High JumpHigh Jump

05 de maio de 2021

Lei Geral de Proteção de Dados

Compliance
Rafael Borges
Rafael Borges

05 de maio de 2021 · 7 min de leitura

Por dentro da lei geral de proteção de dados

A Lei geral de proteção de dados (LGPD), nº 13.709 de 14 de agosto de 2018, dispõe sobre o tratamento de dados pessoais, de maneira física ou digital, por pessoa natural ou jurídica de direito público, ou privado. A lei visa proteger os direitos de liberdade e privacidade, criando um cenário de segurança jurídica válido para todo o país, além de apresentar de maneira clara para o titular os envolvidos no tratamento dos dados. Aplica-se a qualquer operação de tratamento de dados pessoais realizadas no território nacional, a qualquer um que não cumprir as normas ditadas pela norma poderá pagar multas que variam de até 2% do faturamento, do último exercício, da pessoa jurídica de direito privado, do grupo ou conglomerado, sendo o valor de 50 milhões o máximo para os 2% do faturamento. 

Além da multa (que pode ser simples ou diária), a lei prevê uma sanção ao não cumprimento, a publicização do cometimento de uma infração, após devidamente apurada e confirmada (art. 52. X) suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; (art. 52. X) suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; (art. 52. XII) proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Finalidade

Tem por finalidade trazer maior transparência para o cidadão, ela traz uma série de quesitos sobre como deve ser realizado o tratamento dos dados e que devem ser previamente informados aos titulares. Estes quesitos servem para qualquer operação de tratamento de dados realizada por pessoa natural ou jurídica de direito público, ou privado, independente do meio, desde que, coletado em território nacional.

“Consideram-se coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta.” 

Deve estar claro para o titular do dado a finalidade do uso do mesmo, o tratamento deve possuir um proposito legitimo, especifico e explicito, além do mais não deve existir a possibilidade de tratamento posterior de forma incompatível com sua finalidade. 

Dados que devem ser protegidos

  • Dados pessoais: Informação relacionada a pessoa natural identificada ou identificável;
  • Dados sensíveis: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
  • Dados anonimizados: dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.

Dados pessoais devem ser tradados nas seguintes hipóteses

Tratamento

O tratamento de dados é toda a operação realizada com os dados pessoais, como: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Como já citado o titular dos dados deve consentir para que seja realizado o tratamento do dado, este consentimento pode ser fornecido por escrito ou por outro meio que demonstre as manifestações de vontade do titular, no caso do consentimento disponibilizado por escrito deve-se destacar as cláusulas onde são citados a finalidade do uso do dado, este consentimento pode ser revogado a qualquer momento mediante a manifestação expressa do titular.

“O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.”

Acesso às informações

O titular das informações deve ter acesso facilitado as suas informações e sobre o tratamento dos seus dados, para o atendimento do princípio de livre acesso é preciso considerar as características:

  • Finalidade específica do tratamento;
  • Forma e duração do tratamento, observados os segredos comerciais;
  • Identificação do controlador;
  • Informações de contato do controlador;
  • Informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
  • Responsabilidades dos agentes que realizarão o tratamento;
  • Direitos do titular, com menção explícita aos direitos.

“Será considerado nulo caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca.”

Término do tratamento

A lei estabelece um rol taxativo de hipóteses que justificam o termino do tratamento dos dados pessoais:

  • Finalidade alcançada ou os dados deixarem de ser necessários, ou pertinentes ao alcance da finalidade específica almejada;
  • Fim do período de tratamento;
  • Solicitação de revogação dos dados pelo titular;
  • Determinação da autoridade nacional.

Além de estabelecer hipóteses para justificar o termino do tratamento dos dados, a lei prevê a eliminação dos dados após o termino de seu tratamento, nos âmbitos e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:

  • Cumprimento de obrigação legal ou regulatória pelo controlador;
  • Estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
  • Transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei, ou
  • Uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

Agentes de tratamento

A lei prevê algumas figuras, os chamados agentes de tratamento de dados, entre eles controlador, operador e o encarregado.

  • Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
  • Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

Controlador e Operador devem manter registros das operações de tratamento de dados pessoais que realizarem, e o operador deve realizar o tratamento seguindo as instruções fornecidas pelo controlador.

  • Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

O encarregado deve ter suas informações de contato divulgadas publicamente de maneira clara e objetiva, preferencialmente no site, o encarregado em outros termos dentro de uma organização é o chamado DPO, sigla para Data Protection Officer, é o profissional que dentro de uma empresa, é responsável por cuidar das questões referentes à proteção dos dados da organização e dos seus clientes.

Segurança dos dados

Pegando como base as normas ISO 27701, 27001 e 27002, referente a segurança dos dados, a lei prevê que seja adotado medidas de segurança, técnicas e administrativas aptas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda alteração, comunicação ou qualquer forma tratamento inadequado, ou ilícito, ou seja, obriga o agente de tratamento a garantir os três pilares da segurança das informações:

  • Confidencialidade;
  • Integridade;
  • Disponibilidade.

Uma ferramenta importante para a aplicação prática das diretrizes da Lei Geral de Proteção de Dados (LGPD) é a norma, ISO 27701 que conta com 86 itens cruzando com a LGPD, a norma ABNT NBR ISO/IEC 27701:2019 é um padrão internacional publicado em 25 de novembro de 2019 com o escopo de estabelecer controles de segurança para proteção de dados. A norma está ligada a ISO 27001, 27002 e demais normas, sendo considerada uma normal de extensão.

Fiscalização

Com o intuito de fiscalização do cumprimento da lei, foi criado a ANPD (Autoridade Nacional de Proteção de Dados), um órgão assegurado de autonomia técnica e decisória.

A ANPD é o órgão federal encarregado de editar normas e fiscalizar procedimentos sobre proteção de dados pessoais, entre as competências da ANPD estão, zelar pela proteção dos dados pessoais, elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade e aplicar sanções em caso de tratamento de dados realizado de forma irregular.

A ANPD terá natureza transitória, podendo ser transformada pelo Poder Executivo em uma entidade da administração pública federal indireta, submetida a regime autárquico especial e vinculada à Presidência da República após 2 (dois) anos da data da entrada em vigor da estrutura regimental da ANPD.

O órgão terá a seguinte estrutura organizacional: Conselho Diretor (órgão máximo de direção), Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, Corregedoria, Ouvidoria, órgão de assessoramento jurídico próprio e unidades administrativas necessárias à aplicação da lei.

O Conselho diretor será formado por 5 (cinco) diretores, incluindo o diretor presidente.

O Conselho Nacional de Proteção de Dados Pessoais e da Privacidade será composto de 23 representantes, titulares e suplentes, de órgãos públicos e da sociedade civil.

Ficou com alguma dúvida? Preencha o formulário abaixo para realizar um diagnóstico de aderência aos requisitos para implantação da LGPD em sua organização!