LGPD – Cenário e regras para adequação

Cenário 

Proteção de dados tem sido um tema de grande destaque nas mídias e claro, nos diversos níveis governamentais de muitos países, principalmente os países da União Europeia, onde esse tema tem sido tratado a mais tempo.

Dados pessoais são bens de altíssimo valor para todos, pois se mal-utilizados, podem nos trazer grandes problemas em qualquer esfera, seja pessoal, profissional e financeira. Devido ao fato de estarmos 24 horas conectados, entrando nessa ou naquela rede social, fazendo compras on-line e assinando serviços via internet, estamos expondo dados pessoais sem sequer nos questionarmos se aquelas informações estão realmente protegidas, e caso estejam, qual o nível de proteção ao qual estão submetidos esses dados, que garantia temos dessa proteção e qual o controle que nós, titulares, temos sobre estes dados. Essas são algumas questões que devemos prestar atenção. 

Do lado corporativo a situação também é delicada, pois a empresa muitas vezes confia a coleta e/ou o processamento dos dados à terceiros sem muitas vezes exigir deste garantias de proteção, regras de tratamento e inviolabilidade. Não podemos deixar de considerar pessoas mal-intencionadas, acreditem, elas existem em toda parte, sorte nossa, são minoria. Houve de um caso próximo a mim, onde um funcionário excluiu propositalmente parte das informações de um sistema, mas esse nível de proteção já nos leva por um outro viés que foge um pouco deste tema, citei aqui somente enfatizar que esta pessoa pode estar ao seu lado. 

Breve histórico 

General Data Protection Regulation, essa é a prima europeia da nossa LGPD. Durante 4 anos a GDPR foi elaborada e discutida até ser aprovada pelo Parlamento Europeu em 14 de abril de 2016 passando a vigorar em 25 de maio de 2018.  

No Brasil, a LGPD foi aprovada em 14 de agosto de 2018 e inicialmente entraria em vigor 18 meses após a sua aprovação, mas através da medida provisória 869/18, a lei teve seu período de vacância estendido para 24 meses após a aprovação, portanto entrando em vigor em agosto de 2020.  

A LGPD possui pontos similares à GDPR, embora seja mais sucinta, o que não significa que seja mais branda, inclusive em alguns aspectos nos quais ambas se parecem, a LGPD algumas vezes se apresenta mais rígida que a versão europeia. 

Organizações que já atendem a GDPR precisarão se adequar aos pontos que diferem uma da outra – visto que ambas podem regular organizações estrangeiras e/ou dados coletados no Brasil e tratados no exterior.  

Mas o que é a LGPD? 

A Lei Geral de Proteção de Dados (Lei 13.709/18) é uma lei que regulamenta o tratamento de dados pessoais, inclusive nos meios digitais (pois ela se aplica a outras formas de armazenamento que não seja exclusivamente digital), por pessoa natural (física) ou por pessoa jurídica de direito público ou privado.  

Esta lei define regras detalhadas para a coleta, uso tratamento e armazenamento de dados pessoais e afetará todos os setores da economia. Após a aprovação, a lei sofreu um veto parcial pelo ex-presidente Michel Temer, o qual vetou a criação de uma agência reguladora – Autoridade Nacional de Proteção de Dados (ANPD)-, considerando contrária aos interesses públicos e inconstitucional. Mas numa medida provisória de 27 de dezembro de 2018 (869/18), a agência finalmente foi criada. 

A LGPD possui alguns fundamentos a saber: 

  • Respeito à privacidade; 
  • Autodeterminação informativa; 
  • Liberdade de expressão, de informação, de comunicação e de opinião; 
  • Inviolabilidade da intimidade, da honra e da imagem; 
  • Desenvolvimento econômico e tecnológico e a inovação; 
  • Livre iniciativa, a livre concorrência e a defesa do consumidor; e 
  • Os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais. 

Aplicabilidade 

Aplica-se a qualquer operação de tratamento de dados realizada por pessoa natural (física) ou jurídica, de direito público e privado e independente do meio. Confira abaixo a relação de casos em que a lei é aplicável. 

  • Quando operação de tratamento seja realizada no território nacional; 
  • Quando a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou                  
  • os dados pessoais do objeto do tratamento tenham sido coletados no território nacional. 

Para que a coleta seja considerada em território nacional, o titular dos dados deverá estar neste território no momento da coleta. 

A LGPD não se aplica nos seguintes casos: 

1 – Realizado por pessoa natural para fins exclusivamente particulares e não econômicos;

1.1 – Realizado para fins exclusivamente:

1.1.1 – Jornalístico e artísticos; ou

1.1.2 – Acadêmicos;  

2. Realizado para fins exclusivos de:

2.1 – Segurança pública;

2.2 – Defesa nacional;

2.3 – Segurança do Estado; ou

2.4 – Atividades de investigação e repressão de infrações penais;

Quanto aos dados 

Para os fins desta Lei, considera-se acerca dos dados: 

  • Dado pessoal: informação relacionada a pessoa natural identificada ou identificável; 
  • Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural; 
  • Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento; 
  • Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico; 

Quem são os agentes envolvidos? 

  • Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento; 
  • Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; 
  • Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador; 
  • Encarregado: pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados;   

Direitos do Titular 

O titular dos dados passa a ter amplo controle sobre estes dados mediante requisição, os quais compreendem: 

  • Confirmação da existência de tratamento; 
  • Acesso aos dados; 
  • Correção de dados incompletos, inexatos ou desatualizados; 
  • Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei; 
  • Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador; 
  • Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei; 
  • Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; 
  • Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; 
  • Revogação do consentimento, nos termos do § 5º do art. 8º desta Lei. 

 Penalidades 

As penalidades aplicadas poderão ir de uma advertência até uma multa de 50 milhões por infração.  

  • Advertência, com indicação de prazo para adoção de medidas corretivas; 
  • Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; 
  •  multa diária, observado o limite total a que se refere o item acima; 
  •  Publicização da infração após devidamente apurada e confirmada a sua ocorrência; 
  •  Bloqueio dos dados pessoais a que se refere a infração até a sua regularização; 
  •  Eliminação dos dados pessoais a que se refere a infração; 

Referências:

http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm

https://eugdpr.org/

https://www.congressonacional.leg.br/materias/medidas-provisorias/-/mpv/135062

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

%d blogueiros gostam disto: