Artigos
Guia LGPD

guia-lgpdPrimeiramente, destacamos que o Guia LGPD foi elaborado a fim de ajudar quem deseja compreender melhor os termos técnicos previstos na  Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709/2018).  

(Esse Guia está atualizado de acordo com o Guia Orientativo de maio de 2021 e com os esclarecimentos das Sanções Administrativas, ambos elaborados pela Autoridade Nacional de Proteção de Dados – ANPD)

1. O que é a LGPD ? 

A LGPD dispõe sobre o tratamento de dados pessoais, seja  por meio físico ou digital, realizado por pessoa física ou por pessoa jurídica, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade das pessoas.

2. Quem deve se adequar à LGPD?

As empresas e os profissionais autônomos que utilizam dados pessoais em seu negócio devem iniciar um projeto de adequação à LGPD.

Porém, a LGPD não se aplica as pessoas físicas que usam dados pessoais com finalidades domésticas.

Por exemplo:

  • utilização de rede social, troca de correspondências, lista de contatos, blogs etc.
2.1  Flexibilização da LGPD 

Autoridade Nacional de Proteção de Dados (ANPD) mediante a Resolução flexibilizou a LGPD para:

  • microempresas e empresas de pequeno porte
  • startups 
  • pessoas jurídicas de direito privado, inclusive sem fins lucrativos
  • pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador

Contudo, para saber se as empresas de pequeno porte podem se beneficiar da flexibilização é necessário verificar os critérios estabelecidos pela Resolução.

Desse modo, indicamos a leitura do artigo aplicação da LGPD em empresas de pequeno porte.

3. O que são dados pessoais? (GUIA LGPD)

Dados pessoais são informações de pessoas naturais que, direta ou indiretamente identificam um indivíduo.

A informação direta é aquela que permite a imediata individualização da pessoa.

A informação indireta, por sua vez, é a que permite, por meio da reunião de dados, chegar à identificação do sujeito.

Por exemplo:

  • identificação direta: nome completo.
  • identificação indireta: endereço, profissão, características físicas, nome etc.
3.1  O que são dados  sensíveis?

São aqueles que podem causar discriminação a uma pessoa, por isso merecem maior proteção.

De acordo com a LGPD, dados sensíveis são aqueles que tratam sobre:

  • origem racial ou étnica
  • convicção religiosa
  • opinião política
  • filiação a sindicato ou a organização de caráter religioso
  • filosófico ou político
  • dado referente à saúde ou à vida sexual
  • dado genético ou biométrico, quando vinculado a uma pessoa natural

Por exemplo:  o resultado do exame de um paciente que é diagnosticado com  HIV positivo deve ser guardado em um local extremamente seguro.

4. Afinal, o que é tratamento de dados pessoais?

O tratamento de dados pessoais é toda operação realizada com dados de pessoas naturais.

Por exemplo:

  •  armazenamento de dados, compartilhamento, retenção etc.
5. Quem é o titular dos dados?

O titular dos dados é a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

Por exemplo:

  • um consumidor (titular de dados) que entrega seus dados pessoais para obter algum desconto em uma loja. Logo, o consumidor é o titular dos dados.
6. Quem são os agentes de tratamento de dados pessoais? (GUIA LGPD)
6.1 Controlador

Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

6.1.1 Pessoa Jurídica

Por exemplo:

  • uma empresa (controladora) coleta dados pessoais do titular a fim de formalizar a venda de um produto.  

Nesse contexto, a controladora (pessoa jurídica) é quem irá processar (tratar) os dados do titular, com a finalidade de formalizar uma venda de seus produtos. 

6.1.2 Pessoa Física

Para que pessoas físicas sejam consideradas controladoras de dados deve ser observado:

i) normalmente, o tratamento de dados está relacionado a uma atividade econômica e não doméstica; 

ii)  e de acordo com as orientações da  ANPD, é fundamental que a pessoa natural tenha independência para tomar as suas decisões referentes ao tratamento de dados. 

Portanto, são considerados controladores de dados os profissionais liberais e empresários individuais.

Nesse Guia LGPD, sempre que possível citaremos exemplos, vejamos:

  • Um advogado que armazena dados pessoais de seus clientes em seu computador é considerado um controlador de 
    dados pessoais.
6.2 Operador

Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

Assim, o operador somente poderá processar  dados pessoais de acordo com as instruções fornecidas pelo controlador, ou seja, o controlador é quem estabelece as finalidades e limites do tratamento de dados.

Por exemplo:

  • a companhia de varejo (controladora), com objetivo de promover seus produtos, contrata uma agência de marketing (operadora).

Nesse contexto,  a agência de marketing processará dados com a finalidade estipulada pela da companhia de varejo, qual seja: promover seus produtos.

6.3 Agentes de pequeno porte

A LGPD prevê dois agentes de tratamento (controlador e o operador), mas a ANPD mediante a Resolução criou um novo tipo – os agentes de tratamento de pequeno porte, sendo eles:

  • microempresas e empresas de pequeno porte
  • startups 
  • pessoas jurídicas de direito privado, inclusive sem fins lucrativos
  • pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador

Devido a complexidade desse tema, elaboramos um artigo para esclarecer os principais pontos, leia: aplicação da LGPD em empresas de pequeno porte 

7. Quais são os princípios da LGPD?  (GUIA LGPD)
  • boa-fé
  • finalidade
  • adequação
  • necessidade 
  • livre acesso
  • qualidade dos dados
  • transparência
  • segurança
  • prevenção
  • não discriminação
  • responsabilização e prestação de contas

Contudo, haja vista que cada um dos princípios tem nuances importantes, bem como para não sair do foco desse Guia LGPD, recomendamos a  leitura do artigos Princípios da LGPD.

8. Quais sãos as bases legais para utilizar dados pessoais?

A LGPD limitou – taxativamente – as possibilidades de tratamento de dados, ou seja, somente poderá o controlador  utilizar dados pessoais com fundamento em, pelo menos, uma das bases legais previstas no artigo 7.

Então, vejamos quais são as bases legais para tratar dados pessoais na atividade privada:

  •  mediante o fornecimento de consentimento pelo titular;
  •  para o cumprimento de obrigação legal ou regulatória pelo controlador;
  •  quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
  • para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
  • quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; 
  • Tutela da Saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
  • e para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
9. O que é consentimento no âmbito da LGPD? (GUIA LGPD)

A LGPD definiu consentimento como: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

No Brasil, ainda não há uma definição ou diretriz sobre o que é “manifestação livre, informada e inequívoca”.

Contudo, de acordo com as diretrizes do Comitê Europeu para a Proteção de Dados, em apertada síntese, podemos extrair que:

  • Livre: implica em uma verdadeira escolha e controle para os titulares dos dados. Em outras palavras, se o titular não puder exercer uma verdadeira escolha, se sentir coagido a dar o consentimento ou sofrer consequências negativas caso não consinta, então o consentimento não é válido.
  • Informada: é necessário informar ao titular pelo menos os seguintes elementos:
    i. quem é o responsável pelo tratamento; ii. para qual  finalidade será obtido o consentimento; iii. que tipo de dados serão coletados; iv. existência do direito de retirar o consentimento; v. informações sobre a utilização dos dados para decisões automatizadas; vi. sobre os possíveis riscos de transferências de dados devido à inexistência de garantias adequadas;
  • Inequívoca: o controlador deve conseguir comprovar – por meio físico ou digital – que obteve autorização do  titular dos dados para tratar os seus dados.
10. Quais são os direitos do titular dos dados?

É fundamental conhecer os direitos dos titulares de dados, em especial quem está iniciando um projeto de adequação à LGPD.

Vejamos, então, esses direitos:

  • confirmação da existência de tratamento
  • acesso aos dados
  • correção de dados incompletos, inexatos ou desatualizados
  • anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD
  • portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial
  • eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei
  • informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados
  • informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa
11. Quais são as medidas de segurança devem ser tomadas?

Os agentes de tratamento (controlador e operador) devem adotar:

medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito” (artigo 46 da LGPD).

Todavia, a LGPD não exemplifica quais são as medidas de segurança que devem ser aplicadas.

No entanto, além da leitura desse Guia LGPD, recomendamos que também vejam o Guia Orientativo sobre Segurança da Informação para Agentes de Tratamento de Pequeno Porte 

12. Em qual o território a LGPD é aplicada?

Um projeto de adequação à LGPD deve possuir abrangência nacional e extraterritorial.

13. Quem é o Encarregado pelo tratamento de dados dessoais ?

Um dos pontos fundamentais em um projeto de adequação é a escolha do DPO.

Segundo as orientação da ANPD e da LGPD, o Encarregado pode ser pessoa física ou jurídica.

Suas as atividades são:

  • aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
  • receber comunicações da autoridade nacional e adotar providências;
  • orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
  • e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Então, percebemos que uma das principais funções do DPO é auxiliar o controlador dos dados  a monitorar a sua conformidade com a LGPD.

Além disso, também atua como um canal de comunicação entre controlador, a ANPD e os titulares de dados.

13.1 Quem pode ser nomeado como encarregado de dados?

Segundo as recentes diretrizes da ANPD, o Encarregado pode ser:

  • um funcionário da empresa
  • um agente externo, ou seja, não trabalha na empresa
  • pessoa física ou jurídica

Aliás, é recomendável que o encarregado seja indicado por um ato formal, como um contrato de prestação de serviços ou um ato administrativo.

13.2 Quais são as qualificações do encarregado? (GUIA LGPD)

De acordo a orientação da ANPD, cabe ao controlador analisar a necessidade que os negócios da sua empresa tem relacionados à segurança e à privacidade de dados.

Por exemplo:

  • um hospital, seguramente, precisará de um profissional qualificado em privacidade e proteção de dados, pois a sua atividade envolve o processamento de dados sensíveis. Por outro lado, uma padaria, a princípio, não terá a mesma necessidade.

Porém, em ambos os casos, é fundamental que o encarregado tenha liberdade e independência para exercer suas atividades.

13.3 É obrigatório a nomeação do encarregado?

Em regra, é obrigatório a indicação do Encarregado – artigo 41 da LGPD.

No entanto, houve a dispensa da indicação do encarregado para os agentes de tratamento de pequeno porte

Mesmo assim, ainda deverá ser disponibilizado um canal de comunicação com o titular para:

  • aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências

Lembrando que a indicação de um Encarregado será considerado como política de boas práticas e de governança, em especial, nos casos aplicação de sanções administrativas. 

14. Da responsabilidade e do ressarcimento de danos (GUIA LGPD)

O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados, será obrigado a repará-lo.

15. Quem fiscalizará o cumprimento da LGPD?

No âmbito da LGPD, caberá a Autoridade Nacional de Proteção de Dados (ANPD) a fiscalização do cumprimento da Lei e também impor sanções administrativas.

16.  As multas e demais sanções da LGPD já estão em vigor?

Sim, as sanções administrativas – que incluem multas – entraram em vigor em 1º de agosto de 2021.

17. Quais sãos as multas previstas na LGPD?

Os agentes de tratamento de dados (controlador e operador), em razão de eventuais infrações cometidas, ficam sujeitos às seguintes multas:

II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

IIImulta diária, observado o limite total a que se refere o inciso II (grifos nossos);

18. Quais são os critérios para fixação da multa?

Antes de elencarmos o rol de critérios, é fundamental reiterar a importância de se iniciar um projeto de adequação.

Até porque, mesmo que um projeto não tenha sido finalizado, ele muito provavelmente reduzirá ou evitará eventuais prejuízos de uma empresa ou de um autônomo.  

A  LGPD elenca os seguinte critérios para fixação de multa:

  • a gravidade e a natureza das infrações e dos direitos pessoais afetados
  • a boa-fé do infrator
  • a vantagem auferida ou pretendida pelo infrator
  • a condição econômica do infrator
  • a reincidência
  • o grau do dano
  • a cooperação do infrator
  • a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 da LGPD
  • a adoção de política de boas práticas e governança
  • a pronta adoção de medidas corretivas 
  • a proporcionalidade entre a gravidade da falta e a intensidade da sanção
CONCLUSÃO

Como podemos ver existem muitas obrigações e deveres que as empresas precisam cumprir a fim de respeitar as diretrizes da LGPD.

Logo, as empresas que – o quanto antes – iniciarem um projeto de adequação, seguramente estarão mais preparadas para cooperar com os órgãos de fiscalização, e por consequência, terão mais ferramentas para evitar multas ou reduzi-las.

Igualmente, poderão gozaram dos benefícios da implementação da LGPD.

Por último, esperamos que após a leitura desse Guia LGPD você tenha aprendido os principais conceitos da Lei.

 

 

 

Gustavo Giarllarielli

logo
Giarllarielli Advogados
Precisa de ajuda? Converse com a gente!