top of page
Buscar

O que você precisa saber sobre a LGPD

  • Foto do escritor: Luana Jacudi
    Luana Jacudi
  • 27 de out. de 2021
  • 9 min de leitura

Atualizado: 19 de jul. de 2022

Você já deve ter ouvido falar sobre a Lei Geral de Proteção de Dados e suas sanções. Mas você sabe o que são dados pessoais, a quem a Lei se aplica, e por que se preocupar com a proteção de dados, independentemente do tamanho da sua organização?

Este artigo tem o objetivo de trazer as noções básicas para que você compreenda de vez essa novidade legislativa.


A seguir, serão abordados os seguintes assuntos:

  1. Autoridade Nacional de Proteção de Dados

  2. Agentes de Tratamento (controlador e operador)

  3. Encarregado de dados

  4. Banco de dados

  5. Dado pessoal

  6. Dado pessoal sensível

  7. Finalidade de tratamento

  8. Titular de dados

  9. Operações de tratamento



ree


O que e para quem é a LGPD?

A Lei Geral de Proteção de Dados – LGPD (Lei n.º 13.709/2018) regula o tratamento:


a) De dados pessoais: qualquer dado que identifique ou possa identificar uma pessoa física viva (nome, endereço, telefone, placa de automóvel etc)


b) Em meios físicos e digitais: independe se é realizado por meio de manuseio de papel, ou pelo computador/celular, por exemplo.


c) Por pessoa física ou pessoa jurídica, de direito público ou privado: esse tratamento pode ocorrer na padaria, no escritório, na clínica, no Tribunal de Justiça, ou na organização multinacional tecnológica. Aqui não importa o porte da organização. Se há o tratamento de dados pessoais para fins econômicos ou não está entre as exceções previstas na Lei, há a necessidade de implementar a proteção de dados.

Principal objetivo da Lei: Garantir os direitos básicos de liberdade, de privacidade, de intimidade, de vida digna, possibilitando uma vida digna à pessoa humana, sem que seja preciso paralisar a inovação e a tecnologia.

A importância de proteger esses dados vem da mesma ideia da proteção ao domicílio e à privacidade do indivíduo, já que o uso indevido desses dados pode configurar uma violação de direitos básicos previstos na Constituição Federal. Isso porque os dados pessoais dizem respeito à personalidade, sendo a pessoa a quem se refere considerada “dona” – titular – desses dados.


Não existe privacidade sem proteção de dados.

Assim, se você trata algum dado pessoal de pessoa física viva – de seu cliente, paciente, funcionário etc. - para fins econômicos (prestar um serviço, por exemplo) você precisa se atentar à LGPD.

Sua organização estar adequada à LGPD demonstra que existe a preocupação com a proteção dos direitos básicos das pessoas, ganhando mais credibilidade dos usuários de seus serviços, além de diminuir muito o risco de sofrer sanções administrativas e de ser condenado a pegamento de indenização.


Para entender melhor a Lei, vamos apresentar o significado dos termos mais utilizados a seguir.



Glossário

Entenda os principais termos utilizados na Lei:


1. Autoridade Nacional de Proteção de Dados: Órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.


2. Agentes de tratamento: São os responsáveis pelo tratamento de dados, e por isso são responsáveis por responder diante das obrigações impostas. Segundo a LGPD, são:

2.1. Controlador: Pessoa física ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

2.2. Operador: Pessoa física ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

A ANPD publicou em maio de 2021 um Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Acesse clicando aqui.


3. Encarregado de dados: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados – ANPD. Além disso, essa é a pessoa que vai auxiliar a organização a adaptar seus processos aos cuidados com a privacidade e proteção de dados, ficando responsável por orientar os funcionários e os colaboradores e por fazer pareceres sore o tratamento.

É um novo cargo que deverá ser criado nas organizações, e é recomendado que essa pessoa indicada tenha expertise na área da Segurança da Informação e na Proteção de Dados.


4. Banco de dados: Coleção organizada de dados, estabelecido em um ou vários locais, em suporte eletrônico ou físico. Ou seja, é o conjunto de todos os dados que sua organização trata.



5. Dado pessoal: Informação que pode ser usada para identificar, contatar ou localizar uma pessoa física viva.


Exemplos:

- Nome;

- RG;

- CPF;

- Telefone;

- Endereço;

- E-mail;

- Localização GPS.


6. Dado pessoal sensível: Dado pessoal que pode gerar discriminação/ofensa da pessoa a quem se refere, requerendo mais cuidado em seu tratamento.


Exemplos:

- Origem racial ou étnica;

- Convicção religiosa;

- Opinião política;

- Filiação a sindicato;

- Referente à saúde ou à vida sexual;

- Dado genético ou biométrico.


7. Finalidade do tratamento: Realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.


8. Titular de dados: Pessoa física viva a quem se referem os dados pessoais que são objeto de tratamento.


9. Operações de tratamento: Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.


Exemplos:

- Criação de um cadastro de cliente onde consta nome, CPF, telefone e endereço;

- Arquivo ou armazenamento de documentos onde consta dados pessoais (documentos em papel físico, arquivado no armário de algum setor da organização; ou arquivos em pastas no computador/pen-drive);

- Envio de documentos onde constam os dados pessoais para outra organização, escritório de contabilidade, escritório de advocacia, ou parceiro econômico, seja em pastas na nuvem compartilhadas ou envio por e-mail/ mensagem em redes sociais/ entrega dos documentos físicos nas mãos de outra pessoa;

- Uso dos dados pessoais para criar perfis de consumidores;

- Exclusão dos dados pessoais (precisam ser feito da maneira correta).


Agora que conhecemos os termos mais utilizados, vamos falar um pouco das regras que a Lei traz e sua organização precisa saber:


Direito dos titulares

A LGPD prevê alguns dos direitos do titular, para facilitar o acesso às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e detalhada por quem estiver tratando-os, como:

a) Finalidade específica do tratamento;

b) Forma e duração do tratamento, observados os segredos comercial e industrial;

c) Identificação e contato do controlador;

d) Informações acerca do uso compartilhado de dados pelo controlador e a finalidade;

e) Responsabilidades dos agentes que realizarão o tratamento.


Além dessas informações, o titular poderá requerer diretamente do controlador:

a) Confirmação da existência de tratamento;

b) Acesso aos dados;

c) Correção de dados incompletos, inexatos ou desatualizados;

d) Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;

e) Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;

f) Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses legais;

g) Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

h) Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

i) Revogação do consentimento.


O rol não é pequeno, e são apenas exemplos.

Sua organização precisa fazer o possível para já ter documentadas todas as informações que podem ser solicitadas, pois a lei prevê prazos de 15 dias por exemplo – que é muito pouco tempo, principalmente para a organização que não tenha iniciado um programa de implementação da Lei.


Quando se pode tratar dados pessoais?

Caso você queira tratar algum dado pessoal em sua organização, deverá ser com finalidade bem definida e adotar medidas para proteger o dado.

O tratamento de dados pessoais só poderá ser realizado nas seguintes hipóteses:

1. Consentimento pelo titular;

2. Cumprimento de obrigação legal ou regulatória;

3. Execução de Políticas Públicas;

4. Estudos por órgãos de pesquisa;

5. Execução de contrato;

6. Exercício regular de direitos em processo judicial, administrativo ou arbitral;

7. Proteção da vida ou da incolumidade física do titular ou de terceiro;

8. Tutela da Saúde;

9. Legítimo interesse, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;

10. Proteção do crédito.

Saber quais dados pessoais estão sendo tratados e o porquê, identificando uma dessas bases, é o primeiro passo da adequação.

Importante dizer: recorrer ao consentimento do titular ou ao legítimo interesse pode parecer mais fácil, mas na prática o que ocorre é um risco maior! Não são bases legais recomendadas para todo e qualquer tipo de tratamento por serem muito genéricas, difíceis de documentar, podendo ser questionadas a qualquer momento, e no caso do consentimento, também poderá ser revogado pelo titular de dados a qualquer tempo!


Quando a LGPD não se aplica

A Lei prevê alguns casos que a Lei não será aplicada: para fins exclusivamente jornalísticos e artísticos; de segurança pública; de defesa nacional; de segurança do Estado; de investigação e repressão de infrações penais; fins particulares e domésticos (ex.: troca de telefone entre amigos ou ter um backup de fotos sem fins econômicos).

Além disso, a Lei não se aplica a dados pessoais de fora do Brasil.


Autoridade Nacional de Proteção de Dados

A Autoridade Nacional de Proteção de Dados – ANPD é o órgão de administração pública federal que tem a competência fazer cumprir a LGPD, podendo/devendo, por exemplo:

- Fiscalizar e aplicar sanções;

- Apreciar petições de titular contra controlador;

- Editar normas, orientações e procedimentos;

- Promover o conhecimento das normas, políticas públicas e medidas de segurança voltadas para a proteção de dados pessoais.


Com a LGPD é uma novidade legislativa e o tema deve acompanhar as tendências tecnológicas, a ANPD vai auxiliar na interpretação da Lei nos próximos anos, definindo regras novas a serem adotadas e exceções. Importante ficar sempre atento ao portal do órgão.


Sanções

Quando não há a adequação à LGPD, os riscos de se ter um dano ao titular é grande. Por isso, na Lei estão previstas sanções que estão valendo desde o de 1º de agosto de 2021. São elas:


1. Advertência;

2. Multa simples, de até 2% (dois por cento) do faturamento, podendo chegar a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

3. Multa diária, observado o limite de R$ 50.000.000,00 (cinquenta milhões de reais);

4. Publicização da infração;

5. Bloqueio dos dados pessoais até a regularização;

6. Eliminação dos dados pessoais;

7. Suspensão parcial do funcionamento do banco de dado, podendo chegar ao período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento;

8. Suspensão do exercício da atividade de tratamento dos dados pessoais pelo período máximo de 6 (seis) meses, prorrogável por igual período;

9. Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.


Apesar de a maior preocupação das organizaçãos no momento ser a aplicação das multas, pode não ser a pior das sanções previstas.

Imagine a publicização, com todos os usuários dos serviços da sua organização e seus parceiros econômicos ficando cientes de que a organização não se preocupou em proteger os dados, não respeitando, portanto, uma Lei Federal e, pior ainda, a Constituição Federal de seu país?

Ou, imagine o tratamento de dados pessoais ser suspenso ou proibido? Se o funcionamento da sua organização se der por conta desse tratamento, significa a paralização da prestação de serviços!


Por que se preocupar agora?

A LGPD estabelece que os agentes de tratamento “devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.

A LGPD requer um novo modelo corporativo, uma verdadeira cultura de Proteção de Dados, exigindo maior atenção a:

Governança de dados;

Transparência com os titulares de dados;

Plano de Incidente de Segurança.


Essa cultura não nasce da noite para o dia. Leva tempo, mas não precisa ser difícil. Com auxílio de profissionais qualificados e treinamentos para a equipe que compõe a organização, o resultado pode ser muito positivo e um diferencial no mercado.

A Autoridade Nacional de Proteção de Dados Pessoais – ANPD ainda não iniciou de fato a aplicação das multas. Isso pode ser entendido como um ótimo momento para começar um programa de implementação de proteção de dados o quanto antes.

Invista na prevenção, ela não sai caro!


Verdades e mitos

Só o consentimento do titular basta – MITO

É recomendado que o consentimento do titular seja utilizado apenas quando a Lei exigir. Ele não prevalece sobre as outras bases legais. Se utilizado equivocadamente, poderá ser aplicada multa.


A LGDP abrange dados de pessoas falecidas e de Pessoas Jurídicas – MITO

A Lei só se aplica aos dados pessoais de pessoas físicas vivas.


A LGPD também protege dados pessoais armazenados em locais físicos, como uma pasta no escritório - VERDADE

Não importa o lugar do armazenamento, o que importa e deve ser avaliado é: existe tratamento de dados pessoais? Se sim, bem provável que a Lei se aplique.


A implementação dessa Lei na minha organização será simples e rápida – MITO

O que se busca é implementar uma cultura de proteção de dados. Uma cultura não nasce do dia para o outro. Precisa de muita conscientização, definição clara dos objetivos e dos meios adequados de tratar os dados. Mas isso não significa é que impossível ou precisa ser complexo.


Minha organização é de pequeno porte e por este motivo não preciso me adequar – MITO

Não é o porte da organização que determina ou não a aplicação da Lei. Um escritório onde só exista uma única pessoa tratando os dados, com fins econômicos por exemplo: a LGPD se aplica.


A LGPD permite que os clientes solicitem acesso ou exclusão dos dados armazenados - VERDADE

Como visto acima, muitos são os direitos dos titulares de dados. Eles podem solicitar informações sobre como é realizado o tratamento de seus dados, inclusive pedir acesso aos dados dele coletados, assim como pode solicitar a exclusão (que deverá ser atendido caso não haja motivo claro para manter os dados armazenados, ex.: para cumprimento legal).




Gostou desse artigo?

Nos envie seu feedback!

E queremos saber: Você tem alguma dúvida sobre a LGPD?






Comentários

bottom of page