Tudo que você precisa saber sobre a LGPD!

Tudo que você precisa saber sobre a LGPD!

Lei nº 13.709/2018 (LGPD) foi uma resposta do legislador brasileiro para criar um marco abrangente de proteção aos dados pessoais dos brasileiros. Ela introduz no ordenamento jurídico brasileiro um sistema de regras abrangente e transversal, que incidirá sobre praticamente todos os setores da economia, afetando principalmente o relacionamento com o cliente1.

A adequação a esta LEI exige que seja examinado atentamente os dados pessoais que são coletados e processados pela empresa, com objetivo de assegurar que esse trabalho seja feito de maneira apropriada, transparente e justa, levando em consideração os direitos dos titulares de dados.

O que é a LGPD?

A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) é uma das legislações mais significativas criadas nos últimos anos, conhecida como LGPD. Essa legislação estabeleceu diversos limites e implementações as empresas que controlam e processam dados pessoais dos cidadãos, de forma a propiciar uma proteção mais adequada a esses dados, respeitando direitos como privacidade, intimidade e liberdade de expressão.

Essa lei diz respeito aos dados pessoais dos brasileiros, onde quer que estejam armazenados, além de prever exigências na proteção destes dados e penalidades pelo descumprimento.

Princípios no tratamento de dados pessoais:

Na LGPD são apresentados 10 princípios, além do princípio da boa fé, que devem ser considerados no tratamento de dados pessoais, são eles:

Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

 I – Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II – Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III – Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IV – Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V – Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI – Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VII – Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII – Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX – Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

X – Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

 

Esses princípios, são fundamentais para a garantia da proteção dos dados e devem nortear os direitos básicos dos titulares de dados pessoais, que obrigatoriamente deverão ser observados pelas empresas responsáveis pelo tratamento de dados pessoais.

 

Quais dados estão protegidos pela LGPD?

O objeto de proteção da LGPD são os dados pessoais de um indivíduo, coletados e utilizados na atividade econômica.

Esses dados estão definidos no Art. 5º, I e II da Lei 13.709/2018, sendo:

Dado Pessoal, que é qualquer informação relacionada a um indivíduo, uma pessoa natural identificada ou identificável, como o nome e sobrenome; data de nascimento, CPF, RG, CNH, CTPS, passaporte, título de eleitor, sexo, endereço, e-mail, telefone e etc.

Dado Pessoal Sensível, que são aqueles que se refere a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.


Quais empresas devem se adequar?

 A LGPD é considerada norma de interesse nacional (Paragrafo único do Art. 1º), portanto deve ser observada por todas as esferas públicas como União, estados, Distrito Federal e Municípios.

Quando se fala em interesse nacional, é porque ela ampara os interesses estratégicos e econômicos do País, incluindo valores caros como os direitos humanos e a democracia, sempre em prol da populaçao2.

Sua aplicação, portanto, abrange qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados (Art. 3º).

Assim, todas as empresas, seja de qual tamanho for, que coletam e processam dados pessoais, devem se adequar aos seus artigos.

A única exceção, esta estabelecida no Art. 4º da LGPD, que diz:

 

Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais:

I – Realizado por pessoa natural para fins exclusivamente particulares e não econômicos;

II – Realizado para fins exclusivamente:

  1. a) Jornalístico e artísticos; ou
  2. b) Acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei;

III – Realizado para fins exclusivos de:

  1. a) Segurança pública;
  2. b) Defesa nacional;
  3. c) Segurança do Estado; ou
  4. d) Atividades de investigação e repressão de infrações penais; ou

IV – Provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.

 

COMO SE ADEQUAR A LGPD?

Primeiramente você não pode mais esperar, precisa urgentemente iniciar esse processo dentro da sua empresa, porque deixar o seu negócio em conformidade com a LGPD pode levar alguns meses.

Abaixo apresentamos uma sugestão de como fazer esse processo de adequação:

1º) Nomear uma pessoa (funcionário) para ser o Oficial de Proteção de Dados ou Encarregado;

2º) Criar um comitê executivo para análise e tomadas de decisões;

3º) Realizar um levantamento das áreas (que tratam de dados pessoais), que deverão ser incluídas no programa;

4º) Realizar um inventário dos dados da empresa, mapeando o ciclo de vida dos dados dentro da Empresa;

5º) Escrever o programa de privacidade e proteção de dados, que inclua as políticas de uso do site, demais canais da empresa; política de segurança da informação; etc.;

6º) Criar o relatório de impacto a proteção de dados pessoais;

7º) Criar um plano de ação para situações de emergência (gestão de crise em caso de vazamento de dados);

8º) Elaborar um plano de implementação.


QUAIS AS CONSEQUENCIAS, SE MINHA EMPRESA NÃO SE ADEQUAR A LGPD?

Para aqueles que não se adequarem a LGPD ou darem tratamento dos dados em descumprimento a legislação, estarão sujeitos a:

 

Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:

I – Advertência, com indicação de prazo para adoção de medidas corretivas;

II – Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

III – multa diária, observado o limite total a que se refere o inciso II;

IV – Publicação da infração após devidamente apurada e confirmada a sua ocorrência;

V – Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

VI – Eliminação dos dados pessoais a que se refere a infração;

X – Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;

XI – Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;

XII – Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Essas sanções previstas na LGPD não substituem a aplicação de outras sanções na esfera administrativa, civil, penal ou no código de defesa do consumidor, conforme prescreve o Art. 52, § 2º da Lei 13.709/2018.

 

Autor: Dr Daniel Marinho Mendes

OAB/SP 286.959

 

 

 

Comentários