Guia didático LGPD

Guia-didático-LGPD

De início, destacamos que o Guia didático LGPD* foi elaborado para ajudar você que deseja iniciar um projeto de adequação do seu negócio à Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709/2018). 

(*esse Guia está atualizado de acordo com o Guia Orientativo de maio de 2021  e os esclarecimentos das Sanções Administrativas, ambos elaborados pela Autoridade Nacional de Proteção de Dados – ANPD)

O material foi produzido com intuito de traduzir os termos jurídicos, por meio de perguntas e respostas, e com exemplos práticos.

Boa leitura. 

1. O que é a LGPD ? 

A LGPD dispõe sobre o tratamento de dados pessoais, sendo por meio físico ou digital, realizado por pessoa física ou por pessoa jurídica, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade das pessoas.

2. Quem deve se adequar à LGPD?

Tanto as empresas como os profissionais autônomos que utilizam dados pessoais em seu negócio devem iniciar um projeto de adequação à LGPD.

Porém, a LGPD não é aplicada as pessoas físicas que usam dados pessoais com finalidades domésticas.

Por exemplo:

  • utilização de rede social, troca de correspondências, lista de contatos, blogs etc.

E, de acordo com o recente Guia Orientativo da ANPD, os funcionários  – do setor público ou privado – que trabalham mediante subordinação das decisões de empresas (poder diretivo, art. 2 e 3 da CLT) também não são considerados agentes tratamento. 

3. O que são dados pessoais?

Dados pessoais são informações de pessoas naturais vivas que, direta ou indiretamente identificam um indivíduo.

A informação direta é aquela que permite a imediata individualização da pessoa.

A informação indireta, por sua vez, é a que permite, por meio da reunião de dados, chegar à identificação do sujeito.

Nesse Guia, sempre que possível citaremos exemplos, vejamos:

  • identificação direta: nome completo.
  • identificação indireta: endereço, profissão, características físicas, nome etc.
3.1  O que são dados pessoais sensíveis?

São aqueles que podem causar discriminação a uma pessoa, por isso merecem maior proteção.

De acordo com a lei, dados sensíveis são aqueles que tratam sobre:

  • origem racial ou étnica
  • convicção religiosa
  • opinião política
  • filiação a sindicato ou a organização de caráter religioso
  • filosófico ou político
  • dado referente à saúde ou à vida sexual
  • dado genético ou biométrico, quando vinculado a uma pessoa natural

Por exemplo:  o resultado do exame de um paciente que é diagnosticado com  HIV -positivo – deve ser guardado em um lugar extremamente seguro, seja um documento digital ou físico.

4. O que é tratamento de dados pessoais?

O tratamento de dados pessoais é toda operação realizada com informações de pessoas vivas.

Por exemplo:

  •  armazenamento de dados, compartilhamento, retenção etc
5. Quem é o titular dos dados?

O titular dos dados é uma pessoa física que mediante consentimento livre e informado concede seus dados aos agentes de tratamento que os processarão para alguma finalidade.

Por exemplo:

  • um consumidor (titular de dados) que entrega seus dados pessoais para obter algum desconto em uma loja. Neste caso, o consumidor é o titular dos dados.
6. Quem são os agentes de tratamento de dados pessoais?
6.1 Controlador

Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

6.1.1 Pessoa Jurídica
  • uma pessoa jurídica (controladora) que vende materiais de construção e – no momento da compra – coleta dados pessoais do consumidor (titular de dados). 

Nesse contexto, a controladora (pessoa jurídica) é quem irá processar (tratar) os dados titular de dados (consumidor), com a finalidade de formalizar uma venda de seus produtos. 

6.1.2 Pessoa Física

Para que pessoas físicas sejam consideradas controladoras de dados deve ser observado:

i) normalmente, o tratamento de dados está relacionado a uma atividade econômica e não doméstica; 

ii)  e de acordo com as orientações da  ANPD, é fundamental que a pessoa natural tenha independência para tomar as suas decisões referentes ao tratamento de dados. 

Nesse sentido, são considerados controladores de dados os profissionais liberais e empresários individuais.

Nesse Guia, sempre que possível citaremos exemplos, vejamos:

  • Um advogado que armazena dados pessoais de seus clientes em seu computador é considerado um controlador de 
    dados pessoais.

Por outro lado, não é considerado um agente de tratamento as pessoas físicas que usam dados pessoais com finalidades domésticas, como por exemplo, utilização de rede social, troca de correspondências, lista de contatos, blogs etc.

6.2 Operador

Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

O operador somente poderá processar  dados pessoais de acordo com as instruções fornecidas pelo controlador, ou seja, o controlador é quem estabelece as finalidades e limites do tratamento de dados.

Nesse Guia, sempre que possível citaremos exemplos, vejamos:

  • a companhia de varejo (controladora), com objetivo de promover seus produtos, contrata uma agência de marketing (operadora).

Nesse contexto,  a agência de marketing processará dados, em nome da companhia de varejo, para uma finalidade limitada e específica: promoção dos seus produtos.

7. Quais são os princípios da LGPD?

Para que um projeto de adequação seja implementado é fundamental respeitar os princípios da LGPD, sendo eles:

  • boa-fé
  • finalidade
  • adequação
  • necessidade 
  • livre acesso
  • qualidade dos dados
  • transparência
  • segurança
  • prevenção
  • não discriminação
  • responsabilização e prestação de contas

Haja vista que cada um dos princípios tem detalhes importantes (e para não fugir do foco desse Guia), recomendamos a  leitura deste artigo (Princípios da LGPD) onde detalhamos cada um deles.

8. Quais sãos as bases legais para utilizar (tratar) dados pessoais?

Um dos primeiros passos para iniciar um projeto de adequação é descobrir quais são as bases legais que serão utilizadas para o tratamento de dados.

Destacamos que o controlador é obrigado a informar qual é a base legal que utiliza, ou seja, não é questão de escolha e sim de imposição legal.

Vejamos, então, quais são as bases legais para tratar dados pessoais ligadas à atividade privada:

  •  mediante o fornecimento de consentimento pelo titular;
  •  para o cumprimento de obrigação legal ou regulatória pelo controlador;
  •  quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
  • para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
  • quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; 
  • e para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
9. O que é consentimento na LGPD?

A LGPD definiu consentimento como: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

No Brasil, ainda não há uma definição ou diretriz sobre o que é “manifestação livre, informada e inequívoca”.

Contudo, de acordo com as diretrizes do Comitê Europeu para a Proteção de Dados, em apertada síntese, podemos extrair que:

  • Livre: implica em uma verdadeira escolha e controle para os titulares dos dados. Em outras palavras, se o titular não puder exercer uma verdadeira escolha, se sentir coagido a dar o consentimento ou sofrer consequências negativas caso não consinta, então o consentimento não é válido.
  • Informada: é necessário informar ao titular pelo menos os seguintes elementos:
    i. quem é o responsável pelo tratamento; ii. para qual  finalidade será obtido o consentimento; iii. que tipo de dados serão coletados; iv. existência do direito de retirar o consentimento; v. informações sobre a utilização dos dados para decisões automatizadas; vi. sobre os possíveis riscos de transferências de dados devido à inexistência de garantias adequadas;
  • Inequívoca: o controlador deve conseguir comprovar – por meio físico ou digital – que obteve autorização do  titular dos dados para tratar os seus dados.
10. Quais são os direitos do titular dos dados?

É fundamental conhecer os direitos dos titulares de dados, em especial quem está iniciando um projeto de adequação à LGPD.

Vejamos, então, esses direitos:

  • confirmação da existência de tratamento
  • acesso aos dados
  • correção de dados incompletos, inexatos ou desatualizados
  • anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD
  • portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial
  • eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei
  • informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados
  • informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa
11. Quais são as medidas de segurança e de sigilo que devem ser tomadas?

Os agentes de tratamento (controlador e operador) devem adotar:

medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito” (artigo 46 da Lei).

Todavia, a lei não exemplifica quais são as medidas de segurança que devem ser aplicadas.

Já que, durante  o processo de adequação à LGPD, é necessário avaliar vários fatores antes estabelecer quais medidas devem ser tomadas para cada controladora.

Por exemplo, um hospital deve ter um controle de acesso às informações dos pacientes bem rigoroso, pois são considerados pela Lei como dados sensíveis.

Ainda vale ressaltar que a LGPD está intimamente ligada à segurança da informação e ao compliance. 

Motivo pelo qual, ter uma política de privacidade é fundamental para iniciar um processo de adequação à Lei.

Em breve iremos adicionar a este Guia as boas práticas internacionais que são praticadas visando aumentar a segurança da informação.  

12. Qual o território a LGPD é aplicada?

Um projeto de adequação à LGPD deve possuir abrangência nacional e extraterritorial.

13. Quem é a figura do encarregado pelo tratamento de Dados Pessoais ?

Um dos pontos fundamentais em um projeto de adequação é a escolha do Encarregado de dados pessoas.

Inclusive, o controlador – de direito público ou privado -, é obrigado a indicar alguém para exercer esse cargo.

Segundo as orientação da ANPD e da LGPD, o Encarregado pode ser pessoa natural (física) ou jurídica.

Suas as atividades são:

  • aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
  • receber comunicações da autoridade nacional e adotar providências;
  • orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
  • e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Portanto, o encarregado é quem irá auxiliar o controlador (dentro de um processo de adequação) e também fará a intermediação entre os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Além disso, o Encarregado deve ter liberdade e independência para exercer suas atividades. 

13.1 Quem pode ser nomeado como encarregado de dados?

Segundo as recentes diretrizes da ANPD, o encarregado pode ser:

  • um funcionário da empresa
  • um agente externo, ou seja, não trabalha na empresa
  • pessoa física ou jurídica

Além disso, é recomendável que o encarregado seja indicado por um ato formal, como um contrato de prestação de serviços ou um ato administrativo.

13.2 Quais são as qualificações que um encarregado de dados deve ter?

De acordo com a recente orientação da ANPD, cabe ao controlador analisar a necessidade que os negócios da sua empresa tem relacionados à segurança e à privacidade de dados.

Por exemplo: um hospital, seguramente, precisará de um profissional qualificado, pois ele exercerá atividades que manuseiam dados sensíveis. Por outro lado, uma padaria, provavelmente, não irá precisar de um encarregado com o mesmo nível de qualificação.

Porém, em ambos os casos, é fundamental que o encarregado tenha liberdade e independência para exercer suas atividades.

14. Da responsabilidade e do ressarcimento de danos.

O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados, será obrigado a repará-lo.

15. Quem fiscalizará o cumprimento da LGPD?

No âmbito da LGPD, caberá a Autoridade Nacional de Proteção de Dados (ANPD) a fiscalização do cumprimento da Lei e também impor sanções administrativas.

16.  As multas e demais sanções da LGPD já estão em vigor?

Sim, as sanções administrativas – que incluem multas – entraram em vigor em 1º de agosto de 2021.

17. Quais sãos as multas previstas na LGPD?

Os agentes de tratamento de dados (controlador e operador), em razão de eventuais infrações cometidas, ficam sujeitos às seguintes multas:

II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

IIImulta diária, observado o limite total a que se refere o inciso II (grifos nossos);

18. Quais são os critérios para fixação da multa?

Antes de elencarmos o rol de critérios, é fundamental reiterar a importância de se iniciar um projeto de adequação.

Até porque, mesmo que um projeto não tenha sido finalizado, ele muito provavelmente reduzirá ou evitará eventuais prejuízos de uma empresa ou de um autônomo.  

A  LGPD elenca os seguinte critérios para fixação de multa:

  • a gravidade e a natureza das infrações e dos direitos pessoais afetados
  • a boa-fé do infrator
  • a vantagem auferida ou pretendida pelo infrator
  • a condição econômica do infrator
  • a reincidência
  • o grau do dano
  • a cooperação do infrator
  • a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 da LGPD
  • a adoção de política de boas práticas e governança
  • a pronta adoção de medidas corretivas 
  • a proporcionalidade entre a gravidade da falta e a intensidade da sanção
Considerações finais

Diante todo  exposto, percebemos que existem muitas obrigações e deveres que as empresas precisam cumprir para se adequarem à LGPD.

Logo, as empresas que – o quanto antes – iniciarem um projeto de adequação, seguramente estarão mais preparadas para cooperar com os órgãos de fiscalização, e por consequência, terão mais ferramentas para evitar multas ou reduzi-las significativamente.

Por último, esperamos que após a leitura desse Guia você tenha aprendido os principais conceitos da LGPD.

 

 

 

Gustavo Giarllarielli

Giarllarielli Advogados
Precisa de ajuda? Converse com a gente!