De início, destacamos que o Guia LGPD* foi elaborado para ajudar você que deseja iniciar um projeto de adequação do seu negócio à Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709/2018).
- *esse Guia LGPD está atualizado de acordo com o Guia Orientativo de maio de 2021 e os esclarecimentos das Sanções Administrativas, ambos elaborados pela Autoridade Nacional de Proteção de Dados – ANPD
- * e ainda também criamos um tópico para a flexibilização da LGPD em empresas de pequeno porte (EPP’s) de acordo com a Resolução CD/ANPD Nº 2/2022
O material foi produzido com intuito de traduzir os termos jurídicos e técnicos da LGPD, por meio de perguntas e respostas.
Boa leitura.
1. O que é a LGPD ?
A LGPD dispõe sobre o tratamento de dados pessoais, sendo por meio físico ou digital, realizado por pessoa física ou por pessoa jurídica, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade das pessoas.
2. Quem deve se adequar à LGPD?
Tanto as empresas como os profissionais autônomos que utilizam dados pessoais em seu negócio devem iniciar um projeto de adequação à LGPD.
Porém, a LGPD não é aplicada as pessoas físicas que usam dados pessoais com finalidades domésticas.
Por exemplo:
- utilização de rede social, troca de correspondências, lista de contatos, blogs etc.
E, de acordo com o recente Guia Orientativo da ANPD, os funcionários – do setor público ou privado – que trabalham mediante subordinação das decisões de empresas (poder diretivo, art. 2 e 3 da CLT) também não são considerados agentes tratamento.
2.1 Flexibilização da LGPD
Autoridade Nacional de Proteção de Dados (ANPD) mediante a Resolução flexibilizou a LGPD para:
- microempresas e empresas de pequeno porte
- startups
- pessoas jurídicas de direito privado, inclusive sem fins lucrativos
- pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador
Porém, para saber se as empresas de pequeno porte podem se beneficiar da flexibilização da LGPD é necessário verificar os critérios econômicos, bem como as exceções estabelecidas pela Resolução.
Nesse sentido, indicamos a leitura do artigo – aplicação da LGPD em empresas de pequeno porte – para quem deseja aprofundar sobre o tema.
3. O que são dados pessoais?
Dados pessoais são informações de pessoas naturais vivas que, direta ou indiretamente identificam um indivíduo.
A informação direta é aquela que permite a imediata individualização da pessoa.
A informação indireta, por sua vez, é a que permite, por meio da reunião de dados, chegar à identificação do sujeito.
Nesse Guia LGPD, sempre que possível citaremos exemplos, vejamos:
- identificação direta: nome completo.
- identificação indireta: endereço, profissão, características físicas, nome etc.
3.1 O que são dados sensíveis?
São aqueles que podem causar discriminação a uma pessoa, por isso merecem maior proteção.
De acordo com a LGPD, dados sensíveis são aqueles que tratam sobre:
- origem racial ou étnica
- convicção religiosa
- opinião política
- filiação a sindicato ou a organização de caráter religioso
- filosófico ou político
- dado referente à saúde ou à vida sexual
- dado genético ou biométrico, quando vinculado a uma pessoa natural
Exemplo: o resultado do exame de um paciente que é diagnosticado com HIV -positivo – deve ser guardado em um lugar extremamente seguro, seja um documento digital ou físico.
4. O que é tratamento de dados pessoais?
O tratamento de dados pessoais é toda operação realizada com informações de pessoas vivas.
Por exemplo:
- armazenamento de dados, compartilhamento, retenção etc
5. Quem é o titular dos dados?
O titular dos dados é uma pessoa física que mediante consentimento livre e informado concede seus dados aos agentes de tratamento que os processarão para alguma finalidade.
Exemplo:
- um consumidor (titular de dados) que entrega seus dados pessoais para obter algum desconto em uma loja. Neste caso, o consumidor é o titular dos dados.
6. Quem são os agentes de tratamento de dados pessoais?
6.1 Controlador
Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
6.1.1 Pessoa Jurídica
- uma pessoa jurídica (controladora) que vende materiais de construção e – no momento da compra – coleta dados pessoais do consumidor (titular de dados).
Nesse contexto, a controladora (pessoa jurídica) é quem irá processar (tratar) os dados titular de dados (consumidor), com a finalidade de formalizar uma venda de seus produtos.
6.1.2 Pessoa Física
Para que pessoas físicas sejam consideradas controladoras de dados deve ser observado:
i) normalmente, o tratamento de dados está relacionado a uma atividade econômica e não doméstica;
ii) e de acordo com as orientações da ANPD, é fundamental que a pessoa natural tenha independência para tomar as suas decisões referentes ao tratamento de dados.
Assim, são considerados controladores de dados os profissionais liberais e empresários individuais.
Nesse Guia LGPD, sempre que possível citaremos exemplos, vejamos:
- Um advogado que armazena dados pessoais de seus clientes em seu computador é considerado um controlador de
dados pessoais.
Por outro lado, não é considerado um agente de tratamento as pessoas físicas que usam dados pessoais com finalidades domésticas, como por exemplo, utilização de rede social, troca de correspondências, lista de contatos, blogs etc.
6.2 Operador
Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
O operador somente poderá processar dados pessoais de acordo com as instruções fornecidas pelo controlador, ou seja, o controlador é quem estabelece as finalidades e limites do tratamento de dados.
Nesse Guia LGPD, sempre que possível citaremos exemplos, vejamos:
- a companhia de varejo (controladora), com objetivo de promover seus produtos, contrata uma agência de marketing (operadora).
Nesse contexto, a agência de marketing processará dados, em nome da companhia de varejo, para uma finalidade limitada e específica: promoção dos seus produtos.
6.3 Agentes de pequeno porte
A LGPD prevê dois agentes de tratamento (controlador e o operador), mas a ANPD mediante a Resolução criou um novo tipo – os agentes de tratamento de pequeno porte, sendo eles:
- microempresas e empresas de pequeno porte
- startups
- pessoas jurídicas de direito privado, inclusive sem fins lucrativos
- pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador
Devido a complexidade desse tema, elaboramos um artigo para esclarecer os principais pontos, leia: aplicação da LGPD em empresas de pequeno porte
7. Quais são os princípios da LGPD?
Para que um projeto de adequação seja implementado é fundamental respeitar os princípios da LGPD, sendo eles:
- boa-fé
- finalidade
- adequação
- necessidade
- livre acesso
- qualidade dos dados
- transparência
- segurança
- prevenção
- não discriminação
- responsabilização e prestação de contas
Haja vista que cada um dos princípios tem detalhes importantes (e para não fugir do foco desse Guia LGPD), recomendamos a leitura deste artigo (Princípios da LGPD) onde detalhamos cada um deles.
8. Quais sãos as bases legais para utilizar dados pessoais?
Um dos primeiros passos para iniciar um projeto de adequação é descobrir quais são as bases legais que serão utilizadas para o tratamento de dados.
Destacamos que o controlador é obrigado a informar qual é a base legal que utiliza, ou seja, não é questão de escolha e sim de imposição legal.
Vejamos, então, quais são as bases legais para tratar dados pessoais ligadas à atividade privada:
- mediante o fornecimento de consentimento pelo titular;
- para o cumprimento de obrigação legal ou regulatória pelo controlador;
- quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
- para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
- quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
- e para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
9. O que é consentimento no âmbito da LGPD?
A LGPD definiu consentimento como: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
No Brasil, ainda não há uma definição ou diretriz sobre o que é “manifestação livre, informada e inequívoca”.
Contudo, de acordo com as diretrizes do Comitê Europeu para a Proteção de Dados, em apertada síntese, podemos extrair que:
- Livre: implica em uma verdadeira escolha e controle para os titulares dos dados. Em outras palavras, se o titular não puder exercer uma verdadeira escolha, se sentir coagido a dar o consentimento ou sofrer consequências negativas caso não consinta, então o consentimento não é válido.
- Informada: é necessário informar ao titular pelo menos os seguintes elementos:
i. quem é o responsável pelo tratamento; ii. para qual finalidade será obtido o consentimento; iii. que tipo de dados serão coletados; iv. existência do direito de retirar o consentimento; v. informações sobre a utilização dos dados para decisões automatizadas; vi. sobre os possíveis riscos de transferências de dados devido à inexistência de garantias adequadas; - Inequívoca: o controlador deve conseguir comprovar – por meio físico ou digital – que obteve autorização do titular dos dados para tratar os seus dados.
10. Quais são os direitos do titular dos dados?
É fundamental conhecer os direitos dos titulares de dados, em especial quem está iniciando um projeto de adequação à LGPD.
Vejamos, então, esses direitos:
- confirmação da existência de tratamento
- acesso aos dados
- correção de dados incompletos, inexatos ou desatualizados
- anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD
- portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial
- eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei
- informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados
- informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa
11. Quais são as medidas de segurança devem ser tomadas?
Os agentes de tratamento (controlador e operador) devem adotar:
medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito” (artigo 46 da LGPD).
Todavia, a LGPD não exemplifica quais são as medidas de segurança que devem ser aplicadas.
Contudo, além da leitura desse Guia LGPD, recomendamos que também vejam o Guia Orientativo sobre Segurança da Informação para Agentes de Tratamento de Pequeno Porte
12. Em qual o território a LGPD é aplicada?
Um projeto de adequação à LGPD deve possuir abrangência nacional e extraterritorial.
13. Quem é o encarregado pelo tratamento de Dados Pessoais ?
Um dos pontos fundamentais em um projeto de adequação é a escolha do encarregado de dados pessoas.
Segundo as orientação da ANPD e da LGPD, o encarregado pode ser pessoa física ou jurídica.
Suas as atividades são:
- aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
- receber comunicações da autoridade nacional e adotar providências;
- orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
- e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Portanto, o encarregado é quem irá auxiliar o controlador (dentro de um processo de adequação) e também fará a intermediação entre os titulares e a Autoridade Nacional de Proteção de Dados (ANPD).
Além disso, o Encarregado deve ter liberdade e independência para exercer suas atividades.
13.1 Quem pode ser nomeado como encarregado de dados?
Segundo as recentes diretrizes da ANPD, o encarregado pode ser:
- um funcionário da empresa
- um agente externo, ou seja, não trabalha na empresa
- pessoa física ou jurídica
Aliás, é recomendável que o encarregado seja indicado por um ato formal, como um contrato de prestação de serviços ou um ato administrativo.
13.2 Quais são as qualificações do encarregado?
De acordo a orientação da ANPD, cabe ao controlador analisar a necessidade que os negócios da sua empresa tem relacionados à segurança e à privacidade de dados.
Por exemplo:
- um hospital, seguramente, precisará de um profissional qualificado em privacidade e proteção de dados, pois a sua atividade envolve o processamento de dados sensíveis. Por outro lado, uma padaria, a princípio, não terá a mesma necessidade.
Porém, em ambos os casos, é fundamental que o encarregado tenha liberdade e independência para exercer suas atividades.
13.3 É obrigatório a nomeação do encarregado?
Em regra, é obrigatório a indicação do encarregado, artigo 41 da LGPD.
Entretanto, houve a dispensa do encarregado para os agentes de pequeno porte, veja mais detalhes neste artigo: aplicação da LGPD em empresas de pequeno porte
Mesmo assim, ainda deverá ser disponibilizado um canal de comunicação com o titular de dados para:
- aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências
Lembrando que a indicação de um encarregado será considerado como política de boas práticas e de governança, em especial, nos casos aplicação de sanções administrativas.
14. Da responsabilidade e do ressarcimento de danos.
O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados, será obrigado a repará-lo.
15. Quem fiscalizará o cumprimento da LGPD?
No âmbito da LGPD, caberá a Autoridade Nacional de Proteção de Dados (ANPD) a fiscalização do cumprimento da Lei e também impor sanções administrativas.
16. As multas e demais sanções da LGPD já estão em vigor?
Sim, as sanções administrativas – que incluem multas – entraram em vigor em 1º de agosto de 2021.
17. Quais sãos as multas previstas na LGPD?
Os agentes de tratamento de dados (controlador e operador), em razão de eventuais infrações cometidas, ficam sujeitos às seguintes multas:
II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III – multa diária, observado o limite total a que se refere o inciso II (grifos nossos);
18. Quais são os critérios para fixação da multa?
Antes de elencarmos o rol de critérios, é fundamental reiterar a importância de se iniciar um projeto de adequação.
Até porque, mesmo que um projeto não tenha sido finalizado, ele muito provavelmente reduzirá ou evitará eventuais prejuízos de uma empresa ou de um autônomo.
A LGPD elenca os seguinte critérios para fixação de multa:
- a gravidade e a natureza das infrações e dos direitos pessoais afetados
- a boa-fé do infrator
- a vantagem auferida ou pretendida pelo infrator
- a condição econômica do infrator
- a reincidência
- o grau do dano
- a cooperação do infrator
- a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 da LGPD
- a adoção de política de boas práticas e governança
- a pronta adoção de medidas corretivas
- a proporcionalidade entre a gravidade da falta e a intensidade da sanção
Considerações finais
Diante todo exposto, percebemos que existem muitas obrigações e deveres que as empresas precisam cumprir para se adequarem à LGPD.
Logo, as empresas que – o quanto antes – iniciarem um projeto de adequação, seguramente estarão mais preparadas para cooperar com os órgãos de fiscalização, e por consequência, terão mais ferramentas para evitar multas ou reduzi-las significativamente.
E também poderão gozaram dos benefícios da implementação da LGPD.
Por último, esperamos que após a leitura desse Guia você tenha aprendido os principais conceitos da LGPD.