Uma realidade no exterior e no Brasil, a LGPD deve estar entre os temas prioritários das empresas e da Administração Pública. O vazamento de informações pessoais e uso indevido de dados são objeto de fiscalização e autuação pelos órgãos de defesa do consumidor e pelo Ministério Público, representando um perigo real aos que descumprirem as normas já vigentes.
O advogado João Henrique Rabelo, especialista em Direito do Consumidor e Direito Administrativo, fala com exclusividade para o Blog do Primo e esclarece alguns pontos importantes sobre a Lei Geral de Proteção de Dados Pessoais (LGPD), que entrou em vigência nesta sexta-feira 18/09/2020.
Qual é o objetivo da LGPD e a quem ela se destina?
A Lei Geral de Proteção de Dados Pessoais (LGPD ou LGPDP), Lei nº 13.709/2018, é a legislação brasileira que regula as atividades de tratamento de dados pessoais e que também altera os artigos 7º e 16 do Marco Civil da Internet.
A LGPD foi criada com o objetivo de proporcionar ao cidadão brasileiro um controle maior sobre o tratamento de seus dados pessoais. Para isso, a LGPD estabelece princípios e cria regras que devem ser observados tanto por organizações privadas quanto públicas, além de criar entidade reguladora específica para o tema.
Em quais casos de tratamento de dados pessoais a lei é aplicada?
A lei se aplica a qualquer operação que envolve a coleta e o tratamento de dados pessoais e que seja realizada em território brasileiro.
Quem fiscaliza o cumprimento da lei?
A fiscalização referente à LGPD será primariamente realizada pela Autoridade Nacional de Proteção de Dados (ANPD). Este órgão foi criado para fiscalizar o cumprimento da lei, zelar pela proteção de dados pessoais, elaborar diretrizes e também aplicar as sanções em casos de irregularidade. Ademais, o Ministério Público continua competente para lidar com a questão no que tange os direitos difusos dos cidadãos. Os órgãos de proteção ao consumidor também poderão atuar em defesa dos consumidores que se sentirem prejudicados com o uso indevido de seus dados.
O que é a ANPD?
ANPD é um órgão da administração pública federal com autonomia técnica e decisória, vinculado à Presidência da Republica, responsável por fiscalizar e garantir o cumprimento da lei, bem como aplicar sanções administrativas em caso de descumprimento. A ANPD guiará a interpretação da Lei e regulamentará padrões e técnicas aplicáveis às questões de segurança da informação, além poder requisitar informações sobre tratamentos de dados pessoais para agentes de tratamento, editar normas e orientações.
Quem é o “titular”?
É a pessoa natural a quem se referem os dados pessoais que são objetos de coleta e tratamento.
O que são “dados pessoais”?
De acordo com a lei, um dado pessoal é informação relacionada à pessoa natural identificada ou identificável. Como exemplos: número do CPF, data de nascimento,profissão, endereço residencial e e-mail.
O que são “dados pessoais sensíveis”?
É qualquer dado pessoal, conforme estabelecido na lei, sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Como é permitido o compartilhamento de dados pessoais?
De acordo com a LGPD, o compartilhamento de dados pessoais pode ocorrer em caso de consentimento expresso e específico do titular dos dados e pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres.
É permitido o compartilhamento de dados pessoais sensíveis?
A LGPD já determina que o compartilhamento de dados sensíveis com o objetivo de obter vantagem econômica poderá ser vedado ou regulamentado pelas autoridades, e no caso específico de dados de saúde determina a vedação, exceto nos em casos de consentimento expresso ou para a adequada prestação de serviços de saúde suplementar, de assistência farmacêutica e de assistência à saúde, incluídos os serviços auxiliares de diagnose e terapia.
O que compreende o tratamento destes dados?
O tratamento de dados é um conceito abrangente, que inclui qualquer tipo de manipulação realizada com informações pessoais. Processos comuns a diversos tipos de empresas incluem, geralmente, a coleta, a reprodução, o acesso, o armazenamento e a distribuição de dados pessoais. Um exemplo simples? A criação de uma lista de e-mails.
Quais são os casos de tratamento de dados pessoais em que a LGPD não será aplicada?
São os casos em que o tratamento de dados pessoais for feito por uma pessoa física, para fins particulares, e não comerciais, por exemplo, coleta de dados pessoais dos integrantes da família para a montagem de uma árvore genealógica; para fins exclusivamente jornalísticos, artísticos e acadêmicos; ou pelo Poder Público – no caso de segurança pública, defesa nacional, segurança do Estado e atividades de investigação e repressão de infrações penais.
O Poder Público também está sujeito às disposições da LGPD?
Sim, os dados pessoais tratados pelo Poder Público também estarão sujeitos à LGPD. Porém, o Poder Público pode tratar dados pessoais sem pedir o consentimento do titular sempre que for necessário para a execução de políticas públicas. O Poder Público também poderá tratar dados pessoais, fora do escopo da lei, no caso de segurança pública, defesa nacional, segurança do Estado e atividades de investigação e repressão de infrações penais, que serão tratados de acordo com legislação específica, que contenha medidas proporcionais e necessárias para que o tratamento de dados pessoais atenda ao interesse público. Para a criação das normas específicas para esses casos, a Autoridade Nacional de Proteção de Dados Pessoais – ANPD emitirá recomendações e opiniões técnicas.
Qual o papel da tecnologia na implementação da LGPD?
A análise e as ações para entrar em conformidade com a LGPD devem passar por pessoas, processos e tecnologia. Por conta de todas as variáveis envolvidas, o uso da tecnologia faz muita diferença e é importante, pois, dependendo do tamanho e nível de complexidade de uma organização, gerenciar todo o ambiente de acordo com os requisitos da lei sem uma ferramenta de gestão que consiga agregar, registrar e controlar todas as demandas pode se tornar extremamente difícil.
Segundo o Art. 49 da Lei, os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na Lei e às demais normas regulamentares.
Quais são as penalidades que podem ser aplicadas nos casos de irregularidades?
A penalidade imposta irá depender da avaliação da ANPD, mas pode ser uma advertência, a determinação da publicação e divulgação da infração cometida, o bloqueio ou eliminação dos dados que sofreram violações e também multas simples e/ou diárias.
Ações que infrinjam a lei podem acarretar em multas?
As multas são de até 2% do faturamento da empresa, limitados a R$ 50.000.000,00 (cinquenta milhões de reais) por infração, além da possibilidade de suspenção das atividades de coleta e tratamento, sem prejuízo da indenização pelos danos que causarem aos titulares dos dados.
Como proceder em caso de incidente de dados pessoais?
Em caso de incidentes o Controlador, pessoa responsável pela gerência desses dados (DPO – Data Protection Officer), através deverá comunicar à autoridade nacional e ao(s) titular(es) dos dados comprometidos, além de executar as medidas para reverter ou mitigar os efeitos do incidente, conforme plano previamente estabelecido de resposta a incidentes e remediação da empresa.
Com que frequência devo atualizar a documentação de implementação LGPD?
Os documentos de implementação (chamados de registros) e de utilização da LGPD devem estar sempre atualizados, portanto, se algo mudar na sua empresa na área de tratamento de dados pessoais, deve-se realizar uma nova auditoria para atualizar a documentação.