LGPD: o que é?

LGPD é a abreviatura da Lei Geral de Proteção de Dados do Brasil, que estabelece regras para a coleta, armazenamento, processamento e compartilhamento de dados pessoais, impondo mais proteções e penalidades caso tais regras não sejam cumpridas.

O objetivo deste artigo é apenas para referência – não oferecemos aconselhamento jurídico nem assumimos qualquer responsabilidade por ações que possam ser tomadas por terceiros.

Recentemente, surgiram novas tendências nos sistemas jurídicos de vários países, visando definir diretrizes de privacidade e segurança, o que acarretou a regulamentação das políticas de uso de dados. No Brasil, não foi diferente.

Surgiu, então, a Lei Geral de Proteção de Dados do Brasil (LGPD) ou Lei 13.709/2018, que entrou em vigor em setembro de 2020. Para que tal lei seja cumprida pelas empresas e organizações, foi concedido um período de adaptação de 18 meses.

Como mencionado, passado o período de adaptação, as empresas deverão cumprir as regras estabelecidas pela lei, no que diz respeito à coleta, armazenamento, processamento e compartilhamento de dados pessoais, sob pena de cumprirem algumas penalidades mais rígidas, caso as normas sejam violadas.

Para nosso entendimento, dados pessoais são qualquer informação relativa a uma pessoa física identificada ou identificável, conforme estabelecido pela lei. Já o processamento de dados, são todas as operações realizadas com os dados pessoais, tais como aquelas relacionadas à coleta, classificação, uso, acesso, reprodução, processamento, armazenamento, descarte, controle de informações, entre outros.

O texto legal definiu nove hipóteses para a coleta e o tratamento dos dados, dentre as quais duas delas se destacam: o consentimento e os direitos legais. No primeiro caso, deve-se obter o consentimento direto do titular dos dados, ou seja, o consentimento deve ser expresso por escrito ou de outra forma que a vontade do titular dos dados seja manifestada.

Quanto aos direitos legais, na hipótese de haver interesse no tratamento dos dados pelo responsável dos mesmos, a lei autoriza sua utilização, o que pode facilitar o tratamento para fins legítimos, com base em circunstâncias específicas.

Quais são os princípios da LGPD ?

Seguindo toda boa lei, a LGPD apresenta dez princípios norteadores dos atos das organizações no processamento de dados, com destaque para os princípios da finalidade, adequação, necessidade e transparência. Tais princípios serão responsáveis por causar uma mudança na mentalidade de algumas organizações, tanto públicas como privadas, que não mais poderão acumular dados, sem que haja uma finalidade pré-definida de processamento.

O habitual é que as empresas arquivem e acumulem esses dados para uso (ou não) posterior. Essa prática é oposta pela LGPD, uma vez que a coleta de dados, a partir de agora, deverá se limitar à interação direta com os consumidores. Dessa forma, a coleta de dados passa a ser útil e limitada ao mínimo indispensável para a finalidade do processamento.

Registro de atividades do processamento de dados

Da coleta à exclusão, todas as atividades de processamento de dados pessoais devem ser registradas, indicando algumas informações:

– tipos de dados pessoais que serão coletados;

– base legal para autorizar seu uso, finalidade, tempo de retenção e medidas de segurança da informação realizadas no processo de implementação;

– armazenamento dos dados;

– compartilhamento dos dados, ou seja, quem poderá ter acesso.

Todas essas atividades compõem o percurso do dado dentro da organização, método esse denominado de mapeamento de dados.

A lei se aplica fora do território?

De acordo com o Tribunal Regional Federal do Recife (TRF5), a LGPD regulamentará todas as atividades que envolvam a utilização de dados pessoais, incluindo atividades realizadas por pessoas físicas ou jurídicas nos meios digitais, no território nacional ou em países onde os dados se encontram.

Dentro do nosso território, a LGPD é aplicada em algumas hipóteses. São elas:

  • Quando as operações de processamento de dados são realizadas em território nacional;
  • Quando as atividades de processamento destinam-se a oferta ou fornecimento de bens ou serviços a particulares em território nacional ou ao tratamento de dados;
  • Quando os dados pessoais do sujeito do tratamento foram coletados dentro do país;
  • Quando os dados pessoais são recolhidos em território nacional.

Controle da lei

A LGPD determina em seu artigo 53, atribuições de eventual órgão competente para zelar pela implementação e fiscalização da lei. Esse órgão deverá ser o responsável por elaborar, entre outras coisas, diretrizes para uma Política Nacional de Proteção de Dados Pessoais e Privacidade, e promover estudos de proteção nessas esferas.

Segurança e Sigilo

Conforme artigo 46 da Lei, “os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.

Padrões técnicos mínimos também poderão ser definidos pela Autoridade Nacional de Proteção de Dados – ANPD. De acordo com a LGPD em seu artigo 49, “os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares”.

Incidentes de vazamento de dados

Os incidentes de segurança da informação devem ser notificados à ANPD e aos usuários que possuem os dados, dentro de um prazo razoável, pois poderão acarretar riscos e danos aos titulares.

Descumprimento da lei

Como todos sabemos, a não conformidade não causará apenas todos os danos que o vazamento de dados pode provocar, mas também penalidades severas.

Em caso de incumprimento da lei, a autoridade nacional competente pode requerer, como aponta o artigo 52 da Lei:

  • Advertência, com indicação de prazo para adoção de medidas corretivas;
  • Multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
  • Multa diária, observado o limite total a que se refere o inciso II do referido artigo;
  • Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
  • Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
  • Eliminação dos dados pessoais a que se refere a infração.

Efeito sobre as empresas

Com a digitalização, houve uma facilidade de captação dos dados dos seus consumidores, sem que exigisse uma fiscalização nos processos. Por se tratar de um direito subjetivo do indivíduo e com crescente utilização pelas empresas, a LGPD, em momento oportuno, trouxe a normatização para a coleta e tratamento dos dados, que será capaz de impor uma mudança de comportamento por parte das empresas. Para tanto, os ditos processos deverão ser mais transparentes e com a permissão dos clientes/consumidores, objetivando fins específicos, tais como identificar o perfil do público-alvo, em especial hábitos de consumo, condições financeiras e de crédito.

Para acessar as disposições da LGPD clique aqui.

 

Perfil do Autor

Saulo Almeida
Saulo Almeida
Diretor de Riscos e Compliance da NowCy. Advogado sênior, pós-graduado em Direito Empresarial. Especialista em Direito Digital, LGPD, Cibersegurança e Risco Corporativo. Atualmente ocupando posição estratégica na gestão de riscos digitais.

Compartilhe