fbpx
  1. O que é a Lei Geral de Proteção de Dados (LGPD)?

A Lei Geral de Proteção de Dados, comumente conhecida pelas siglas “LGPD”, é uma norma federal aprovada em 2018, que vigorou em 18 de setembro de 2020. A lei representa um marco histórico na regulamentação de dados pessoais no Brasil e estabelece regras específicas para o tratamento de dados pessoais, nos meios físicos e digitais, por pessoa física ou pessoa jurídica (empresas) que tratam dados de pessoa natural identificável ou identificada.

A LGPD visa proteger os direitos fundamentais da liberdade, privacidade e intimidade dos indivíduos.

A criação da referida norma foi influenciada pelo movimento mundial de cuidado e segurança com dados pessoais, principalmente, no meio digital. Além disso, a ameaça de restrição comercial internacional a países que não adotem medidas protetivas aos dados pessoais tornou-se uma realidade.

Assim, com o objetivo de estabelecer um cenário de segurança jurídica e promover práticas de privacidade e proteção de dados, de acordo com os parâmetros internacionais existentes, a LGPD foi inspirada no General Data Protection Regulation (GDPR), legislação vanguardista de proteção de dados da União Europeia.

Ressalta-se que a LGPD não veio para destruir modelos de negócios, pelo contrário, referida norma visa uma relação mais transparente, justa e sólida entre as empresas e os titulares (consumidores, funcionários, clientes, alunos, condôminos, visitantes, etc.), garantindo um equilíbrio entre as partes e devolvendo aos indivíduos poder sobre seus dados pessoais.

Isto porque, a LGPD não é uma lei proibitória, mas protetiva, portanto, ela traz diretrizes para viabilizar um tratamento regular de dados pessoais dentro das organizações, impondo a utilização de medidas técnicas e organizacionais compatíveis e padrões de vigilância mais altos, bem como prevê sanções graves em caso de descumprimento a fim de compelir os agentes de tratamento a estarem em compliance com a legislação.

 

  1. LGPD: O que são dados pessoais?

Desde que a Lei de Proteção de Dados Pessoais “LGPD” entrou em vigor é comum ouvirmos frases com a expressão “informação pessoal” ou “dado pessoal”. Mas afinal, o que significa?

Segundo a LGPD, dado pessoal é toda e qualquer informação que identifica direta ou indiretamente uma pessoa natural, por exemplo, um nome, um número de identificação, dados de localização, identificadores eletrônicos ou outros elementos específicos relacionados a uma pessoa física. Ou seja, o conceito é extremamente amplo e pode englobar uma natureza de informações diversas, tudo depende da relação e do contexto em que está inserida.

A definição de informação pessoal não é uma novidade da LGPD. A Lei de Acesso à Informação (LAI – Lei nº 12. 527/2011) já previa o mesmo conceito supracitado (Art. 4º, IV – Informação pessoal: aquela relacionada à pessoa natural identificada ou identificável).

Sabe-se que nenhuma organização funciona sem este tipo de informação, ainda que seu modelo de negócio não tenha dado pessoal como objeto principal de suas negociações, o tratamento de dados pessoais acaba por ser inerente à atividade empresarial, ainda que seja sobre a sua estrutura hierárquica interna, por exemplo, processamento de dados de colaboradores. Portanto, todas as empresas devem estar adequadas a LGPD, sejam elas B2B (Business to Business) ou B2C (Business to consumer).

 

  1. LGPD: O que são dados sensíveis?

A inovação de conceitos trazida pela LGPD reside na categoria especial de dados pessoais classificada como dado sensível. Referida espécie está contida no art. 5º, inciso II da legislação e é compreendido por dados de origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

A diferenciação de “dado pessoal” e “dado sensível” se dá diante da necessidade de imposição de cautelas maiores ao tratamento de dados sensíveis, em razão do seu potencial ofensivo e discriminatório aos direitos e liberdade do titular de dados, principalmente, diante de eventual tratamento irregular de dados pessoais ou da hipótese de ocorrência de um incidente de segurança envolvendo dados sensíveis, pois os riscos serão elevados e as consequências ao titular mais gravosas.

Assim, para proteção maior dessa categoria especial, a LGPD prevê estabelece maiores restrições no tratamento, inclusive, bases legais limitadas e específicas.

 

  1. Afinal, o que é um tratamento de dados pessoais?

O tratamento de dados pessoais nada mais é do que toda e qualquer operação envolvendo dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Para compreender os tratamentos realizados pela sua empresa e mapeá-los, facilita seguir o clico de vida do dado pessoal que, geralmente, compreende as seguintes etapas: (i) coleta, (ii) processamento, (iii) compartilhamento, (iv) retenção e (v) eliminação.

A realização do mapeamento dos fluxos (processos de tratamento) de dados pessoais em uma organização é indispensável, além de ser uma obrigação legalmente prevista no art. 37 da LGPD, a qual exige que os agentes de tratamento mantenham registro das operações de tratamento de dados pessoais que realizam, também possibilita maior conhecimento institucional e gerência da companhia sobre suas operações, mitigando futuros riscos e trazendo celeridade ao plano de respostas e atendimento aos direitos dos titulares.

O produto do mapeamento, ou seja, o documento que consta todos os fluxos de dados da companhia, é chamado de ROPA (Record Of Processing Activities), adaptado no Brasil para Registros das Atividades de Tratamento.

 

  1. LGPD: Quais as justificativas legais para o tratamento de dados pessoais?

Todo e qualquer tratamento de dados pessoais deve ser fundamentado em uma das hipóteses legais previstas da LGPD para justificar a operação. É certo que, conforme já exposto em post anterior, há bases legitimadoras um pouco distintas para tratamento de dados pessoais e tratamento de dados sensíveis, isto porque no segundo caso as hipóteses são mais restritivas. Confira-se:

As bases legais aplicáveis ao tratamento de dados pessoais são: (i) consentimento, (ii) obrigação legal ou regulatória, (iii) execução de políticas públicas, (iv) estudo por órgão de pesquisa, (v) contrato ou procedimentos preliminares, (vi) exercício regular de direito, (vii) proteção da vida ou da incolumidade física, (viii) tutela da saúde, (ix) legítimo interesse, (x) proteção do crédito);

Enquanto as bases legais aplicáveis ao tratamento de dados sensíveis são: (i) consentimento, (ii) obrigação legal ou regulatória, (iii) execução de políticas públicas, (iv) estudo por órgão de pesquisa, (v) contrato ou procedimentos preliminares, (vi) exercício regular de direito, (vii) proteção da vida ou da incolumidade física, (viii) tutela da saúde, (ix) prevenção à fraude e segurança do titular;

Pode-se verificar que, ao contrário do que muitos pensam, o consentimento não é a única base legal que permite o tratamento de dados pessoais, devendo ser analisado cada fluxo de dados individualmente para verificar qual, dentre as hipóteses supracitadas, melhor se encaixa ao caso concreto.

 

  1. LGPD: Quem são os atores envolvidos no tratamento de dados?

Os principais atores da LGPD são: o Titular, os agentes de tratamento (Controlador e Operador), o Encarregado (DPO) e a Autoridade Nacional de Proteção de Dados (ANPD).

O titular é basicamente a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. Ou seja, é o dono da informação que somente a ele diz respeito.

Os intitulados agentes de tratamentos são divididos em controlador e operador. O controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais, principalmente a delimitação das finalidades.

Enquanto o operador é a pessoa natural ou jurídica de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador, seguindo suas diretrizes;

Já o Encarregado, que também pode ser chamado de Data Protection Office – DPO ou Oficial de Proteção de Dados, é a pessoa natural ou jurídica responsável por intermediar a comunicação entre o controlador, os titulares de dados e a Agência Nacional de Proteção de Dados – ANPD.

Por fim, a autoridade nacional de proteção de dados é órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional.

 

  1. LGPD: Qual é o papel da ANPD?

A Agência Nacional de Proteção de Dados – ANPD é o órgão da administração pública federal, criado com a missão de zelar pela proteção de dados pessoais com base na ética, transparência, integridade, imparcialidade, eficácia, eficiência e responsabilidade.

A criação da ANPD objetiva (i) promover o fortalecimento da cultura de Proteção de Dados, (ii) estabelecer ambiente normativo eficaz na Proteção de Dados e (iii) aprimorar as condições para o cumprimento das competências legais.

Para cumprir seus objetivos, a ANPD emite guias orientativos, documentos técnicos e publicações para orientar os titulares, agentes de tratamento e a sociedade em geral, bem como regulamenta algumas lacunas encontradas na LGPD, como é o caso da aplicação da norma a agentes de pequeno porte (RESOLUÇÃO CD/ANPD Nº 2/2022) e o procedimento que será adotado no processo de fiscalização (RESOLUÇÃO CD/ANPD Nº 1/2021).

Além disso, o Decreto n. 11.348, publicado em 1 de janeiro de 2023, estabelece a integração administrativa da ANPD a estrutura organizacional do Ministério da Justiça e Segurança Pública. Todavia, a autarquia continua com sua autonomia e estrutura regimental.

 

  1. LGPD: Quais são as sanções previstas?

 Diante de infrações cometidas às normas previstas na LGPD, os agentes de tratamento estão sujeitos as seguintes sanções administrativas aplicáveis pela ANPD:

  • advertência;
  • multa simples de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
  • multa diária;
  • publicização;
  • bloqueio dos dados pessoais até a sua regularização;
  • eliminação dos dados pessoais;
  • suspensão parcial do funcionamento do banco de dados;
  • suspensão do exercício da atividade de tratamento dos dados pessoais;
  • proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados

É certo que as sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto.

Por outro lado, é importante ressaltar que as sanções administrativas, não excluem a aplicação da lei e responsabilização do agente de tratamento perante o judiciário.

 

  1. LGPD: Conheça o procedimento adotado pela ANPD no processo de fiscalização.

De acordo com a RESOLUÇÃO CD/ANPD Nº 1/2021, a ANPD adota um modelo de fiscalização responsivo, o que contempla as atividades de monitoramento, orientação, fiscalização, prevenção e repressão.

Tal modelo permite que a ANPD não aplique apenas sanções (atuação repressiva), mas também utilize medidas orientativas e preventivas para desenvolver a conformidade dos agentes de tratamento para com a LGPD e remediar situações que acarretem riscos aos titulares. Portanto, o que se busca, em verdade, é gerar soluções por meio de posturas de colaboração entre a ANPD e os agentes de tratamento.

Mas atenção: o não atendimento das medidas orientativas e preventivas impostas ao agente de tratamento pode agravar a sanção aplicada em eventual processo administrativo sancionador.

 

  1. LGPD: Aplicação da lei a empresas de pequeno porte 

A RESOLUÇÃO CD/ANPD Nº 2/2022 regulamentou o tratamento jurídico diferenciado da LGPD para agentes de pequeno porte, prevendo dispensas e flexibilizações de algumas determinações.

As empresas beneficiadas por esta resolução são as microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive, sem fins lucrativos, bem como pessoas naturais e entes privados despersonalizados.

As principais mudanças aplicáveis aos agentes de pequeno porte residem nos seguintes pontos:

  1. Simplificação do Registro de Operações de Tratamento, o qual será disponibilizado modelo pela ANPD.
  2. Simplificação do procedimento de comunicação de incidentes de segurança e aplicação de prazo em dobro (Tema será objeto de regulamentação específica da ANPD).
  3. Ausência de obrigatoriedade de nomeação do Encarregado ou DPO, bastando a manutenção de canal de comunicação para exercício dos direitos dos titulares.
  4. Simplificação da política de privacidade que poderá contar apenas com itens essenciais para proteção de dados, principalmente, contra incidentes de segurança.
  5. Aplicação de prazo em dobro para resposta às requisições dos titulares de dados;

Ressalta-se que, nos termos do próprio art. 6 da referida resolução, ”a dispensa ou flexibilização das obrigações dispostas neste regulamento não isenta os agentes de tratamento de pequeno porte do cumprimento dos demais dispositivos da LGPD, inclusive das bases legais e dos princípios, de outras disposições legais, regulamentares e contratuais relativas à proteção de dados pessoais, bem como direitos dos titulares.”