Guia didático LGPD

Guia-didático-LGPD

De início, destacamos que o Guia didático LGPD foi elaborado para ajudar você que deseja iniciar um projeto de adequação do seu negócio à Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709/2018). 

Nesse sentido, este Guia foi o intuito de traduzir os termos jurídicos, por meio de perguntas e respostas, também exemplos práticos. 

1. Quem deve se adequar à LGPD ? 

A Lei Geral de Proteção de Dados Pessoais dispõe sobre o tratamento de dados pessoais, independentemente do meio (físico ou digital), realizado por pessoa física ou por pessoa jurídica, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade das pessoas naturais.

Em outras palavras, tanto as empresas como os profissionais autônomos que utilizam dados pessoais em seu negócio devem se adequar à LGPD.

Por outro lado, a LGPD não é aplicada as pessoas físicas que usam dados pessoais com finalidades domésticas.

Por exemplo, utilização de rede social, troca de correspondências, lista de contatos, blogs etc.

2. O que são dados pessoais?

Dados pessoais são informações de pessoas naturais vivas que, direta ou indiretamente identificam um indivíduo.

A informação direta é aquela que permite a imediata individualização da pessoa.

A informação indireta, por sua vez, é a que permite, por meio da reunião de dados, chegar à identificação do sujeito.

Por exemplo:

  • identificação direta: nome completo.
  • identificação indireta: endereço, profissão, características físicas, nome etc.
2.1.  Dados pessoais sensíveis

São aqueles que podem causar discriminação a uma pessoa, por isso merecem maior proteção.

De acordo com a lei, dados sensíveis são aqueles que tratam sobre:

  • origem racial ou étnica
  • convicção religiosa
  • opinião política
  • filiação a sindicato ou a organização de caráter religioso
  • filosófico ou político
  • dado referente à saúde ou à vida sexual
  • dado genético ou biométrico, quando vinculado a uma pessoa natural

Por exemplo:  o resultado do exame de um paciente que é diagnosticado com  HIV -positivo – deve ser guardado em um lugar extremamente seguro, seja um documento digital ou físico.

3. No que consiste o tratamento de dados pessoais?

O tratamento de dados pessoais é toda operação realizada com dados pessoais de pessoas vivas.

Por exemplo:

  •  armazenamento de dados, compartilhamento, retenção etc
4. Quem é o titular dos dados?

O titular dos dados é uma pessoa física que mediante consentimento livre e informado concede seus dados aos agentes de tratamento que os processarão para alguma finalidade.

Por exemplo:

  • um consumidor (titular de dados) que entrega seus dados pessoais para obter algum desconto em uma loja. Neste caso, o consumidor é o titular dos dados.
5. Quem são os agentes de tratamento de dados pessoais?
5.1 Controlador

Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

Por exemplo:

  • uma pessoa jurídica (controladora) que vende materiais de construção e – no momento da compra – coleta dados pessoais do consumidor (titular de dados). 

Nesse contexto, a controladora (pessoa jurídica) é quem irá processar (tratar) os dados titular de dados (consumidor), com a finalidade de formalizar uma venda de seus produtos.

5.2 Operador

Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

Por exemplo:

  • a companhia de varejo (controladora), com objetivo de promover seus produtos, contrata uma agência de marketing (operadora).

Em outras palavras,  a agência de marketing processará dados em nome da controladora – companhia de varejo.

6. Princípios de tratamento de dados

A LGPD é norteada pelos seguintes princípios:

  • Da boa-fé
  • Da finalidade
  • Da adequação
  • Da necessidade 
  • Do livre acesso
  • Da qualidade dos dados
  • Da transparência
  • Da segurança
  • Da prevenção
  • Da não discriminação
  • Da responsabilização e prestação de contas

Haja vem vista que cada um dos princípios possuem detalhes importantes, recomendamos a  leitura deste artigo (Princípios da LGPD) onde detalhamos todos eles.

7. Base legal para o tratamento de dados pessoais

O controlador é obrigado a informar qual é a base legal que será fundamentado o tratamento de dados pessoais.

Vejamos as previsões legais de tratamento ligadas à atividade privada:

  •  mediante o fornecimento de consentimento pelo titular;
  •  para o cumprimento de obrigação legal ou regulatória pelo controlador;
  •  quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
  • para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
  • quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; 
  • e para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Caso você queira conhecer com detalhes cada uma das bases legais acima elencadas, remendamos a leitura deste artigo – bases legais de tratamentos de dados.

8. O que é consentimento na LGPD?

O consentimento é a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

Por exemplo:

  •  o titular dos dados – mediante formulário digital ou escrito – permite que uma empresa utilize seus dados pessoais para promover produtos (ilustrativamente, via e-mail).
9. O que é o legítimo interesse do controlador no tratamento de dados?

O legítimo interesse é uma das bases legais da LGPD que autoriza o controlador a tratar dados pessoais do titular sem obter o seu consentimento.

Todavia, essa base legal deve ser utilizada com cautela, notadamente pela sua grande possibilidade interpretativa.

Motivo pelo qual, neste Guia, vamos aprofundar um pouco sobre ela.

Então, para saber se há possibilidade ou não do controlador processar dados pessoais, com base no legítimo interesse, é necessário analisar caso a caso.

Vejamos o exemplo:

  • Uma empresa  que já possui uma relação comercial com milhares de clientes, antes da vigência da Lei, a princípio, precisará obter o consentimento de seus clientes para realizar um novo tratamento de dados. Como por exemplo enviar propaganda de seus produto via e-mail.

Contudo, utilizando o legítimo interesse seria possível esta empresa, em tese, enviar uma promoção de seus produtos via e-mail ou carta física sem o consentimento de seus clientes.

Visto que, esse novo processamento de dados trará um benefício ao cliente, e também está de acordo com a principal atividade da empresa.

Entretanto, ressalta-se que o legítimo interesse não pode servir para preencher lacunas de falta de fundamentação legal, muito menos se transformar em uma carta coringa, sendo utilizado em qualquer situação indiscriminadamente.

Assim como, o legítimo interesse deve ser analisado caso a caso e em harmonia com os princípios que regem a LGPD: finalidade, adequação, necessidade, livre acesso, transparência, segurança, prevenção, não discriminação.

10. Quais são os direitos do titular dos dados?

O titular dos dados pessoais – a qualquer momento e mediante requisição – tem direito de obter do controlador:

  • confirmação da existência de tratamento
  • acesso aos dados
  • correção de dados incompletos, inexatos ou desatualizados
  • anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD
  • portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial
  • eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei
  • informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados
  • informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa

Desse modo, percebemos que são vários os direitos do titular previstos na LGPD que o controlador deve compreender melhor.

Motivo pelo qual – e para não sair do foco deste Guia – criamos um artigo específico onde detalhamos esses direitos.

11. Da segurança e do sigilo de dados pessoais

Os agentes de tratamento (controlador e operador) devem adotar:

medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito” (artigo 46 da Lei).

Todavia, a lei não exemplifica quais são as medidas de segurança que devem ser tomadas.

Já que, durante  o processo de adequação à LGPD, é necessário avaliar vários fatores antes estabelecer quais medidas devem ser tomadas para cada controladora.

Por exemplo, um hospital deve ter um controle de acesso às informações dos pacientes bem rigoroso, pois são considerados pela Lei como dados sensíveis.

Ainda vale ressaltar que a LGPD está intimamente ligada à segurança da informação e ao compliance. 

Motivo pelo qual, ter uma política de privacidade é fundamental para iniciar um processo de adequação à Lei. 

12. Qual o território em que a LGPD é aplicada?

A LGPD possui abrangência nacional e extraterritorial.

13. Do Encarregado pelo Tratamento de Dados Pessoais

O controlador, obrigatoriamente, deverá indicar um encarregado pelo tratamento de dados pessoais em sua empresa.

Suas atividades são:

  • aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
  • receber comunicações da autoridade nacional e adotar providências;
  • orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
  • e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Em outras palavras, o encarregado é quem auxiliará o controlador a se adequar à LGPD e também fará a intermediação entre os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD).

14. Da responsabilidade e do ressarcimento de danos.

O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, será obrigado a repará-lo.

15. Quem fiscalizará o cumprimento da LGPD?

Caberá à Autoridade Nacional de Proteção de Dados (ANPD) a fiscalização, regulamentação, e imposição de sanções administrativas.

16. Multas previstas na LGPD

Os agentes de tratamento de dados (controlador e operador), em razão de eventuais infrações cometidas, ficam sujeitos às seguintes multas, artigo 52, inciso II e III, da LGPD:

II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

III – multa diária, observado o limite total a que se refere o inciso II (grifos nossos);

Tendo em vista que este tema tem causado muitas dúvidas sobre quando e como as multas serão aplicadas no Brasil, e para não fugir do foco deste Guia, recomendamos a leitura deste artigo – multa por infração.

17. Critérios para fixação da multa

Deve ser lavado em consideração para fixação de multa:

  • a gravidade e a natureza das infrações e dos direitos pessoais afetados;
  • a boa-fé do infrator;
  • a vantagem auferida ou pretendida pelo infrator;
  • a condição econômica do infrator;
  • a reincidência;
  • o grau do dano;
  • a cooperação do infrator;
  • a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 da LGPD;
  • a adoção de política de boas práticas e governança;
  • a pronta adoção de medidas corretivas; e
  • a proporcionalidade entre a gravidade da falta e a intensidade da sanção
Conclusão

Dessa forma, feitas estas ponderações sobre a Lei, percebemos que existem várias obrigações que as empresas precisam cumprir para se adequarem à LGPD.

Contudo, a grande maioria das empresas no Brasil ainda não começaram o processo de adequação.

Sendo que uma das explicações para esse atraso é que existe uma descrença, no Brasil, por parte das empresas de que às punições não serão aplicas, porém, o observador mais atento perceberá que já existem empresas sendo penalizadas com base na LGPD.

Por outro lado, é compreensível que o empresário, face às novas exigências legais e burocráticas, pense que a LGPD só irá trazer mais custos à sua empresa, entretanto isso não é verdade.

Ademais, além deste Guia, recomendamos que você leia também este artigo sobre os benefícios do processo de adequação à Lei , onde exploramos mais o assunto.

Logo, as empresas que se adequarem à LGPD, seguramente estarão mais preparadas para cooperar com os órgãos de fiscalização, e por consequência, terão mais ferramentas para evitar multas ou reduzi-las significativamente.

Lembrando que esse processo de adequação não deve ser feito de forma açodada e, também, não existe um modelo coringa que possa ser utilizado por todas as empresas, ou seja, deve ser analisada caso a caso.

Nesse sentido, se engana quem pensa que contratando um profissional para instalar um software de segurança ou para redigir políticas de privacidade e proteção de dados estará cumprindo os requisitos da Lei.

Visto que o processo de adequação é amplo e contínuo, não basta apenas mudanças pontuais (mesmo sendo necessárias), pois envolve pessoas, cultura, tecnologia, compliance, segurança da informação.

É um caminho longo, mas em algum momento será necessário dar os primeiros passos.

Assim, esperamos que após a leitura deste Guia você tenha aprendido os principais conceitos da LGPD.

Por último, recomendamos que os empresários busquem auxílio de empresas especializadas em implementação de projetos de adequação à Lei Geral de Proteção de Dados Pessoais.

 

Gustavo Giarllarielli

Giarllarielli Advogados
Precisa de ajuda? Converse com a gente!