Advocacia 26 de agosto de 2021 442Views 0Like 0Comentário

O que é LGPD?

InícioTodos os posts...O que é LGPD?

O que é LGPD?

Como resposta a práticas abusivas de utilização de dados pessoais, que culminou no evento de maior repercussão envolvendo a venda de dados de usuários do Facebook para a empresa Cambridge Analytica, acusada de comercializar as informações sob sua responsabilidade, a União Europeia sancionou o REGULAMENTO EUROPEU DE PROTEÇÃO DE DADOS PESSOAIS (GDPR), exigindo sua aplicação por todos os cidadãos da União Europeia, dentro e fora de seus limites geopolíticos.

O seu principal objetivo da norma, é evitar que as companhias utilizem os dados de acordo com os seus interesses e coibir a prática de comercialização de dados pessoais.

Buscando consonância com práticas e modelos internacionais, vários países da América Latina, tais como: Chile, Colômbia, Costa Rica, Peru, Uruguai, e Argentina, se destacam por possuírem uma legislação compatível com a GDPR.

Neste contexto de globalização, foi sancionada no Brasil, a Lei n° 13.709 de 14/08/2018, conhecida como LGPD – Lei Geral de Proteção de Dados, regulamentando meios e modos de proteger informações pessoais de qualquer natureza de pessoas identificadas ou identificáveis, como instrumento de concretização do princípio universal de garantia da Dignidade da pessoa humana.

QUANDO PASSARÁ A SER OBRIGATÓRIA?

Atentos ao impacto da LGPD, sob as empresas, instituições privadas e governamentais, o legislador diferiu a vigência para 2 (dois) anos, ou seja, entraria em vigor em 14 de agosto de 2020, com a pandemia buscou-se uma nova prorrogação para vigência da lei e depois de algumas discussões, sua vigência teve início em 17/09/2020.

O QUE É? QUANDO PASSARÁ E SER OBRIGATÓRIA? QUAIS OS REQUISTOS LEGAIS DE CONFORMIDADE? E, QUAL O IMPACTO DA LEI GERAL DE PROTEÇÃO DE DADOS SOBRE MINHA EMPRESA?

Relativamente às sanções e penalidades administrativas, a Pandemia de COVID-19, foi considerada, e, conforme a Lei 14.010/20 (RJET), a aplicação de advertências e multas somente ocorrerá a partir de 1º de agosto de 2021.

Para regular, fiscalizar e estabelecer políticas de proteção de dados, foi criada a criação da ANDP – Agência Nacional de Proteção de Dados, órgão da administração pública direta federal e atuará de forma independente com o escopo de garantir o Brasil esteja com o Regulamento Geral de Proteção de Dados da União Europeia.

Destacamos abaixo matéria publicada pelo Jornal O Globo, sobre a LGPD:

Por Agência O Globo — Brasília

“ Entrou em vigor em 17/09/2020, O objetivo da Lei Geral de Proteção de Dados é impedir o vazamento de informações pessoais e tem como um de seus principais pilares o princípio da necessidade.

O que diz a lei Para o cidadão comum, a coisa mais importante da LGPD é que toda empresa ou governo deverá obter dados de uma pessoa com o consentimento dela. Em outras palavras: se o Facebook ou o Google, por exemplo, repassarem seu nome e endereço de e-mail, que eles possuem em seus respectivos bancos de dados, para alguma empresa, e ela, por sua vez, usar essas informações para tentar vender algo para você, isso só vai poder acontecer após a sua autorização. Se desrespeitarem isso, as empresas serão advertidas e multadas. As punições podem chegar até 2% do faturamento de empresas, mas sob o limite de até R$ 50 milhões. A aplicação de penalidade para as empresas que desobedecerem.”

Conforme o Jornal UOL (Veja mais clicando aqui)

“A ANPD tem como uma das principais competências, a elaboração de diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade, fiscalizar e aplicar sanções na hipótese de tratamento de dados realizado em descumprimento à legislação, promover para a população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança, além de estarem incumbidos a tratar sobre as regras de compartilhamento de dados pessoais, inclusive os internacionais.”

QUAL O IMPACTO DA LEI GERAL DE PROTEÇÃO DE DADOS SOBRE MINHA EMPRESA?

Conforme informado pelo SERPRO1 , a Lei 13.709/18, cria um cenário de segurança jurídica, com a padronização de normas e práticas, para promover a proteção, de forma igualitária e dentro do país e no mundo, aos dados pessoais de todo cidadão que esteja no Brasil.

Para auxiliar na visualização da estrutura da LGPD, destacamos a seguir a imagem disponibilizada pelo SERPRO:

A LGPD estabelece ainda, que, não importa se a sede de uma organização, ou o centro de dados dela, estão localizados no Brasil ou no exterior: se há o processamento de conteúdo de pessoas, brasileiras ou não, que estão no território nacional, a LGPD deve ser cumprida. Determina também que é permitido compartilhar dados com organismos internacionais e com outros países, desde que isso ocorra a partir de protocolos seguros e/ou para cumprir exigências legais.

QUAIS OS REQUISTOS LEGAIS DE CONFORMIDADE?

Numa exposição didática, podemos afirmar que a proteção visada pela LGPD, tem alicerces na Boa-fé , na segurança, no consentimento informado e direito de privacidade.

Nesse momento, é importante que cada empresa se faça, alguns questionamentos relevantes, como os seguintes:

  • Como os dados pessoais dos clientes são utilizados?
  • Qual é a natureza dos dados que são mantidos?
  • Quem pode acessá-los e controlá-los?
  • Como foram extraídos e com qual objetivo?
  • Qual é o período de retenção das informações?

É válido ressaltar que a revisão é imprescindível, especialmente porque a maior parte dos mecanismos de consentimento que eram usados anteriormente são válidos no âmbito da nova lei.

Detalharemos a seguir, alguns elementos essenciais da norma.

Consentimento

Outro elemento essencial da LGPD é o consentir. Ou seja, o consentimento do cidadão é a base para que dados pessoais possam ser tratados. Mas há algumas exceções a isso.

É possível tratar dados sem consentimento se isso for indispensável para:

  • cumprir uma obrigação legal;
  • executar política pública prevista em lei;
  • realizar estudos via órgão de pesquisa;
  • executar contratos;
  • defender direitos em processo;
  • preservar a vida e a integridade física de uma pessoa;
  • tutelar ações feitas por profissionais das áreas da saúde ou sanitária;
  • prevenir fraudes contra o titular; proteger o crédito;
  • atender a um interesse legítimo, que não fira direitos fundamentais do cidadão.

Automatização com autorização

A LGPD, traz várias garantias ao cidadão, entre elas, o direito de solicitar, a qualquer tempo e de forma gratuita e facilitada, que seus dados sejam eliminados, o direito de revogar um consentimento já concedido, e , ainda, o direito de transferir dados para outro fornecedor de serviços.

O tratamento dos dados deve ser feito levando em conta alguns quesitos, como finalidade e necessidade, que devem ser previamente acertados e informados ao cidadão.

Por exemplo, se a finalidade de um tratamento, feito exclusivamente de modo automatizado, for construir um perfil (pessoal, profissional, de consumo, de crédito), o indivíduo deve ser informado que pode intervir, pedindo revisão desse procedimento feito por máquinas.

Agentes de Tratamento

Para que as empresas e organismos governamentais possam garantir o cumprimento das obrigações estampadas na LGPD, a norma, introduziu a figura dos agentes de tratamento de dados, com os seguintes papeis:

  • Controlador, que toma as decisões sobre o tratamento;
  • Operador, que realiza o tratamento, em nome do controlador;
  • Encarregado, que interage com cidadãos e autoridade nacional (e poderá
    ou não ser exigido, a depender do tipo ou porte da organização e do
    volume de dados tratados).

Gestão em Foco

Para efetiva proteção dos dados a serem tratados, a LGPD, exige um Plano de contingências, fazer auditorias, comunicar vazamento de informações de forma imediata tanto para a ANDP quanto para o titular do dado vazado, redigir normas de governança; adotar medidas preventivas de segurança; replicar boas práticas e certificações existentes no mercado.

Vale lembrar que todos os agentes de tratamento se sujeitam à lei. Isso significa que as organizações e as subcontratadas para tratar dados respondem em conjunto pelos danos causados.

DADOS PESSOAIS

Para evitar dúvidas e ilações, a LGPD, enumerou e definiu objetivamente o que são considerados, DADOS PESSOAIS.

Art. 5º Para os fins desta Lei, considera-se:

  1. dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
  2. dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
  3. dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
  4. banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
  5. titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

PRINCÍPIOS QUE NORTEIAM O TRATAMENTO DE DADOS

O artigo 6° da LGPD2, enumera os princípios que deve ser observados no tratamento de dados, são eles:

  1. finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
  2. adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
  3. necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
  4. livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
  5. qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
  6. transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
  7. segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
  8. prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
  9. não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
  10. responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

DADOS SENSÍVEIS

Há tipos de dado pessoal que exigem atenção extra ao serem tratados ? Sim. Claro, todo dado pessoal só pode ser tratado se seguir um ou mais critérios definidos pela LGPD, mas, dentro do conjunto de dados pessoais, há ainda aqueles que exigem um pouco mais de atenção: são os sobre crianças e adolescentes;

e os “sensíveis”, que são os que revelam:

  • origem racial ou étnica
  • convicções religiosas ou filosóficas,
  • opiniões políticas,
  • filiação sindical,
  • questões genéticas, biométricas e sobre a saúde ou
  • a vida sexual de uma pessoa.

Quando o foco for menores de idade, é imprescindível obter o consentimento inequívoco de um dos pais ou responsáveis e se ater a pedir apenas o conteúdo estritamente necessário para a atividade econômica ou governamental em questão, e não repassar nada a terceiros.

Sem o consentimento do menor, somente será possível coletar dados se for para urgências relacionadas a entrar em contato com pais ou responsáveis e/ou para proteção da criança e do adolescente.

Sobre os Dados sensíveis, autônomos, empresas e governo também podem tratá-los se tiverem o consentimento explícito da pessoa e para um fim definido.

E, sem consentimento do titular, a Lei Geral de Proteção de Dados Pessoais define que isso é possível quando for indispensável em situações ligadas:

  • a uma obrigação legal;
  • a políticas públicas;
  • a estudos via órgão de pesquisa;
  • a um direito, em contrato ou processo;
  • à preservação da vida e da integridade física de uma pessoa;
  • à tutela de procedimentos feitos por profissionais das áreas da saúde ou sanitária;
  • à prevenção de fraudes contra o titular.

CONSENTIMENTO

O consentimento informado é essencial para o tratamento de dados, neste caso destacamos o que diz a LGPD4 , a seguir:

“Art. 8º O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.

  • 1º Caso o consentimento seja fornecido por escrito, esse deverá constar de cláusula destacada das demais cláusulas contratuais.
  • 2º Cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto nesta Lei.
  • 3º É vedado o tratamento de dados pessoais mediante vício de consentimento.
  • 4º O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas.
  • 5º O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação, nos termos do inciso VI do caput do art. 18 desta Lei.”

Penalidades

As falhas de segurança podem gerar multas de até 2% do faturamento líquido anual da organização no Brasil – e no limite de R$ 50 milhões por infração. A autoridade nacional fixará níveis de penalidade segundo a gravidade da falha.

Devemos ficar atentos e exigir que, antes de aplicar sanções, a ANPD, notifique, alerte, e forneça orientações às empresas e instituições, destacando-se ainda o dever de regular e emitir portarias, Decretos e Regulamentos, que capazes de esclarecer diversos dispositivos, da LGPD, que carecem de detalhamento, tais como: i)- Como deverá ocorrer a eliminação de dados físicos e eletrônicos? ii)-Como comprovar sua ocorrência? iii)- Como compatibilizar a eliminação e portabilidade como normas fiscais que determinam a guarda de dados por determinado prazo?, entre outras questões que vem exigindo dos profissionais pesquisa de práticas da União Europeia.

Este texto visa auxiliar na compreensão e divulgação da Lei Geral de Proteção de Dados, destacando sua importância como instrumento de proteção da privacidade e da isonomia, já que a utilização discricionária de dados pessoais, vem causando reiteradas injustiças, marcadamente, quando seu uso, se presta a formar perfis e padrões de algoritmos.

Confira o texto oficial na íntegra clicando aqui.

Você pode gostar

Holding Patrimonial Familiar | O que é?
14 de janeiro de 2022 Advocacia
Pereira & Campos Sociedade de Advogados
A tese do século – suprema segurança
19 de agosto de 2021 Advocacia

Deixe um comentário