si, trouxe diversas inovações para o ordenamento jurídico brasileiro, incluindo novas formas de proteção aos direitos fundamentais dos cidadãos.
Nesse viés, existem alguns pontos que, certamente, se destacaram, desde o momento em que a lei foi promulgada. São eles:
Para os profissionais do Direito que precisam encarar, de modo prático, a aplicação da LGPD em seus ambientes de trabalho e na vida de seus clientes, é essencial conhecer os principais pontos da lei.
Por isso, abaixo, separamos alguns dos principais artigos da LGPD comentados.
O artigo 1º da LGPD tem por mérito estabelecer o que é objeto da lei. Assim, lê-se:
Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Parágrafo único. As normas gerais contidas nesta Lei são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e Municípios.
Sobressai do texto legal acima a noção de que estão abarcados pela LGPD apenas os dados pessoais. Como a própria lei define, dado pessoal é aquele ligado à pessoa natural, identificada ou identificável.
Assim, não estão inclusos na LGPD os dados ligados à pessoas jurídicas.
Outro ponto que merece atenção é quanto a abrangência dos formatos e meios onde esses dados são coletados ou tratados. A LGPD não se limita ao meio digital, tampouco o exclui.
E, por mim, mas não menos importante, a LGPD abarca entes de Direito Público e Privado. Por isso, mesmo os órgãos da administração pública direta e indireta precisam estar de acordo com ela.
O artigo 3º da Lei Geral de Proteção determina o escopo de aplicação da lei. Conforme segue:
Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:
I – a operação de tratamento seja realizada no território nacional;
II – a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou
III – os dados pessoais objeto do tratamento tenham sido coletados no território nacional.§ 1º Consideram-se coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta.
§ 2º Excetua-se do disposto no inciso I deste artigo o tratamento de dados previsto no inciso IV do caput do art. 4º desta Lei.
Fica evidente no texto do dispositivo, que a lei abrange qualquer atividade de tratamento de dados com fim comercial.
Destaque também para a abrangência territorial. A LGPD contempla operações de tratamento realizadas no Brasil. Isto inclui, por exemplo, dados pessoais de estrangeiros em território nacional.
Se o art. 3º traz as hipóteses de aplicação da LGPD, o artigo 4º se encarrega de trazer as exceções a sua aplicação. De modo geral, a LGPD não se aplica ao tratamento de dados realizado:
O artigo ainda traz regramentos adicionais para, por exemplo, o tratamento com finalidade de segurança pública, de Estado, ou defesa nacional. E, em algumas hipóteses, prevê a elaboração de legislação auxiliar para regrar especifidades.
O Art.7º da LGPD é, possivelmente, um dos mais importantes de todo o texto legal. Isso porque traz, em detalhes, os requisitos para a realização do tratamento de dados pessoais.
Assim, esse artigo ganha uma aplicação bastante prática no dia a dia de qualquer pessoa ou organização que colete, armazene ou trate dados. Vejamos o que diz a letra da lei:
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I – mediante o fornecimento de consentimento pelo titular;
II – para o cumprimento de obrigação legal ou regulatória pelo controlador;
III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;
VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.§ 1º e § 2º [revogados]
§ 3º O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.
§ 4º É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei.
§ 5º O controlador que obteve o consentimento referido no inciso I do caput deste artigo que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas nesta Lei.
§ 6º A eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas nesta Lei, especialmente da observância dos princípios gerais e da garantia dos direitos do titular.
§ 7º O tratamento posterior dos dados pessoais a que se referem os §§ 3º e 4º deste artigo poderá ser realizado para novas finalidades, desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular, assim como os fundamentos e os princípios previstos nesta Lei.
Merece destaque a exigência de consentimento para o tratamento de dados, bem como, as exceções criadas quando se tratar de dado tornado público.
Ademais, a lei trata de permitir o tratamento em situações relacionadas à direitos fundamentais do cidadão, como a proteção da vida e a tutela de saúde.
A LGPD muito fala sobre o tratamento de dados, mas, e quanto ao término desse processo? O artigo 15 da lei trata de delimitar as hipóteses em que o tratamento é considerado encerrado.
Vejamos quais são elas:
Art. 15. O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:
I – verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
II – fim do período de tratamento;
III – comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no § 5º do art. 8º desta Lei, resguardado o interesse público; ou
IV – determinação da autoridade nacional, quando houver violação ao disposto nesta Lei.
Assim, o encerramento do tratamento pode ocorrer por vontade da organização, ao fim de um prazo ou período de tratamento. Entretanto, pode também se dar por vontade externa, seja de uma autoridade, seja do próprio titular, ao revogar seu consentimento.
O armazenamento dos dados pessoais tratados é uma questão bastante sensível para a Lei Geral de Proteção de Dados. A priori, após o fim do tratamento, os dados devem ser eliminas.
Contudo, o artigo 16 da LGPD prevê as hipóteses em que o agente ou organização pode guardar (ou conservar) esses dados pessoais. Na letra da lei:
Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:
I – cumprimento de obrigação legal ou regulatória pelo controlador;
II – estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
III – transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou
IV – uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
Fica evidente no texto legal uma preferência pela conservação dos dados em formato anonimizado, sempre que possível. Com isso, evita-se a descoberta da identidade do titular de dados.
Por fim, mas não menos importante, cabe comentar o artigo 18 da LGPD, que versa sobre os direitos do titular de dados. De modo geral, a lei busca protegê-lo, criando mecanismos para a segurança e privacidade dos seus dados pessoais. Assim, tem-se:
Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:
I – confirmação da existência de tratamento;
II – acesso aos dados;
III – correção de dados incompletos, inexatos ou desatualizados;
IV – anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
VI – eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
VII – informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
VIII – informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
IX – revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.
[…]
De modo geral, o texto da LGPD trata de fornecer ao titular de dados maior governança e transparência sobre seus próprios dados.
A lei permite que o titular não apenas verifique quais dados estão sendo tratados e de que forma isso é feito, como também garante que o titular tome ação sobre eles: exija sua correção, portabilidade, eliminação, anonimização, entre outros.
Diante das inovações trazidas, podemos dizer que a LGPD impactou três vertentes diferentes: as empresas, os consumidores e as outras áreas do direito. Abordaremos cada uma delas a seguir.
A LGPD trouxe uma série de procedimentos que devem passar a fazer parte da rotina das empresas, a fim de que estas tratem os dados pessoais e sensíveis que, de algum modo, tenham coletado.
Nesse processo legal, a lei também conceitua figuras que devem fazer parte do tratamento de dados e requisitos que devem ser observados. Diante disso, as organizações devem elaborar planos de contingência, realizar auditorias e resolver incidentes com agilidade, a fim de se adequarem o quanto antes aos preceitos da lei.
Isso porque a LGPD prevê várias sanções administrativas que podem ser aplicadas caso as empresas incorram em alguma infração, além de que também podem sofrer penas civis e criminais.
Diante desse novo cenário, a Lei Geral de Proteção de Dados impacta as empresas na medida em que deverão desenvolver um plano de implementação da lei, além de utilizar dos programas de compliance para fins de readequar suas políticas internas, seus códigos de conduta, as atuações de cada departamento e conscientizar os colaboradores acerca dos preceitos legais.
Ao fazer isso, as organizações garantem que não serão alvo de crimes cibernéticos e que farão o que a LGPD prevê para coibir essas práticas que possam levar ao vazamento ou uso indevido de dados pessoais.
Para colocar em prática muitas das medidas previstas em lei, a LGPD cria a figura do encarregado de dados, também chamado de Data Protection Officer (DPO).
Na prática, esse profissional é indicado pela empresa e assume a responsabilidade de atuar como canal de comunicação entre o controlador (agente ou organização), os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). A definição provêm do texto legal, em seu Art. 5º, inciso VIII.
Para além, a exigência de um encarregado de dados nas organizações tem o efeito colateral de impulsionar o processo de implantação da LGPD, já que o encarregado acaba por responsabilizar-se por essa demanda.
E, em certa medida, também serviu para desenvolver um novo campo de estudo e atuação para os profissionais do direito, sobretudo os que atuam em departamentos jurídicos. Mas não apenas eles.
Na prática, enquanto algumas empresas tem designado profissionais internos para assumir a responsabilidade como DPOs, outras tem terceirizado essa função, por meio de escritórios de advocacia ou profissionais autônomos.
Outra parte dos impactos da LGPD se direcionou aos consumidores, de forma positiva.
Além de possuir uma legislação garantindo a necessidade de seu consentimento para tratamento de seus dados pessoais, os consumidores também receberam uma gama de direitos dos quais podem usufruir quando quiserem ter acesso a alguma informação constante em bancos de dados empresariais.
Diante da complexidade da Lei Geral de Proteção de Dados, seu advento serve como forma de conscientizar os indivíduos acerca da divulgação de seus próprios dados, principalmente no meio digital.
De todo modo, a referida legislação surge para resguardar os direitos fundamentais dos cidadãos, principalmente os relacionados à privacidade e intimidade.
Em algum nível, é certo que a LGPD impactará todos os ramos jurídicos.
Um exemplo claro é o direito contratual, uma vez que cláusulas garantindo a privacidade de dados e a aplicação do tratamento adequado previsto na LGPD deverão ser incluídas nos instrumentos jurídicos realizados pelas empresas.
No direito bancário, também se vislumbram os impactos da LGPD, uma vez que dados pessoais e sensíveis dos indivíduos (desde nome, CPF, endereço, até contas bancárias, formas e dados de pagamentos, empréstimos realizados) são compartilhados diariamente com as instituições do ramo.
O direito do trabalho, por sua vez, também é impactado pela Lei Geral de Proteção de Dados na medida em que as relações dele provenientes coletam diversas informações pessoais dos trabalhadores e prestadores de serviço, os quais também precisam ser tratados da forma legal devida.
Como se pode perceber, a LGPD veio para ficar e seus desdobramentos irão revelar, de forma efetiva, a forma com a qual seus impactos vão se concretizar.
Responsável por assegurar a conformidade legal dentro das organizações, o setor de Compliance (funcionário, equipe interna ou, mesmo, consultoria externa) carrega a desafiadora missão de adequar a empresa à LGPD e acompanhar o desempenho da organização no que tange à segurança de dados.
Logo, a LGPD exige das empresas um aumento significativo no nível de maturidade dos Programas de Compliance no que diz respeito à privacidade e segurança de dados. Sintoma disso é o crescimento dos Data Protection Officer, encarregados de dados, e agentes de proteção de dados, conforme pedia a lei.
Um dos desafios desse tipo de profissional é fazer com que compliance e LGPD efetivamente andem juntas. Isto é, assegurar que todo projeto executado segue as premissas de segurança de dados. Uma maneira de fazer isso.
Abaixo, separamos um passo a passo para implantar o compliance em relação à LGPD. São ações práticas, que precisam ser adotadas pelo jurídico da empresa, para garantir conformidade. Veja:
A nomeação de um encarregado interno, que atuará como Encarregado de Dados, é essencial para que se promova, assim, a comunicação entre os titulares dos dados pessoais, a própria organização e a futura autoridade nacional responsável pela regulação e fiscalização das novas regras trazidas pela LGPD. Portanto, este é o primeiro passo para a implementação do compliance e adequação à LGPD.
O segundo passo é um diagnóstico sobre a realidade da empresa no tocante aos indicadores de conformidade com a LGPD, porque isto revelará o que resta ser trabalhado para atender aos controles exigidos.
Em seguida, é o momento de elaboração da matriz de risco (com base no diagnóstico feito) e do plano de ação. Neste plano, então, devem ser inseridos os controles técnicos, documentais e procedimentais, além da previsão de treinamentos e campanhas de conscientização das equipes, dos parceiros, fornecedores e clientes.
Depois de elaborar a matriz risco, o ideal é fazer, portanto, um mapeamento do fluxo de dados para definição da nova governança junto à área de tecnologia da informação, especialmente no que se refere aos controles de consentimento. Trata-se do caminho a ser percorrido internamente: coleta do dado, seu uso, compartilhamento, enriquecimento, armazenamento nacional ou internacional, com ou sem uso de nuvem, eliminação e, também, portabilidade dos dados.
Posteriormente, vem a elaboração ou atualização do Código de Conduta da empresa com vistas a disseminar a cultura de respeito à proteção de dados pessoais.
Feito o Código de Conduta, prossegue-se, enfim, com a elaboração ou atualização da Política de Privacidade e de Gestão de Dados Pessoais, considerando os vários procedimentos trazidos pela nova lei sobre fluxo, padrão de criptografia, guarda de logs e etc. Tais documentos, contudo, devem ser assinados por todas as empresas do mesmo grupo econômico.
O passo seguinte, desse modo, é a elaboração de um checklist capaz de verificar, previamente a qualquer contratação, se a outra parte também está em conformidade com as novas regras de proteção de dados pessoais.
Posteriormente, é aconselhado fazer a atualização das cláusulas de contratos com parceiros e fornecedores que realizam qualquer tipo de tratamento de dados. Atenção especial deverá ser voltada, dessa forma, àqueles parceiros que fornecem soluções de gestão de informação, nuvem, e-mail, marketing, big data, mídias sociais, dentre outros – todos os atos em parceria que envolvam coleta de dados, produção, recepção, classificação, acesso, utilização, transmissão, armazenamento, enriquecimento ou, mesmo, eliminação de dados.
A atualização das cláusulas, então, deve ser sucedida de uma revisão e atualização das cláusulas de contratos firmados com seus funcionários e consumidores finais, incluindo-se, aqui, os termos de confidencialidade, também denominados NDA (non disclosure agreement).
Por fim, é o momento da elaboração ou revisão dos Termos de Uso e da Política de Privacidade disponibilizada ao consumidor final, expondo com clareza sobre o tratamento dos dados, a finalidade do seu uso, a justificativa jurídica para tanto, além de novos direitos dos usuários como portabilidade, exclusão, minimização de uso, limitação e outros.
Mas, o que acontece quando a empresa não consegue implantar a LGPD? No final de fevereiro de 2023, a Autoridade Nacional de Proteção de Dados (ANPD) publicou o “Regulamento de Dosimetria e Aplicação de Sanções Administrativas”. Nesse regulamento, estão previstas as seguintes sanções para quem cometer infrações à LGPD, ou reincidir nelas (art.3º):
O documento ainda prevê três classificações de grau para as infrações: leve, média ou grave. Na hora de definir qual será o grau aplicado a uma infração determinada, poderão ser considerados pelo menos 12 critérios – dentre eles, a boa-fé do infrator e a pronta adoção de medidas de correção.
A seguir, veremos duas das sanções que mais assombram as empresas: as multas simples e diárias.
No que diz respeito às multas da LGPD, a primeira modalidade é a multa simples. Ela se aplica em infrações graves ou quando não há cumprimento de medidas corretivas ou preventivas. O valor-base da multa é cálculado com base no faturamento da empresa no último exercício anual, entre outras variáveis.
A multa simples pode ser acrescida, nos percentuais abaixo, conforme as circunstâncias registradas:
Em caso de mais de uma circunstância registrada, os percentuais de acréscimo poderão ser somados. Há, também, uma série de fatores atuantes da multa simples, que foram estabelecidos no mesmo regulamento.
De modo geral, por fim, vale a diretriz expressa no artigo 15, II, do regulamento, segundo o qual o valor da multa não poderá superar “2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado de empresas no Brasil no seu último exercício, excluídos os tributos, ou a R$ 50 milhões.”
A multa diária da LGPD não poderá ser aplicada irrestritamente. Como fica claro no art.16 do Regulamento, ela deve ser acionada apenas para “assegurar o cumprimento, em prazo certo, de uma sanção não pecuniária ou de uma determinação estabelecida pela ANPD”.
Sua aplicação também é válida quando, após notificado sobre o cometimento de irregularidades, o ente deixar de saná-las no prazo assinalado pela ANPD. Ou, por exemplo, quando houver a prática de obstrução à atividade de fiscalização. Uma terceira hipótese, por fim, é a de infração permanente, não cessada até a decisão de aplicação da multa.
Assim como ocorre na multa simples, também na diária o valor a ser pago não poderá superar os 2% do faturamento da pessoa de direito privado, ou então, o limite máximo de R$ 50 milhões por infração.
Para saber mais sobre as multas na LGPD, ouça o Juriscast a seguir:
Embora seja uma legislação relativamente recente, desde 2018, quando foi sancionada, a Lei Geral de Proteção de Dados (Lei 13.709/15) já foi alterada em pelo menos duas ocasiões.
Abaixo, confira as principais atualizações e mudanças na LGPD, desde a sua publicação.
Embora a Lei 13.853/19 promova alterações em mais de uma dezena de artigos da LGPD, inclusive em sua ementa, a maior contribuição desta lei está na inclusão de artigos para delimitar a atuação da Autoridade Nacional de Proteção de Dados (ANPD).
É por meio dos artigos 55-B até 55-L que são estabelecidos os objetivos, a formação do conselho e estrutura de cargos da ANPD, bem como suas competências e receitas.
Além disso, a alteração legislativa promovida pela Lei 13.853 ainda trata de criar outro órgão: o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. Delimita-se, na lei, sua composição, formação e competências, entre outros pontos.
A medida provisória 1.124, publicada em junho de 2022, promove alterações pontuais na LGPD, sobretudo no que diz respeito à formação da ANPD.
Em resumo, a MP altera o regime da Autoridade Nacional de Proteção de Dados, que passa a ser considerada uma autarquia de regime especial.
Outra alteração promovida pela mesma medida provisória é a transformação de certos cargos em cargos em comissão. O principal cargo comissionado transformado pela lei é o de Diretor-Presidente da Autoridade Nacional de Proteção de Dados. Na prática, trata-se do principal cargo do Conselho Diretor do órgão.
Diante da inovação e da recência da LGPD, existem dúvidas que são frequentes para os profissionais jurídicos e para aqueles que estão tendo de implementar a referida lei em seus negócios.
Confira as principais dúvidas abaixo.
Todas as pessoas naturais identificadas ou identificáveis têm seus dados protegidos pela LGPD. Isso quer dizer que, mesmo que não exista um nome ou um CPF em um cadastro, mas existem outros dados capazes de identificar uma pessoa, ela já está acobertada pela proteção da LGPD.
Com isso, entende-se que os dados de empresas (pessoas jurídicas) não são protegidos pela lei.
A Lei Geral de Proteção de Dados serve para proteger os direitos fundamentais de privacidade, intimidade e liberdade da pessoa natural, o que inclui os dados pessoais e dados sensíveis a seu respeito.
A LGPD protege diferentes direitos fundamentais, sendo eles:
– A privacidade;
– A liberdade de expressão, de comunicação e de opinião;
– A intimidade;
– A honra e a imagem;
– O acesso à informação;
– Os direitos humanos;
– O livre desenvolvimento da personalidade;
– A dignidade e o exercício da cidadania;
– Os direitos do consumidor.
A LGPD define a existência de três tipos de dados: os dados pessoais; os dados pessoais sensíveis e os dados anonimizados. Os dados pessoais são aqueles que dizem respeito a uma pessoa natural identificada ou identificável. Já os dados pessoais sensíveis são informações mais específicas sobre um indivíduos, como origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, dado referente à saúde ou à vida sexual, entre outros. Por fim, os dados anonimizados são aqueles em que o titular não pode ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
Caso não sejam cumpridos os dispositivos da LGPD, o infrator incorrerá em sanções administrativas, previstas no art. 52 da lei.
Dentre elas, poderão ser aplicadas:
– advertência, com indicação de prazo para adoção de medidas corretivas;
– multa simples, dentro dos parâmetros estipulados pela lei;
– multa diária;
– publicização da infração após devidamente apurada e confirmada a sua ocorrência;
– bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
– eliminação dos dados pessoais a que se refere a infração;
– suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
– suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
– proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Além disso, a LGPD também prevê a possibilidade de serem aplicadas, concomitantemente, sanções civis e penais, conforme elencado em seu art. 52, §2º.
Algumas condutas proibidas no tratamento de dados são:
– Ausência de consentimento do titular, exceto nas hipóteses legais;
– Realizar o tratamento com vício de consentimento;
– A comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nos casos legais;
– Divulgar resultados de pesquisas e estudos informando dados pessoais dos participantes.
As funções de fiscalização e zelo pela LGPD são exercidas pela Autoridade Nacional de Proteção de Dados (ANPD), que foi constituída pela Lei 13.853/19.
De modo geral, a LGPD entrou em vigor 24 meses após sua publicação, ou seja, em agosto de 2020. Contudo, alguns artigos em especial tiveram sua entrada em vigor adiada. É o caso, por exemplo, da fiscalização e da aplicação de sanções, que só tornaram-se vigentes em 01º de agosto de 2021.
Diante de todo o exposto, nota-se que a LGPD é uma legislação de extrema importância no ordenamento jurídico brasileiro, surgindo em um momento crucial em que tanto se fala em proteção e privacidade de dados, principalmente na internet.
Desta forma, compreender a forma como a LGPD deve ser aplicada nas organizações e a forma como se relaciona com outras áreas jurídicas deve ser objeto de estudo de todos os advogados, pois é certo que a lei trará muitos desdobramentos, em diversos âmbitos, pelos próximos anos.
View Comments
Excelente artigo. Parabéns.
Meu Deus, que artigo incrível! O canal no YouTube também é tudo de bom, cara, te desejo muita prosperidade por toda a ajuda que tu me deu!!!