Informativos

20 passos sobre como implantar a LGPD na sua empresa

20 passos sobre como implantar a LGPD na sua empresa

É de fácil percepção que a sociedade tem mudado nos últimos tempos, especialmente em relação à tecnologia, não é mesmo?

Estamos em uma era da informação, na qual dados e informações dos cidadãos são utilizados de maneira indiscriminada, razão pela qual a regulamentação de uma nova lei, para proteção de dados, era mais que necessária. 

Em setembro de 2020, entrou em vigor a nova Lei Geral de Proteção de Dados - LGPD, que dispõe diversas regras a serem observadas pelas empresas, tanto públicas quanto privadas, a respeito do tratamento de dados pessoais. 

Assim, todas as empresas deverão cumprir as normas para proteção dos dados pessoais, pois, caso contrário, serão severamente punidas pela Autoridade Nacional de Proteção de Dados - ANPD, instituição criada para fiscalização.

Para você ter uma ideia, o Poder Judiciário já vem responsabilizando empresas pelo mau uso dos dados tratados, o que se tornará ainda mais visível e rigoroso com as sanções previstas na LGPD.

Como exemplo, podemos apresentar o caso ocorrido em São Paulo, em que a magistrada da 13ª Vara Cível de cidade de São Paulo condenou uma construtora por compartilhar dados de um cliente em R$ 10.000,00 (dez mil reais), a título de danos morais sofridos pelo cidadão, que havia sido assediado por diversas empresas pelo fato de ter firmado contrato com a referida empresa para a aquisição de unidade autônoma em empreendimento imobiliário (Processo nº 1080233-94.2019.8.26.0100).

A infração decorrente do mau uso dos dados pessoais do cliente foi constatada uma vez que o cliente recebeu contatos não autorizados de bancos, consórcios, empresas de arquitetura e fornecimento de mobiliários. 

Na mesma linha, o Superior Tribunal de Justiça decidiu, no fim de 2019, um caso concreto acerca de tratamento de dados, concluindo-se que: 

[...] A gestão do banco de dados impõe o dever de comunicar por escrito ao consumidor a abertura de cadastro e dados pessoais.

- O fato de se tratarem de dados usualmente fornecidos pelos próprios consumidores quando da realização de qualquer compra no comércio, não afasta a responsabilidade do gestor do banco de dados.

- o consumidor não está, implícita e automaticamente, autorizando o comerciante a divulgá-los no mercado; está apenas cumprindo as condições necessárias à concretização do respectivo negócio jurídico entabulado, confiando ao fornecedor a proteção de suas informações pessoais. [...]

- o fato de alguém publicar em rede social uma informação de caráter pessoal não implica o consentimento, aos usuários que acessam o conteúdo, de utilização de seus dados para outra finalidade, ainda mais com fins lucrativos. Dano moral in re ipsa (STJ, Resp 1.758.799, MG. Rel. Min. Nancy Andrighi. Data do julgamento 12.11.2019). 

Perceba que a decisão é anterior à publicação da LGPD, sendo imprescindível que seu negócio se ajuste às regras da lei, sob pena de vir a sofrer de multas e até a impossibilidade de utilização de dados. 

Tendo em vista que o tema abrange uma série de peculiaridades, elaboramos um conteúdo completo sobre como implementar a LGPD na sua empresa, não deixe de conferir a seguir.


O que é a LGPD?

A LGPD (Lei nº 13.709/2019) foi baseada na Lei Europeia (GPDR - General Data Protection Regulation), que está vigente desde o ano de 2018.

A Lei Geral de Proteção de Dados regulamenta “o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural” (art. 1º).

O titular dos dados é a pessoa natural proprietária das informações pessoais, ou seja, você, seus colaboradores, seus sócios, seus clientes, fornecedores e etc.

Dados são todas as informações sensíveis ou não sensíveis que identifiquem quem é o titular, como RG, CPF, endereço, profissão, crenças religiosas ou filosóficas, características físicas, psicológicas e muito mais. 

A lei define quem são as pessoas que são consideradas responsáveis pelo tratamento de dados, ou seja, trata-se de uma cadeia de pessoas que podem infringir as normas, motivo pelo qual é imprescindível que seu negócio saiba como implementar a LGPD.

Quando a LGPD entra em vigor?

O Projeto de Lei de proteção de dados foi promovido no ano de 2018, mas somente após muito debate e, com o advento da pandemia do coronavírus (que alterou drasticamente a forma de se viver na sociedade), entrou em vigor.

A lei foi publicada em setembro de 2020 e já está valendo. Contudo, para dar um fôlego aos empresários, a fim de conhecerem e implementarem as regras nos negócios, a aplicação de sanções estará vigente a partir de 2021.

Todas as empresas têm o prazo de poucos meses para implantarem a lei e evitarem penalidades.

Agora, para você entender como deve implementar a LGPD, confira o passo a passo que criamos adiante.

20 Passos para implementar a LGPD

  1. Entenda a LGPD

Conforme destacamos acima, a LGPD visa a proteção da liberdade, privacidade, informação, comunicação, opinião e direitos humanos (honra, imagem, dignidade, personalidade, exercício da cidadania) de todos os cidadãos. 

Para assegurar tais direitos dos titulares, a lei passou a dispor regras sobre o tratamento de dados, ou seja, como, quando e porque cada informação pode ser utilizada, além de especificar sanções pelo uso indevido.

Existem dois principais pilares que regem a normativa: finalidade do tratamento e consentimento do titular. 

A finalidade é o motivo pelo qual serão tratados os dados. Você precisará alinhar, em resumo, o porque trata os dados pessoais e por quanto tempo será necessário. 

O consentimento do titular, ou seja, do cliente, funcionário, gestor, parceiros e etc, deverá ser manifestado expressamente por escrito. O titular poderá revogar o consentimento a qualquer tempo, também. 

Ou seja, a política de privacidade deve ser uma obrigação e não mais uma faculdade das empresas, pois a ANPD poderá solicitar relatórios sobre o caminho do tratamento de dados. 

Mas o que é tratamento de dados?

O tratamento de dados configura-se mediante qualquer conduta que utilize uma informação pessoal de alguém, por exemplo:

  • coleta

  • armazenamento

  • transmissão

  • compartilhamento

  • eliminação

  • destruição

  • correção

  • utilização

  • classificação

  • e outras.

E quem é o titular de dados? 

Segundo a lei, é “a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento”, ou seja, o cidadão que tem os dados próprios utilizados pelas empresas. Incluem os próprios gestores, colaboradores internos e parceiros externos na prestação de serviços. 

Os responsáveis pelo tratamento são definidos como: controlador, operador e encarregado. 

Explicamos o que consiste cada um.

Controlador: “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”;

Operador: “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”;

Encarregado: “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”

Em um exemplo prático, para você entender melhor, se sua empresa contrata uma terceirizada para prestação de serviços de recursos humanos, sua empresa, responsável pelos funcionários a serem contratados, é o controlador, a terceirizada é o operador. 

Porém, se você, como empresa, é o controlador, terá responsabilidade sobre o mau uso de qualquer informações pelas empresas parceiras. Entende a importância de se adequar à lei?

  1. Estabeleça um time de compliance

A implantação da LGPD está diretamente ligada ao programa de compliance. 

O programa de compliance é caracterizado por um conjunto de condutas preventivas, cujo objetivo é regularizar estrategicamente o interno da organização e impedir prejuízos por desconhecimento da lei e normas complementares.

O termo “compliance” ganhou força com a Lei Anticorrupção (12.846), em vigor desde 2013, que dispõe sobre a responsabilidade das empresas pela prática de infrações contra a administração pública (poder público).

Para evitar punição às empresas por infrações administrativas, muitas vezes cometidas sem a intenção ou conhecimento da conduta infratora, a lei regulamentou sobre a necessidade de ser adotados os programas de compliance, que podem ser divididos por setores, como o financeiro, tributário, trabalhista, administrativo, ambiental e outros. 

E como isso deve ser feito? Por meio de um planejamento estratégico, acompanhado por um advogado, de preferência, especializado na área. 

A importância da assessoria jurídica diz respeito ao conhecimento técnico do profissional, que possui o respaldo legal e jurídico, como forma de prevenção de riscos, facilitando e, de fato, impedindo prejuízos às empresas por descumprimento das leis vigentes. 

No que diz respeito à LGDP, a lógica é a mesma. 

É importante que um profissional da área jurídica acompanhe a implantação da LGPD, promovendo a instalação de uma equipe de compliance, a fim de prever riscos e adotar medidas preventivas acerca do tratamento de dados pessoais. 

E como funciona?

A equipe irá organizar todo o interno da empresa, a fim de especificar quais dados são necessários o tratamento, qual a finalidade, respeitando a transparência perante o titular, oportunizando o aceite e conhecimento da finalidade. 

O caminho a ser percorrido pelos dados pessoais devem, portanto, estar bem alinhados, reduzindo as chances de ocorrer punição pelo uso indevido de informações.


 

  1. Tenha um profissional especializado à sua disposição (DPO)

Os responsáveis pelo tratamento de dados podem ser três figuras: controlador, operador e encarregado. Este último merece uma atenção especial.

Os encarregados são denominados como “Data Protection Officer” - DPO e são os profissionais que devem estar responsáveis por todo o processo de tratamento e proteção de dados.

Sua empresa deverá implementar um novo cargo, a fim de regularizar, fiscalizar e tratar dados da forma correta.

Isso porque a ANPD - Autoridade Nacional de Proteção de Dados, entidade criada para fiscalizar as empresas em relação às normas da LGPD, poderá solicitar informações às organizações. 

Quem será o responsável por fornecer tais esclarecimentos será o encarregado. Por isso a importância deste profissional.


 

  1. Crie um Canal de comunicação em sua página


 

São diversas as medidas a serem adotadas pelas empresas, a fim de se adequarem à LGPD. Uma delas é a criação de canal de comunicação.

Explicamos que dois pilares da LGPD são os mais importantes: finalidade e consentimento. 

Somados a estes dois grandes princípios, a transparência é uma característica que deve ser priorizada, pois o titular de dados deve conhecer e entender o motivo do tratamento dos dados pessoais, bem como por quanto tempo serão utilizados. 

O canal de comunicação em sua página prestará como um instrumento de garantia da transparência com os titulares dos dados que são tratados, oportunizando a solicitação de informações complementares, bem como o direito à revogação do consentimento, portabilidade, dentre outros. 


 

  1. Ative os Consentimentos de Cookies em sua página


 

Certamente você já percebeu, em alguns sites, a existência de uma caixa de pergunta solicitando o aceite dos cookies, não é?

A finalidade dessa caixa é resgatar a permissão para manusear informações pessoais do titular, mediante o aceite dos cookies, quando navega pelo site.

É um formato de termo de uso e privacidade, que deve ser lido e aceito pelo titular dos dados, sendo ótima alternativa para implementar na sua página.


 

  1. Veja quais leis devem ser cumpridas


 

A regularização da empresa de acordo com a LGPD exige o conhecimento de diversas leis, você sabia?

Exatamente.

Os princípios que regem a LGPD são direitos fundamentais previstos na Constituição Federal de 1988, lei maior no ordenamento jurídico brasileiro, que deve ser respeitada por legislações infraconstitucionais e, também, pelas pessoas que vivem em sociedade.

Desta forma, a primeira lei a ser cumprida é a Constituição Federal.

Somado a ela, há o Código de Defesa do Consumidor e o Código Civil. São leis que regulamentam as relações humanas, dispondo sobre direitos e deveres. 

As relações de consumo têm uma peculiaridade, pois uma das partes sempre será considerada vulnerável em relação a outra. É o exemplo de uma empresa que presta serviços a uma pessoa física. 

Há relação de consumo entre pessoas jurídicas, também.

Nestes casos, o Código de Defesa do Consumidor deve ser respeitado, em conjunto com as normas da LGPD, evitando prejuízos àqueles que são vulneráveis. 

O Código Civil, por outro lado, é a lei que regulamenta toda e qualquer relação, quando não aplicável o CDC (Código de Defesa do Consumidor). 

Além destas normas, existem as específicas em relação aos tributos e relações trabalhistas (Código Tributário Nacional e Consolidações das Leis do Trabalho), que devem ser analisadas em conjunto com a LGPD.

Todas estas regulamentações são alinhadas no planejamento empresarial (Compliance), conforme mencionamos anteriormente. 

Reforçamos, assim, a importância da assessoria jurídica para implantação da LGPD na sua empresa.


 

  1. Faça um mapeamento do curso das informações pessoais dentro da empresa

A adequação da LGPD quanto ao tratamento de dados depende de uma estruturação interna empresarial.

Você deverá identificar as bases legais que possui contato na sua empresa. O que isso significa?

Bases legais são as hipóteses de tratamento de dados. A classificação dos dados é, por tal motivo, imprescindível. 

Você precisa saber quais os tipos de dados que utiliza para dar o tratamento correto. Isso será possível com um mapeamento do curso das informações pessoais dentro da empresa.

Neste mapeamento, será possível identificar a modalidade dos dados em tratamento, qual a finalidade, qual o período de tratamento e, se necessário, obter o consentimento do titular.

Etapa essa que servirá para averiguar eventuais compartilhamentos de dados entre controlador e operador, por exemplo. 

Isso porque o controlador é quem responde pelos prejuízos causados pelo operador, no tratamento errôneo de dados.

Se há necessidade de compartilhamento de dados, deverá ser identificado de maneira prévia, através do mapeamento.


 

  1. Agrupe os dados e identifique os respectivos ciclos de vida

Uma dica muito importante na implantação dos dados é, após a identificação das bases legais, buscar anonimizá-los. 

Anonimizar o dado nada mais é do que torná-lo anônimo, ou seja, impossível de identificar quem é o titular. 

Por exemplo, quando for guardar o CPF do titular, utilizar asteriscos para tornar anônimo: 057******-00.

Quando não for possível a anonimização, é imprescindível que você crie uma linha do tempo, agrupando os dados a serem utilizados e classificando o ciclo de vida deles, até a eliminação. 

Você precisa ter em mente que o dado não pode permanecer parado, sem uso, razão pela qual é importante estabelecer o ciclo de vida da informação, evitando penalidades pelo desuso.


 

  1. Identifique os riscos quanto ao manuseio dos dados


 

A LGPD também busca evitar o vazamento ou falhas na segurança de dados dos titulares, ou seja, o uso de informações pessoais sem autorização.

Durante o planejamento estratégico para implantação da LGPD na sua empresa, será necessário identificar os riscos quanto ao manuseio dos dados, oportunizando a adoção de medidas preventivas contra prejuízos eventuais aos titulares.

Algumas medidas que deverão ser tomadas pelas empresas, a fim de evitar os riscos, são:

  • Identificar os dados e solicitar o consentimento do titular;

  • Identificar as bases legais e fornecer o tratamento adequado;

  • Criar canal para livre acesso do titular aos seus dados pessoais;

  • Garantir a transparência do tratamento de dados em relação aos titulares;

  • Prever medidas para impedir prejuízos aos titulares;

  • Prever medidas para segurança dos dados quando houver incidentes;

  • Implementar instrumentos e ferramentas de segurança das informações.


 

  1. Desenvolva um planejamento de transição

A transição da empresa pré e pós LGPD é importantíssima, pois quem não se adequar às regras será severamente punido com multas altíssimas, além de outras sanções como a publicização da infração e até mesmo a eliminação dos dados pessoais a que se refere a infração.

Desta maneira, o planejamento de transição é essencial, sendo altamente recomendado que você esteja amparado por um advogado especialista na área, garantindo o cumprimento das leis vigentes e das normas próprias da LGPD.

A transição é a fase na qual a empresa identifica os dados que já estão em tratamento para promover as medidas necessárias de acordo com  LGPD.


 

  1. Adapte os procedimentos para que estejam de acordo com a LGPD

No percurso do planejamento de transição, medidas preventivas deverão ser tomadas, especialmente adaptando os procedimentos internos da empresa para que estejam de acordo com a LGPD.

Lembrando que um responsável pelo tratamento de dados deverá fazer parte da organização.

A adequação deverá partir de dentro para fora da empresa. O que significa isso?

Que a empresa deverá priorizar a identificação das bases legais e tipos de dados que trata internamente, antes de tudo, e somente após partir para o externo.

Os dados dos funcionários, gestores, sócios, parceiros, fornecedores e etc, deverão ser tratados de forma correta, sendo identificado o ciclo de vida das informações pessoais. 

Na sequência, deverá ser traçado um plano de tratamento para os dados de terceiros que não estão vinculados à organização e que já estão sendo manuseados.

Assim, adotar sistemas de controle para visualização do ciclo dos dados pessoais, bem como outras ferramentas para adequar à LGPD, serão importantes.


 

  1. Revise contratos antigos para evitar irregularidades

Uma das fases da transição que citamos acima diz respeito às relações já existentes, para adequação à LGPD, ou seja, sobre os dados que já são tratados pela empresa. 

Para evitar sanções, é imprescindível que os contratos antigos sejam revisados. 

A revisão deverá identificar, novamente, os tipos de dados em tratamento (sensíveis ou não sensíveis), as bases legais (hipóteses de tratamento), a finalidade (motivo do tratamento) e o ciclo de vida (período de manuseio dos dados).

Isso porque o titular deve manifestar expressamente o consentimento do uso de dados pessoais, sendo oportunizado, ainda, a revogação em qualquer tempo. 

Para que isso ocorra, os contratos deverão ser revistos.

  1. Saiba o que fazer com os dados não estruturados

Pode ocorrer de alguns dados não se encaixarem em alguma das hipóteses de tratamento previstas em lei.

Nestes casos, recomenda-se que você busque a anonimização ou eliminação das informações pessoais.

Outra opção é corrigir o dado para que ele se ajuste a alguma das bases legais que permitem a utilização dos dados, conforme apresentado pela LGPD.

Tenha em mente que nenhum dado pode permanecer parado, sem uso adequado à lei.


 

  1. Formule uma política de segurança e privacidade

A implantação de política de segurança e privacidade se tornou uma ferramenta obrigatória, praticamente. 

O termo de uso e privacidade deve ser criado como instrumento para coletar o aceite do titular dos dados, impedindo o uso indevido de informações. 

Lembrando que o consentimento é um dos pilares da LGPD, a fim de que os titulares conheçam o motivo e a finalidade dos dados pessoais.


 

  1. Mantenha os documentos e canais de comunicação atualizados

O encarregado da empresa, além de identificar os dados e as bases legais, será responsável por manter documentos e canais de comunicação atualizados.

Ou seja, identificando o ciclo de vida e finalidade do tratamento, a empresa deverá cumprir com o que foi estabelecido. Caso contrário, poderá ser responsabilizada. 

Os canais de comunicação são importantes para livre acesso das informações pelos titulares, garantindo a transparência e segurança ao titular sobre o uso de dados.

Além disso, o canal de comunicação será peça importante para permitir a revogação do consentimento pelo titular.


 

  1. Peça o consentimento dos titulares e os gerencie

Estamos batendo muito na tecla do consentimento do titular. 

A LGPD é rigorosa quanto à proteção e segurança dos dados, motivo pelo qual o planejamento e controle do uso de informações é imprescindível.

O consentimento deve ser solicitado ao titular e gerenciado por escrito. É a partir deste documento que será demonstrado o aceite inequívoco sobre o uso dos dados pessoais do titular.

Os contratos e políticas de uso e privacidade são instrumentos eficazes para coleta de consentimento.

  1. Prepare os responsáveis para a proteção dos dados

Como já mencionamos, existem três possíveis agentes no percurso do tratamento de dados: controlador, operador e encarregado. 

Todos eles são responsáveis pelo correto uso e proteção dos dados e, por tal razão, a preparação de todos eles deve ser priorizada, além dos colaboradores, fundamentais na execução e manutenção da legislação.

  1. Treinamento de colaboradores terceirizados

A responsabilidade pelo mau uso de dados pessoais pode gerar multas severas à empresa. 

Assim, identificar todos os agentes do tratamento de dados é uma etapa importantíssima, pois o treinamento da nova política adotada pela empresa deverá ocorrer inclusive com os colaboradores terceirizados. 

Explicamos no início deste post que os operadores podem ser empresas terceirizadas, certo?

Estes terceiros devem ser treinados para manuseio dos dados nos exatos termos estipulados pelo controlador - empresa principal que trata as informações pessoais. 

Se a empresa falhar no treinamento dos colaboradores terceirizados, poderá ser responsabilizada pelo uso indevido de dados pessoais. Fique atento.


 

  1. Confira as exceções com relação ao consentimento

A LGPD prevê algumas hipóteses de dispensa do consentimento do titular. Confira:

  • quando os dados forem manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos na Lei;

  • quando os dados forem utilizados para uma das hipóteses abaixo indicadas: 

a) cumprimento de obrigação legal ou regulatória pelo controlador; 

b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos; 

c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis; 

d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;

e) proteção da vida ou da incolumidade física do titular ou de terceiro; 

f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou  

g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos previstos na Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

Esses hipóteses são razoáveis, pois, por mais que a LGPD preveja a concessão de direitos ao titular, eles não se podem sobrepor a outras legislações mais específicas. É o caso, por exemplo, de uma contabilidade, que irá manter o armazenamento das informações do Imposto de Renda dos seus clientes, em razão de exigência da Receita Federal. 

Da mesma forma, não é razoável que o paciente, ao adentrar o hospital em situação de emergência, seja obrigado a prestar consentimento para que possa ser realizado o seu tratamento. Ainda que para isso, o Hospital tenha acesso a dados sensíveis, como o seu tipo sanguíneo. 

O que é importante sempre ressaltar que a LGPD estará em igualdade com outras legislações regulatórias de mercado, por isso a importância de um profissional especializado a fim de poder traçar as melhores práticas para cada hipótese apresentada.

  1. Monitore todos os processos

Após a implantação das ferramentas e instrumentos de acordo com a LGPD, deverá ser criado um sistema de tecnologia da informação para monitoramento de todos os processos instalados para controle.


 

O que a LGPD afeta nos contratos?

A LGPD afeta diretamente os contratos existentes e os futuros, uma vez que todos os dados coletados contratualmente deverão ser, salvo exceções da lei, autorizados mediante consentimento pelo titular. 

Além disso, os tipos de dados, formas de tratamento e o período de manuseio deverá ser explicado ao titular.

Por tal razão, conforme já falamos anteriormente, a LGPD afetará diretamente as relações contratuais da empresa.

Vale citar, ainda, que não estamos nos referindo apenas aos clientes. A premissa é válida para coleta de informações dos funcionários, colaboradores, gestores e etc.

Qual o custo para se adequar à LGPD?

Ao longo deste post, analisaremos a importância de ocorrer um planejamento estratégico para implantação da LGPD na empresa. 

O custo deste planejamento vai variar conforme as etapas a serem cumpridas pela organização, mediante assessoria jurídica.

No entanto, o custo que você teria com o pagamento das multas e indenizações por irregularidades no tratamento de dados seria muito maior. 

Para você ter ideia, a multa administrativa a ser fixada pela ANPD pelo descumprimento da LGPD pode chegar de 2% do faturamento anual da empresa até o limite de R$ 50 milhões de reais por infração cometida. Irá depender do porte da empresa. Isso sem levar em consideração indenizações fixadas pelo Poder Judiciário e o dano à imagem da empresa.

Fica claro que o valor para remediar o problema é muito maior do que adotar medidas preventivas em planejamento. 

Quais dados se enquadram na LGPD?

Para definir os dados pessoais, a LGPD se baseou na Lei do Acesso à Informação, promulgada em 2011, que regulamenta os procedimentos a serem observados pelo poder público, com o fim de garantir o acesso a informações. 

Para aquela lei, informação pessoal está relacionada a uma pessoa física, identificável ou identificada.

No entanto, algumas informações pessoais não estão inseridas na proteção legal. Busca-se proteger especialmente aquelas que possam violar o direito de personalidade de qualquer indivíduo.

A LGPD acompanhou a regulamentação da lei do acesso a informações, definindo os tipos de dados e qual o nível de segurança a ser considerado para cada um. Destaca-se:

Dados pessoais não sensíveis (públicos): são as informações pessoais de cada indivíduo, como RG, CPF, endereço, nome completo, telefone. A LGPD define as situações que essas informações podem ser tratadas pelas empresas.

Dados pessoais sensíveis: são aqueles relacionados às características físicas ou comportamentais, ou seja, à biologia ou escolhas da pessoa, como: religião, origem racial e étnica, opinião política, dados referentes à saúde e vida sexual. Informações que podem expor uma pessoa. 

Dados anonimizados: são dados relativos ao titular que passaram por técnicas, direta ou indiretamente, de remoção ou modificação, de modo a não permitir a identificação do titular. 

Para cada tipo de dado, a lei determina uma forma de tratamento. 

A ideia é, sempre que possível, o operador ou controlador dos dados, busquem a anonimização ou pseudo anonimização. Existindo a possibilidade de reversão do processo que alcançou a anonimização do dado, este processo deixa de ser considerado como anonimizado e passa a ser denominado “pseudonimização”, passando a ter técnicas específicas para o tratamento adequado.

Quando não possível a anonimização, o tratamento dos dados não sensíveis e sensíveis seguem as normativas específicas da LGPD, a fim de proteger o titular contra o mau uso de seus dados.

A quem se aplica a LGPD?

A Lei prevê que as normas relativas ao tratamento de dados são aplicáveis às pessoas naturais e jurídicas, de direito público e privado.

O tratamento de dados que necessita se adequar à LGPD pode ser realizado em qualquer país, onde estiver localizada a sede da pessoa jurídica ou onde estiverem localizados os dados pessoais em tratamento, desde que:

  • a operação seja realizada no território nacional;

  • a finalidade do tratamento seja de oferta ou oferecimento de bens ou serviços  ou o tratamento de dados de indivíduos localizados no território nacional; e,

  • a coleta dos dados tenha ocorrido em território nacional. Para fins de averiguação do território, será considerado o país no qual ocorreu a coleta de dados na presença do titular.

Não se aplica às normas da LGPD o tratamento de dados:

  • para fins particulares e não econômicos;

  • para fins artísticos, jornalísticos ou acadêmicos;

  • realizados para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação/repressão de infrações penais.

Consequências do não cumprimento da LGPD?

Segundo a lei,  ''o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo”.

Ou seja, quando constatada a irregularidade inerente ao tratamento de dados, poderá vir o controlador ou operador serem responsabilizados mediante pagamento de indenização ao titular, pelos prejuízos causados, além de aplicação de multa pela ANPD de 2% sobre o faturamento anual da empresa até o limite de R$ 50 milhões de reais por infração cometida.

Além disso, ressalta-se que, a fim de assegurar a efetiva indenização ao titular dos dados, a lei prevê que:

I - o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos na lei; e

II - os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos na lei. 

Percebe-se que as consequências são gravíssimas às empresas que não se adequarem à LGPD. 

Por fim, vale destacar que a imagem da empresa no mercado pode ser “manchada” por motivo destas punições por irregularidades no tratamento de dados de terceiros, sendo recomendável prevenir os riscos. 

Ficou com alguma dúvida? Deixe seu comentário, será um prazer lhe orientar.

Deixe seu comentário: