O que é LGPD?
Um dos assuntos do momento em nosso ordenamento jurídico é a Lei Geral de Proteção de Dados – Lei n° 13.709/2018, que chegou para mudar a forma como lidamos com os dados pessoais.
A LGPD foi sancionada em 2018 e foi inspirada na General Data Protection Regulation – GDPR, que é o regulamento de privacidade e proteção de dados utilizado pela União Européia e que se encontra em vigor desde 2018 naquele continente. Por aqui, a LGPD entrou em vigor em sua integralidade a partir de 1º de agosto de 2021, tendo como principais objetivos proteger direitos e liberdades fundamentais, bem como regular o tratamento de dados pessoais por pessoas pessoas jurídicas ou pessoas físicas com finalidade financeira.
A era tecnológica vem sendo um marco no século XXI, e nesse universo onde tudo se espalha em frações de segundos, a informação não encontra barreiras e tudo se resolve com apenas um clique. Sendo assim, a LGPD determina como as empresas deverão fazer os tratamentos de informações dos seus clientes, colaboradores e parceiros, estabelecendo parâmetros de como esses dados devem ser coletados, armazenados, processados e destruídos. note-se, entretanto, que a Lei não protege apenas dados em meios digitais, mas também os dados armazenados em meio físico.
Nesse sentido, a LGPD abrange todas as questões que envolvem dados pessoais para trazer maior segurança jurídica tanto para as empresas, quanto para os seus clientes, reunindo todas as informações de proteção de dados em um só instrumento normativo.
Qual a necessidade de uma lei para proteger os dados pessoais?
A LGPD entra no cenário a partir do momento em que nós consumidores estamos vivendo a era do “não li e concordo”. É comum uma pessoa marcar aquele cashbox “li e aceito a coleta desses dados” sem ter lido a política de privacidade e simplesmente aceitado nos momentos de baixar um aplicativo, acessar as redes sociais ou fazer uma compra online.
É pouco provável que alguém leia política de privacidade por ser em sua grande maioria extensa, sendo que o principal ativo do consumidor é o tempo, o que acaba reforçando que as empresas usem as políticas de privacidade em forma de contrato, tendo como consequência o uso desenfreado, sem finalidade e zero transparência dos dados pessoais.
Diante disso, é de extrema importância ter uma lei que permite ao cidadão ter o controle das informações que estejam com empresas, pois gera padrões a serem seguidos para divulgação desses dados, bem como estabelecer para qual finalidade esse estão sendo arguidos
O que mudou com a LGPD?
Primeiramente far-se-á necessário conhecer os atores da Lei, que são:
- o titular, que é a pessoa natural cujos dados serão tratados;
- o controlador, que é a pessoa física ou jurídica aos quais pertencem as decisões indicativas ao tratamento de dados pessoais;
- o operador, que é o responsável por realizar o tratamento dos dados do controlador;
- a autoridade nacional de proteção de dados, que é o órgão responsável por fiscalizar implementar e fazer com que as empresas cumpram a LGPD;
- o encarregado de dados ou Data Protection Officer, que é o responsável por organizar a privacidade e a proteção dos dados, bem como intermediar a comunicação entre o controlador, o operador e a Autoridade Nacional de Proteção de Dados.
Toda legislação normativa é regida por princípios, que são a base para o desenvolvimento para qualquer interpretação da norma, e com a LGPD não é diferente. Diante disso, é de extrema importância que as empresas acolham os valores desses princípios com o objetivo de transmitir uma cultura de proteção de dados para o usuário.
O art. 6° da referida Lei traz o rol de princípios a serem adotados. São eles:
- Finalidade,
- Necessidade
- Transparência,
- Qualidade dos dados,
- Não discriminação,
- Segurança,
- Adequação,
- Livre acesso,
- Prevenção
- Responsabilização e prestação de contas.
O princípio da finalidade tem grande importância no que diz respeito ao tratamento dos dados pessoais e informações do titular. É necessário que os dados coletados tenham uma finalidade específica e clara para o titular. Isso significa que é vedada a coleta de dados para um fim determinado e que, posteriormente, sejam utilizados com outra motivação, desconhecida do titular.
Quanto ao princípio da necessidade, o objetivo é que as empresas coletem o mínimo necessário de dados para que possa ser efetivado o seu devido fim. É a coibição de coletas de dados excessivos e não fundamentais.
A transparência tem a finalidade de transmitir aos usuários informações claras sobre como os seus dados serão utilizados, criando uma relação de confiança entre a empresa e o titular e respeitando eventuais segredos comerciais ou industriais.
O princípio da segurança nada mais é do que a garantia de que os dados pessoais dos titulares estarão seguros durante sua utilização para que se possa evitar quaisquer tipos de incidentes tais como sua a divulgação ou alteração. É necessário que a empresa/organização, esteja preparada tecnicamente para lidar com as informações, inclusive lançando mão de treinamentos com a equipe.
Quanto ao princípio da prevenção, a ideia é evitar ocorrências que possam gerar danos aos titulares ao divulgar os seus dados pessoais, portanto é de extrema importância que as empresas adotem medidas para que não haja infortúnios maiores;
No que tange o princípio da adequação a empresa deve tratar os dados do titular com a devida compatibilidade e finalidade para os quais estes serão coletados;
O livre acesso permite que os titulares possam acessar de forma gratuita e desimpedidao os seus dados coletados, além de todas as informações do tratamento dos mesmos;
O princípio da qualidade dos dados, que nada mais é que manter atualizados de forma verídica e garantir a exatidão destes dados aos titulares;
A não discriminação, que visa garantir que a coleta dos dados pessoais não tenha qualquer finalidade discriminatória, abusiva ou ilícita;
Por fim, o princípio da prestação de contas, que busca demonstrar a adoção de medidas de cumprimento das normas de privacidade e proteção dos dados.
Vejam que a lei 13.709/2018 visa desenvolver os profissionais e trazer inovações de autodeterminação do titular em relação ao que pode ser feito com os seus dados, sendo de fundamental importância seguir cada um destes princípios expressos no art. 6º para que a empresa esteja em conformidade com a LGPD.
Nesse mesmo sentido, o art. 7º traz 10 (dez) hipóteses que autorizam as empresas com o tratamento os dados pessoais dos seus clientes, devendo estar legitimados e pautados em uma dessas bases legais, que são: consentimento, obrigação legal, exercício regular do direito em processo, execução de contrato, tutela da saúde, proteção da vida, políticas públicas, proteção ao crédito, pesquisa e, por fim, legítimo interesse.
Qual foi o impacto da LGPD nas empresas?
Sem dúvida nenhuma, tantas mudanças promovidas pela LGPD trazem impactos profundos nos setores trabalhistas, mas é importante destacar que a lei geral de proteção de dados não se destina exclusivamente às relações de trabalho, mas também as relações jurídicas em geral que envolve manuseio de dados e informações e entre pessoas físicas e jurídicas que tratam esses dados, ou seja, são todos que enviam, recebem, armazenam e outros verbos que a lei geral de proteção de dados indica como sendo tratamento de dados.
Portanto, o seu campo de aplicação é muito vasto por abranger o campo do consumidor, comercial, virtual, trabalhista, bancária e qualquer outra área que transite dados, tendo como lógica a proteção da privacidade. Em resumo, pode-se afirmar que todas as pessoas jurídicas foram afetas pela Lei, visto que é improvável que qualquer empreendimento, seja de qual porte for, não colete os dados de nenhuma pessoa física, seja colaborador ou cliente.
Como as empresas podem se adequar a LGPD?
Uma das grandes dúvidas que pairam é como uma empresa pode se adequar a LGPD? Uma das formas é fazer um programa de conformidade em proteção de dados. Mas como fazer? Quais são os passos a serem tomados pela empresa?
Como vimos, há uma série de princípios e bases legais que devem ser seguidos para que se possa criar um programa de governança efetivo e estabelecer uma cultura de proteção de dados para que uma empresa possa começar a se adequar a LGPD. Esse é um passo fundamental, pois a empresa poderá estabelecer confiança junto ao titular dos dados por estar comprovando estar em conformidade com o que está na Lei, e tudo que ele precisa é de transparência e comprometimento para se sentir seguro em transmitir seus dados.
Outro fator importante para adequação da LGPD é a criação de projetos que estejam em conformidade com a Lei n° 13.709/2018. Destaca-se que cada empresa pode criar um programa diferente de acordo com as suas necessidades, porte, adaptações, especificidades e objetivos a serem atingidos, pois não há uma regra. Com isso, o projeto consiste em 6 fases: conscientização, mapeamento, gap analysis, planejamento, implementação e monitoramento.
A fase da conscientização tem como objetivo demonstrar a importância da aplicabilidade da lei geral de proteção de dados na prática, tanto para os colaboradores quanto para os titulares dos dados, e principalmente para o administrativo da empresa. Nesse sentido, é importante que as empresas desenvolvam treinamentos em todos os seus setores para que os funcionários possam se familiarizar e desenvolver a cultura de que a Lei Geral de Proteção de Dados pode ser bem mais uma obrigação legal, mas também a oportunidade para que a empresa possa se tornar referência no mercado.
A segunda fase é o mapeamento que a empresa faz com o intuito de identificar as principais contingências, além de descrever o fluxo e os dados da empresa, ou seja, a far-se-á a coleta de dados, da fonte, categoria, armazenamento, se é possível compartilhar com alguém e se mais colaboradores têm acesso a estes dados.
O Gap Analysis consiste em identificar quais são os pontos que estão em desconformidade com a legislação de acordo com o mapeamento que foi levantado na fase anterior. Com isso será possível apontar quais são as soluções para minimizar os riscos que podem ser gerados com os dados dos titulares.
O próximo passo é fazer um planejamento que contenha um cronograma onde se possa executar as soluções que foram propostas na fase anterior, dando prioridade para as áreas que possam gerar maior risco.
Diante disso poderá ser feita a implementação que foi estabelecido na fase anterior, ou seja, é uma fase de fundamental importância por se tratar de um momento em que é formado o código de conduta da proteção dos dados, podendo gerar novos modelos, cláusulas, contratos e a nova política de privacidade.
Por fim, a última fase é o monitoramento, que tem o objetivo de fazer com que as diretrizes estabelecidas na empresa sejam cumpridas de acordo com o programa de governança de proteção de dados dos titulares, bem como fazer atualizações necessárias a fim de garantir a organização do projeto e manter a conformidade junto com o que está estabelecido na LGPD.
LGPD e contratos: o que deve ser feito
É muito importante a empresa passar a ter como padrão uma cláusula relacionada à proteção de dados baseada na LGPD. Mas quais são essas cláusulas? São as cláusulas gerais e cláusulas específicas.
As cláusulas gerais são aquelas que servirão como padrões em todos os contratos que a empresa fizer a partir dos aditivos em razão da LGPD, ou seja, constata se a empresa está em conformidade com a Lei Geral de Proteção de Dados, que leva em consideração os princípios da LGPD, especificar que para cada finalidade de tratamento de dados tem uma base legal que justifique o tratamento, falar dos direitos dos titulares, onde a empresa sempre vai resguardar e como os titulares podem exercer esses direitos. Sendo assim, é muito importante que a empresa desenvolva sempre cláusulas gerais baseadas na LGPD para demonstrar boa-fé e diligência em relação ao tratamento de dados
As cláusulas específicas dependem de cada contrato que a empresa firmar. Nesse caso deve-se analisar o que a relação tem de especificidade que mereça uma cláusula destacada sobre a forma como os dados vão ser tratados, ou seja, é uma análise de caso concreto para resguardar a segurança jurídica de ambas as partes
Será necessário que no contrato esteja especificada a relação e o papel de cada empresa no tratamento desses dados: quem é o operador, quem é o controlado e a responsabilidade por um eventual incidente de segurança.
Uma cláusula muito importante é a cláusula de confidencialidade em relação aos dados. Pode vir tanto em forma de cláusula, quanto em forma de contrato – NDA para resguardar a situação. Sendo assim, a cláusula de confidencialidade determina a necessidade de resguardar os dados que podem ser transferidos, por exemplo, de uma parte para a outra. Portanto, as partes têm obrigação de sigilo em relação aos dados, e caso haja uma quebra desse sigilo, deverá ser estabelecido uma multa.
O que o descumprimento da LGPD pode gerar?
O descumprimento dos dispositivos legais da LGPD pode gerar aplicação de sanções administrativas que estão expressas no artigo 52 da referida lei. São elas:
I – advertência, com indicação de prazo para adoção de medidas corretivas;
II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III – multa diária, observado o limite total a que se refere o inciso II;
IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI – eliminação dos dados pessoais a que se refere a infração;
Diante disso, tais sanções só poderão ser aplicadas após o infrator ter oportunidade de apresentar a sua ampla defesa, devendo ser seguidos alguns critérios dispostos no §1° deste mesmo artigo:
I – a gravidade e a natureza das infrações e dos direitos pessoais afetados;
II – a boa-fé do infrator;
III – a vantagem auferida ou pretendida pelo infrator;
IV – a condição econômica do infrator;
V – a reincidência;
VI – o grau do dano;
VII – a cooperação do infrator;
VIII – a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei;
IX – a adoção de política de boas práticas e governança;
X – a pronta adoção de medidas corretivas; e
XI – a proporcionalidade entre a gravidade da falta e a intensidade da sanção.
Como é feita a fiscalização?
Ao implementar a LGPD, uma das dúvidas mais comuns é saber por quem e como será feita a fiscalização. Algumas empresas duvidam da eficácia da aplicação das sanções da Lei Geral de Proteção de Dados, o que é um grande engano.
A quantidade de pessoas que podem fiscalizar é justamente o ponto que torna a lei mais rígida e perigosa para aqueles que não se adequarem, pois, no Brasil, a fiscalização tem competência concorrente, ou seja, não apenas a Autoridade Nacional de Proteção de Dados – ANPD que está autorizada a fiscalizar, mas também o empresário, médico, advogado e profissionais liberais, além de qualquer entidade classe como o Ministério Público, Procon e entidade fiscalizadora e reguladora da sua atividade.
Dessa forma, o maior fiscal será o próprio cliente, ao notar algum tratamento inadequado dos seus dados, realizando reclamações, denúncias e ajuizando eventuais ações em face da empresa. Além disso, a concorrência é outro agente fiscallizatório.
Quais são os tipos de dados que devem ser protegidos pelas empresas com a LGPD?
É muito importante saber quais são os tipos de dados protegidos pela lei e o conceito de cada um deles. Saber o que são “dados pessoais” e a categoria que esses dados se inserem é de extrema importância, pois esse é o conceito principal da Lei.
De modo geral, a lei traz um conceito expansionista ao dizer que os dados pessoais são toda e qualquer informação que identifique pessoa natural, ou seja, são dados do tipo: identidade, cpf, título de eleitor, pis e quaisquer outros dados que identifique uma pessoa.
Além disso, a lei dispõe em seu art. 12, §2°, mais uma possibilidade de um dado ser pessoal, ou seja, mesmo que determinados dados não identificam uma pessoa, mas puderem montar um perfil e influenciar de alguma forma na vida dela, esses dados também poderão entrar no escopo da LGPD, por exemplo, os anúncios feitos na internet feitos por publicidade, IP do computador através da coleta de cookies criando-se um mapa comportamental da forma de consumo pela internet.
Uma outra categoria, que é como se fosse uma espécie do gênero de dados pessoais, são os dados pessoais sensíveis. Dados sensíveis são dados que podem levar a situações discriminatórias contra os seus titulares, e por isso merecem uma atenção especial.
Mas quais são esses dados? Origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, filha são a organização de caráter religioso ficou filosófico ou político, saúde, vida sexual, dados genéticos e biomédicos. Percebe-se que esses dados, dependendo da forma como são tratados, podem expor o titular a uma situação de discriminação, e a lei trouxe algumas obrigações específicas para esses casos.
Outra categoria de dados pessoais que a lei dispõe são os dados de criança e adolescente. De acordo com o ECA, crianças são de 0 a 12 anos e adolescentes de 13 a 18 anos incompletos. A LDPG separou essa categoria, uma vez que crianças e adolescentes não conseguem exercer essa regulação informativa, sendo que crescem cada vez mais os números de publicidade direcionada a este público.
A próxima categoria de dados que dispõem LGPD são os dados anonimizados, que são aqueles cujo titular não possa ser identificado, devendo ser utilizados meios técnicos e razoáveis para poder efetuar o seu tratamento. Diante disso, a anonimização é muito utilizada para usar dados cuja finalidade seja estatística, por exemplo, quando se quer saber qual faixa etária consome determinado conteúdo, a profissão das pessoas, cidade, sexo e entre outros.
