Neste artigo abordaremos a Lei Geral de Proteção de Dados (LGPD), atualmente um assunto muito importante para as organizações, pois implica em uma série de responsabilidades e mudanças que as empresas terão de tomar.
Tal lei se baseou na General Data Protection Regulation (GDPR), uma regulamentação da União Europeia para o tratamento seguro e consentido dos dados pessoais da população europeia.
Nesse sentido, o objetivo da LGPD é garantir a segurança e transparência no uso dos dados pessoais das pessoas físicas. Tal lei foi sancionada no dia 14 de agosto de 2018 e entra em vigor a partir de agosto de 2020.
Tópicos abordados:
- O que são considerados dados pessoais?
- Como funciona hoje o tratamento de dados pessoais?
- O que diz a LGPD
- Como funcionará a fiscalização para garantir o cumprimento da lei?
- Penalidade ao descumprir a lei
- Como adequar sua empresa à LGPD
O que são considerados dados pessoais?
Primeiro é importante entender quais dados são considerados na hora da aplicação da lei. De acordo com o Artigo 5º da lei:
Dado pessoal: informação relacionada à pessoa natural identificada ou identificável, ou seja, são informações como: telefones, endereços, RG, CPF, e-mail, fotos e vídeos.
Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. Ou seja, são quaisquer informações que podem gerar algum tipo de discriminação.C
Como funciona hoje o tratamento de dados pessoais?
Atualmente as informações pessoais da maior parte das pessoas são utilizadas, sem consentimento, para fins comerciais ou outros. Isso gera uma série de problemas em relação à privacidade da população, justamente pelo fato de dados pessoais serem compartilhados sem autorização clara do titular dessas informações.
Por isso se viu uma necessidade de implementar uma lei que regule a forma que as organizações armazenam, coletam, descartam e utilizam as informações de pessoas físicas.
O que diz a Lei Geral de Proteção de Dados?
De acordo com a lei:
- É necessário obter um consentimento explícito por parte do titular dos dados.
- O titular deverá ter conhecimento em relação à quais dados estão sendo armazenados e quais são os termos de uso dessas informações.
- A empresa deverá ter um documento que comprove a autorização do titular (tal documento deve ter as informações sobre a utilização dos dados de forma clara, para ter certeza de que o titular tem consciência do que será feito com suas informações).
- A empresa deverá garantir a segurança dos dados.
- A pessoa física pode a qualquer momento exigir a remoção de conteúdos que contenham informações suas.
- A lei tem aplicação extraterritorial, ou seja, qualquer organização que trate de dados de cidadãos brasileiros terá de se regularizar conforme a LGPD.
- É necessário que todos os processos que envolverem dados pessoais estejam dentro das exigências da lei, por isso, empresas parceiras que acabam participando de tais processos devem se adequar para não sofrerem penalidades.
Segundo o artigo 4º da lei, não se aplicam ao tratamento de dados pessoais aqueles realizados por pessoa natural para fins particulares e não econômicos, para fins jornalísticos, artísticos, acadêmicos; fins de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais.
A lei também mostra algumas definições a respeito dos encarregados no tratamento dos dados. De acordo com o artigo 5º da lei:
- Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
- Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
- Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem às decisões referentes ao tratamento de dados pessoais;
- Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
- Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)
- Agentes de tratamento: o controlador e o operador;
Nesse sentido, é possível entender que são quatro os principais responsáveis pelo processo de tratamento de dados, sendo eles o titular, o operador, controlador e o encarregado.
Além disso, a LGPD estabelece as situações que envolvem o processo de tratamento de dados:
- Tratamento: toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
- Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
- Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
- Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
- Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
- Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
Qual a amplitude da lei?
De acordo com o artigo 3º da LGPD, as normas se aplicam a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:
- A operação de tratamento seja realizada no território nacional;
- A atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional;
- Os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
Como funcionará a fiscalização para garantir o cumprimento da lei?
De acordo com a nova legislação, a fiscalização será realizada pela Autoridade Nacional de Proteção de Dados (ANPD), que tem o poder de solicitar relatórios de risco à privacidade sempre que entender como necessário. Caso sejam identificadas irregularidades, o órgão pode aplicar multas.
Penalidade ao descumprir a lei
Com o descumprimento da LGPD, as multas podem chegar a até 50 milhões de reais, além disso, a empresa pode perder o direito do uso de dados.
De acordo com o artigo 52, infrações cometidas às normas da LGDP, leva às seguintes sanções:
- Advertência, com indicação de prazo para adoção de medidas corretivas;
- Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
- Multa diária (observado o limite total a que se refere no tópico anterior);
- Publicitação da infração após devidamente apurada e confirmada a sua ocorrência;
- Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
- Eliminação dos dados pessoais a que se refere à infração;
Como adequar sua empresa à LGPD?
Em primeiro lugar, é necessário revisar os processos do tratamento de dados, assim como todo o ciclo de vida destes dentro da empresa, desde o momento em que são coletados e armazenados, até um possível compartilhamento ou eliminação dos mesmos.
É importante analisar com muita cautela exatamente como e por onde esses dados passam, para que a empresa possa avaliar com precisão quais procedimentos deve tomar para que a transação destes dados esteja conforme os regulamentos da lei.
Outro detalhe é dentro da empresa orientar certos colaboradores que sejam responsáveis pela fiscalização do tratamento de dados, além de determinar aqueles que serão os operadores, controladores e o encarregado. Desta forma, a organização consegue ter maior controle destes processos e consegue evitar penalidades.