Artigos
Guia LGPD para empresas

GUIA LGPD

O Guia LGPD foi elaborado a fim de ajudar a compreensão dos termos técnicos previstos na  Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709/2018).  

(Aliás, esse Guia está atualizado de acordo com o Guia Orientativo de maio de 2021 e com os esclarecimentos das Sanções Administrativas, ambos elaborados pela Autoridade Nacional de Proteção de Dados – ANPD)

Qual é o objetivo da LGPD ? 

A LGPD dispõe sobre o tratamento de dados pessoais, seja  por meio físico ou digital, realizado por pessoa física ou por pessoa jurídica, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade das pessoas.

 Quem deve se adequar à LGPD?

As empresas e os profissionais autônomos que utilizam dados pessoais em seu negócio devem iniciar um projeto de adequação à LGPD.

Porém, a LGPD não se aplica as pessoas físicas que usam dados pessoais com finalidades domésticas.

Por exemplo:

  • utilização de rede social, troca de correspondências, lista de contatos, blogs etc.
Flexibilização da LGPD 

Autoridade Nacional de Proteção de Dados (ANPD) mediante a Resolução flexibilizou a LGPD a fim de :

  • microempresas e empresas de pequeno porte
  • startups 
  • pessoas jurídicas de direito privado, inclusive sem fins lucrativos
  • pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador

Contudo, para saber se as empresas de pequeno porte podem se beneficiar da flexibilização é necessário verificar os critérios estabelecidos pela Resolução.

Desse modo, indicamos a leitura do artigo aplicação da LGPD em empresas de pequeno porte.

O que são dados pessoais? (GUIA LGPD)

Dados pessoais são informações de pessoas naturais que, direta ou indiretamente identificam um indivíduo.

A informação direta é aquela que permite a imediata individualização da pessoa.

A informação indireta  é a que permite, por meio da reunião de dados, chegar à identificação do sujeito.

Por exemplo:

  • identificação direta: nome completo.
  • identificação indireta: endereço, profissão, características físicas, nome etc.
O que são dados  sensíveis?

São aqueles que podem causar discriminação a uma pessoa, por isso merecem maior proteção.

Assim, de acordo com a LGPD, dados sensíveis são aqueles que tratam sobre:

  • origem racial ou étnica
  • convicção religiosa
  • opinião política
  • filiação a sindicato ou a organização de caráter religioso
  • filosófico ou político
  • dado referente à saúde ou à vida sexual
  • dado genético ou biométrico, quando vinculado a uma pessoa natural

Por exemplo:  o resultado do exame de um paciente que é diagnosticado com  HIV positivo deve ser guardado em um local extremamente seguro.

O que é tratamento de dados pessoais? (GUIA LGPD)

O tratamento de dados pessoais é toda operação realizada com dados de pessoas naturais.

Por exemplo:

  •  armazenamento de dados, compartilhamento, retenção etc.
Quem é o titular dos dados?

O titular dos dados é a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

Por exemplo:

  • um consumidor que entrega seus dados pessoais a fim de  obter algum desconto em uma loja.

Nesse sentido, o consumidor é o titular dos dados.

Quem são os agentes de tratamento? (Guia LGPD)

 Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

Por exemplo (pessoa jurídica):

  • uma empresa coleta dados pessoais do titular a fim de formalizar a venda de um produto.  

Portanto, a controladora é quem irá processar (tratar) os dados do titular, com a finalidade de formalizar uma venda.

Por outro lado, no caso de pessoa física, deve ser observado:

i) se o tratamento de dados está relacionado a uma atividade econômica e não doméstica; 

ii) de acordo com as orientações da  ANPD, é fundamental que a pessoa física tenha independência para tomar as decisões referentes ao tratamento de dados. 

Portanto, são considerados controladores de dados os profissionais liberais e empresários individuais.

Nesse Guia LGPD, com o intuito de facilitar a compreensão, citaremos exemplos:

  • Um advogado que armazena dados pessoais de seus clientes em seu computador será considerado um controlador 

 Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

Assim, o operador somente poderá processar  dados de acordo com as instruções fornecidas pelo controlador.

Por exemplo:

  • a companhia de varejo (controladora), com intuito de promover seus produtos, contrata uma agência de marketing (operadora).

Nesse sentido,  a agência de marketing processará dados de acordo com as instruções da empresa de varejo, qual seja: promover seus produtos.

Agentes de pequeno porte (GUIA LGPD)

De acordo com a A LGPD existem dois agentes de tratamento controlador e o operador, mas a ANPD por meio da Resolução criou um novo tipo: os agentes de tratamento de pequeno porte, sendo eles:

  • microempresas e empresas de pequeno porte
  • startups 
  • pessoas jurídicas de direito privado, inclusive sem fins lucrativos
  • pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador

Contudo, devido a complexidade desse tema, elaboramos um artigo a fim de esclarecer as principais dúvidas.

Acesse: Aplicação da LGPD em empresas de pequeno porte 

 Quais são os princípios da LGPD?  (GUIA LGPD)
  • boa-fé
  • finalidade
  • adequação
  • necessidade 
  • livre acesso
  • qualidade dos dados
  • transparência
  • segurança
  • prevenção
  • não discriminação
  • responsabilização e prestação de contas

Porém, como cada um dos princípios tem nuances importantes, elaboramos um artigo específico sobre detalhando cada um dele, leia: Princípios da LGPD.

Quais sãos as bases legais para utilizar dados pessoais?

A LGPD limitou – taxativamente – as possibilidades de tratamento de dados, ou seja, somente poderá o controlador  utilizar dados pessoais com fundamento em, pelo menos, uma das bases legais previstas no artigo 7.

Então, vejamos quais são as bases legais para tratar dados pessoais na atividade privada:

  •  mediante o fornecimento de consentimento pelo titular
  •  para o cumprimento de obrigação legal ou regulatória pelo controlador
  •  quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados
  • para o exercício regular de direitos em processo judicial, administrativo ou arbitral
  • quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais
  • Tutela da Saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
  • e para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente
O que é consentimento? (GUIA LGPD) 

A LGPD definiu consentimento como: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

Portanto, no Brasil, ainda não há uma definição ou diretriz sobre o que é “manifestação livre, informada e inequívoca”.

Contudo, de acordo com as diretrizes do Comitê Europeu para a Proteção de Dados, em apertada síntese, podemos extrair que:

  • Livre: implica em uma verdadeira escolha e controle para os titulares dos dados. Em outras palavras, se o titular não puder exercer uma verdadeira escolha, se sentir coagido a dar o consentimento ou sofrer consequências negativas caso não consinta, então o consentimento não é válido.
  • Informada: é necessário informar ao titular pelo menos os seguintes elementos:
    i. quem é o responsável pelo tratamento; ii. para qual  finalidade será obtido o consentimento; iii. que tipo de dados serão coletados; iv. existência do direito de retirar o consentimento; v. informações sobre a utilização dos dados para decisões automatizadas; vi. sobre os possíveis riscos de transferências de dados devido à inexistência de garantias adequadas;
  • Inequívoca: o controlador deve conseguir comprovar – por meio físico ou digital – que obteve autorização do  titular dos dados para tratar os seus dados.
Quais são os direitos do titular dos dados? (GUIA LGPD)

Além disso, é fundamental conhecer os direitos dos titulares de dados, em especial quem está iniciando um projeto de adequação à LGPD.

Vejamos, então, esses direitos:

  • confirmação da existência de tratamento
  • acesso aos dados
  • correção de dados incompletos, inexatos ou desatualizados
  • anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD
  • portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial
  • eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei
  • informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados
  • informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa
Quais são as medidas de segurança ? (GUIA LGPD)

Os agentes de tratamento devem adotar as seguintes medidas de segurança:

  • medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Nesse contexto, recomendamos a leitura do Guia Orientativo sobre Segurança da Informação para Agentes de Tratamento de Pequeno Porte. 

Em qual o território a LGPD é aplicada?

Abrangência nacional e extraterritorial.

Quem é o Encarregado pelo tratamento de dados dessoais ?

De acordo com as orientação da ANPD e da LGPD, o Encarregado pode ser pessoa física ou jurídica.

Sendo assim, suas as atividades são:

  • aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
  • receber comunicações da autoridade nacional e adotar providências;
  • orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
  • e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Então, percebemos que uma das principais funções do DPO é auxiliar o controlador dos dados  a monitorar a sua conformidade com a LGPD.

Além disso, também atua como um canal de comunicação entre controlador, a ANPD e os titulares de dados.

13.1 Quem pode ser nomeado como encarregado de dados? (GUIA LGPD)

De acordo com as recentes diretrizes da ANPD, o Encarregado pode ser:

  • um funcionário da empresa
  • um agente externo, ou seja, não trabalha na empresa
  • pessoa física ou jurídica

Aliás, é recomendável que o encarregado seja indicado por um ato formal, como um contrato de prestação de serviços ou um ato administrativo.

Quais são as qualificações do Encarregado? 

De acordo a orientação da ANPD, cabe ao controlador analisar a necessidade que os negócios da sua empresa tem relacionados à segurança e à privacidade de dados.

Por exemplo:

  • um hospital, seguramente, precisará de um profissional qualificado em privacidade e proteção de dados, pois a sua atividade envolve o processamento de dados sensíveis. Por outro lado, uma padaria, a princípio, não terá a mesma necessidade.

Porém, em ambos os casos, é fundamental que o Encarregado tenha liberdade e independência para exercer suas atividades.

É obrigatório a nomeação do encarregado? (GUIA LGPD)

Em regra, é obrigatório a indicação do Encarregado – artigo 41 da LGPD.

No entanto, houve a dispensa da indicação do encarregado para os agentes de tratamento de pequeno porte

Mesmo assim, ainda deverá ser disponibilizado um canal de comunicação com o titular para:

  • aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências

Aliás, a indicação de um Encarregado será considerado como política de boas práticas e de governança, em especial, nos casos aplicação de sanções administrativas. 

Da responsabilidade e do ressarcimento de danos (GUIA LGPD)

O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados, será obrigado a repará-lo.

Quem fiscalizará o cumprimento da LGPD?

De acordo com a LGPD, caberá a Autoridade Nacional de Proteção de Dados (ANPD) a fiscalização do cumprimento da Lei e também impor sanções administrativas.

As multas e demais sanções da LGPD estão em vigor?

Sim, as sanções administrativas – que incluem multas – entraram em vigor em 1º de agosto de 2021.

Quais sãos as multas previstas na LGPD?

Os agentes de tratamento de dados,  em razão de eventuais infrações cometidas, ficam sujeitos às seguintes multas:

II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

IIImulta diária, observado o limite total a que se refere o inciso II (grifos nossos);

Quais são os critérios para fixação da multa? 

De acordo com a LGPD, devem ser observados os seguintes critérios:

  • a gravidade e a natureza das infrações e dos direitos pessoais afetados
  • a boa-fé do infrator
  • a vantagem auferida ou pretendida pelo infrator
  • a condição econômica do infrator
  • a reincidência
  • o grau do dano
  • a cooperação do infrator
  • a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 da LGPD
  • a adoção de política de boas práticas e governança
  • a pronta adoção de medidas corretivas 
  • a proporcionalidade entre a gravidade da falta e a intensidade da sanção
CONCLUSÃO – GUIA LGPD

Assim, como podemos ver existem muitas obrigações e deveres que as empresas precisam cumprir a fim de respeitar as diretrizes da LGPD.

Portanto, as empresas que – o quanto antes – iniciarem um projeto de adequação, seguramente estarão mais preparadas para cooperar com os órgãos de fiscalização, e por consequência, terão mais ferramentas para evitar multas ou reduzi-las.

Igualmente, poderão gozaram dos benefícios da implementação da LGPD.

No entanto, esperamos que após a leitura desse Guia LGPD para empresas você tenha aprendido os principais conceitos da Lei.

Dúvidas sobre como adequar a sua empresa à LGPD?

Entre em contato conosco via WhatsApp ou e-mail: contato@giarllarielli.adv.br

 

 

 

Gustavo Giarllarielli

logo
Giarllarielli Advogados
Precisa de ajuda? Converse com a gente!