A Lei Geral de Proteção de Dados, também chamada de LGPD, entrará em vigor neste ano de 2020 e traz uma série de cuidados e obrigações que o controlador e o operador dos dados pessoais precisarão tomar para que a empresa esteja em conformidade com a lei.
Neste artigo, trarei um breve resumo sobre o que é a LGPD, quais são os principais conceitos que ela traz, bem como o que a empresa precisará fazer para que possa ser considerada em conformidade com a legislação.
É importante ressaltar que, caso a empresa não esteja em conformidade, ela terá de enfrentar graves problemas, tais como pagamento de multa, exposição pública em alguns casos e, até mesmo, eventuais processos judiciais com pedidos de reparação de danos.
Para quem prefere assistir a um vídeo, gravei uma aula específica sobre o tema. Assista:
O que são dados pessoais?
É importante entender o conceito de dado pessoal, pois é a partir desse entendimento que muitas empresas passarão a perceber que já realizam na prática algum tipo de tratamento desses dados e, em razão disso, já estão obrigadas a se enquadrar nos termos da LGPD.
O art. 5º da LGPD traz o conceito de dado pessoal como sendo uma informação relacionada a uma pessoa natural identificada ou identificável. O que isso significa?
Primeiramente, que dado pessoal somente é relacionado a uma pessoa física, e nunca a uma empresa. E, ainda, que qualquer informação que estiver relacionada a uma pessoa será considerada um dado pessoal, mesmo que essa pessoa não seja identificada de pronto, mas identificada indiretamente.
Exemplo de identificação indireta seria, por exemplo uma lista de desempenho escolar em que cada aluno corresponderia a um número, a fim de ocultar o nome, porém com a existência de outra lista que contenha todos os nomes e respectivos números, a fim de identificar a pessoa relacionada a cada um dos números. Olhando apenas o número da lista, não se sabe o nome do aluno correspondente, embora seja possível e simples descobrir quem ele é.
A seguir, temos alguns exemplos do que seriam dados pessoais:
• sobrenome, primeiro nome;
• endereço residencial;
• endereço de email;
• número do cartão de identidade e CPF;
• endereço de protocolo de internet (IP);
• informações do cartão de crédito;
• histórico de compras.
Por fim, também é possível que o dado seja anonimizado. Quando isso ocorre, a informação relacionada à pessoa é desvinculada da própria pessoa por meio de meios tecnológicos. A importância prática disso é que, quando o dado estiver anonimizado, ele não será mais considerado um dado pessoal e, logo, não estará mais sujeito à legislação em relação à proteção de dados pessoais, exceto se o processo de anonimização for revertido.
Por isso, sempre que possível, é aconselhável que os dados sejam anonimizados, pois o tratamento dos mesmos exigirá menores cuidados.
Também, os dados relativos a crianças ou adolescentes recebem uma proteção especial, necessitando, nos termos do art. 14, §1º, da LGPD, do consentimento de pelo menos um dos responsáveis pelo menor para que seja tratado. Escolas e creches, por exemplo, precisarão se atentar a isso.
Por fim, é importante dizer que a LGPD trouxe uma categoria de dados chamados dados sensíveis, que são aqueles dados referentes a pessoas e que podem ser usados de forma discriminatória, tais como opção religiosa, opiniões políticas, informações relativas à saúde física e sexual, dentre outros. Esses dados, em razão de sua natureza recebem um tratamento especial.
O que abrange o tratamento de dados?
Por tratamento de dados, entendemos qualquer operação realizada em dados pessoais, automática ou manualmente, como, por exemplo, coleta, registro, conservação, modificação, consulta, disseminação ou apagamento dados pessoais.
De acordo com a LGPD o tratamento de dados deverá ser feito sempre mediante o consentimento do titular dos dados.
Logo, estarão tratando dados todas as empresas que praticarem, por exemplo:
• gestão de pessoal e administração salarial;
• consulta de um banco de dados de contatos contendo dados pessoais;
• envio de emails promocionais;
• publicação / exibição de uma foto de uma pessoa em um site;
• conservação de endereços IP;
• gravação de vigilância por vídeo.
A LGPD traz três importantes figuras no que diz respeito ao tratamento de dados: o controlador, o operador e o encarregado. Vamos entender um pouco sobre cada um deles.
O controlador é aquele a quem competem as decisões sobre o tratamento dos dados. Pode ser tanto uma pessoa física quanto uma pessoa jurídica. Em outras palavras, o controlador será a empresa proprietária dos dados dos titulares.
O operador é aquele que aplicará na prática as decisões do controlador. Seu trabalho é, por tanto, garantir que as instruções dadas pelo controlador sejam efetivadas.
Já o encarregado é a pessoa indicada, pelo controlador ou pelo operador, para atuar como intermediário entre a empresa e os titulares dos dados, ou entre a empresa e a própria agencia nacional fiscalizadora. Em outras palavras, o encarregado é um canal de comunicação. É comum se referir ao encarregado pelo termo DPO (Data Protection Officer).
É de suma importância ressaltar que tanto o controlador quanto o operador respondem solidariamente pelos danos que forem causados aos titulares dos dados em razão do descumprimento das normas da LGPD. É por isso que todas as empresas necessitam, com urgência verificar se estão conforme a lei, sob pena de sofrerem pesadas penalidades.
O controlador e o operador somente não responderão pelos danos caso comprovem uma das três excludentes trazidas pelo art. 43 da LGPD, quais sejam: a) comprovem que não realizaram o tratamento dos dados pelo qual estão sendo acusados; b) embora tenham realizado o tratamento, operaram conforme a LGPD; c) a violação no tratamento dos dados ocorreu ou por culpa exclusiva do titular, ou por culpa de terceiro.
Um exemplo em que o controlador e o operador não responderiam pela violação seria, por exemplo, na hipótese em que um hacker invadisse um dispositivo do titular dos dados e, por meio desse, permitisse o vazamento de informações. Nessa hipótese, estaríamos diante de uma culpa de terceiro (o hacker), mas desde que os agentes de tratamento (operador e controlador) provassem que agiram conforme a lei.
Também é possível discutir se, ainda que os agentes de tratamento não respondam pela violação com fundamento na LGPD, não se poderia fundamentar a responsabilidade objetiva da empresa com base no Código de Defesa do Consumidor quando se tratasse de relação de consumo. Não aprofundarei essa discussão neste artigo, contudo.
Quais são os direitos dos titulares de dados pessoais?
Os titulares dos dados têm direito, entre outros, a:
• solicitar informações sobre o processamento de seus dados pessoais;
• obter acesso aos dados pessoais mantidos pelo controlador e operador;
• solicitar que dados pessoais incorretos, imprecisos ou incompletos sejam corrigidos;
• solicitar que os dados pessoais sejam excluídos quando não forem mais necessários ou se o processamento for ilegal;
• opor-se ao processamento de seus dados pessoais para fins de prospecção ou por motivos relacionados a sua situação específica;
• solicitar a limitação do processamento de seus dados pessoais em casos específicos;
• recuperar seus dados pessoais, em um formato usado e legível por máquina, para uso pessoal ou para transferi-los para outra organização;
• solicitar que decisões baseadas em processamento automatizado que lhe digam respeito ou que o afetem significativamente e que sejam baseadas em seus dados pessoais sejam tomadas por pessoas físicas e não apenas por computadores. Nesse caso, o titular também tem o direito de expressar sua opinião e contestar as referidas decisões;
Quais são as obrigações das empresas ou controladores?
As empresas têm a obrigação de:
• respeitar o princípio de proteção de dados pessoais e privacidade imposto pelo regulamento, desde a concepção de qualquer projeto;
• identificar os tratamentos que implementam em um registro de processamento;
• Ser capaz de provar que o tratamento dos dados pessoais implementados cumpre as regras aplicáveis, em especial através da adesão aos códigos de conduta e da obtenção da certificação;
• notificar qualquer violação de dados pessoais por parte do responsável pelo tratamento e do processador às autoridades e às pessoas envolvidas;
• realizar um estudo de impacto na privacidade para tratamentos de risco;
• garantir que os usuários sejam informados, de maneira clara e concisa, sobre o período de retenção de dados, a existência de criação de perfil, seus direitos e as soluções disponíveis;
• permitir que os titulares cujos dados são processados exerçam seus direitos (a serem esquecidas, a portabilidade de dados, a limitar etc.).
E quais as penalidades para quem não se adequar à LGPD?
Aqui, acredito que seja importante transcrever o rol de penalidades passíveis de serem aplicadas àqueles que agirem em desconformidade com a LGPD, citados no art. 52 da lei, quais sejam:
- advertência
- multa de até 2% do faturamento no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração
- multa diária
- publicização da infração após devidamente apurada e confirmada a sua ocorrência
- bloqueio dos dados
- eliminação dos dados
- suspensão parcial do funcionamento do banco de dados
- suspensão do exercício da atividade de tratamento dos dados pessoais
- proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados
Portanto, é essencial que a empresa tome todas as medidas a fim de se posicionar conforme a LGPD, pois isso trará não só a tranquilidade para com as obrigações legais, mas também servirá como uma prática competitiva em um mercado que cada vez se afasta mais das empresas que permitem a violação do tratamento de seus dados.
Certo, mas o que a empresa precisa fazer na prática para estar em conformidade com a LGPD?
Infelizmente não será possível em um único artigo abordar todas as medidas que a empresa deverá tomar para que esteja em conformidade com a LGPD, mas buscarei abordar o máximo possível para que eventual aplicação prática deste artigo resulte em uma implementação suficientemente eficaz dos requisitos da lei.
A primeira coisa a ser feita pela empresa é a coleta do consentimento dos seus clientes acerca dos dados a serem tratados. O consentimento deverá ser expresso e atender aos requisitos legais.
No entanto, há casos em que não se exige o consentimento, tais como os dados tratados para proteção da vida do titular.
Além disso, a empresa deverá informar exatamente quais serão os dados a serem coletados e como será realizado o tratamento.
Ainda, a empresa deverá criar um banco de dados a fim de registrar todos os pedidos que os titulares dos dados realizarem, bem como a estrutura para atender a cada um desses pedidos. Essa estrutura deverá ser capaz de fornecer relatórios e informações também a Agência Nacional de Proteção de Dados, caso essa exija.
Após, a empresa deverá observar cada uma das atividades consideradas como tratamento de dados e, dentre aquelas que ela pratica, terá de deixá-las em conformidade com a LGPD. Lembrando que essas atividades podem ser encontradas no art. 5, X, da LGPD.
Quanto à segurança do armazenamento dos dados, a empresa deverá observar as técnicas de segurança da informação, visando garantir que os dados armazenados estão livres de invasões, alterações ou até mesmo remoções não autorizadas.
É importante destacar que a LGPD prevê que, caso ocorra invasão nos dados, o fato deverá ser imediatamente informado tanto ao titular dos dados quanto à Agência Nacional de Proteção de Dados.
Por fim, deverá também, conforme já mencionado anteriormente, informar quem é o encarregado responsável pela comunicação entre a controladora e os titulares dos dados, informando ainda os dados de contato desse encarregado.
Quer sugerir algum artigo específico sobre a LGPD? Envie uma mensagem por meio de alguma das minhas redes sociais, pois lá consigo ter um contato mais próximo com os interessados nos meus artigos e vídeos. Abraço!