nova lei de proteção de dados – a chamada Lei Geral de Proteção de Dados

(LGPD) – foi sancionada em agosto de 2018 e entrará em vigor em agosto de

2020. Seu principal objetivo é garantir transparência no uso dos dados das
pessoas físicas em quaisquer meios. Esta lei chega para alterar a Lei nr
12.965, de 23 de abril de 2014, popularmente chamada de Marco Civil da
Internet que regulava estas transações até então.
A LGPD tem como base a GDPR, regulamentação europeia aprovada em maio
do ano passado e usa os direitos fundamentais de liberdade e de privacidade
como norte para estabelecer regras a respeito da coleta e armazenamento, de
dados pessoais e seu compartilhamento. A intenção é proporcionar privacidade
às pessoas físicas contando com a penalidade de multas para motivar o seu
cumprimento por parte das empresas.
Mas, por que falar sobre isso exatamente agora?
As empresas e as organizações terão grandes responsabilidades em relação à
proteção dos dados pessoais de seus funcionários, fornecedores e clientes.
Apesar da data de início de vigência da LGPD parecer distante, as medidas
necessárias devem ser tomadas desde já. Por isso, é preciso se mover com
rapidez para que a LGPD não impacte negativamente os negócios.
10 PASSOS PARA IMPLANTAR A LGPD NAS EMPRESAS
Para entender como iniciar o processo de implementação, a LGPD Brasil
organizou 10 principais pontos da LGPD que sua empresa não pode deixar de
observar.
1. Estudo da LGPD e demais leis que regulamentam o negócio;
2. Mapear a entrada e o tratamento dos dados pessoais;
3. Mapear os riscos do tratamento;
4. Elaborar o Relatório de Impacto;
5. Criar a política de proteção de dados e adaptar os documentos internos
e externos;
6. Gerenciar os pedidos dos titulares e dos órgãos;
7. Treinamento das equipes que tratam dados pessoais;
8. Ser compliance com a proteção de dados mediante governança;
9. Exigir o compliance de proteção de dados de seus fornecedores;
10. Concepção de novos produtos com o princípio de privacy by design;
11. Eleger um DPO com conhecimentos jurídicos e regulatórios sobre
proteção de dados.
PROTEÇÃO DE DADOS E O IMPACTO DA LGPD NAS EMPRESAS
O que sua empresa deve fazer em relação à medida? Para entender os
principais objetivos da nova lei, a obrigação legal ou regulatória ou o impacto
da medida sobre as companhias, acesse aqui e entenda resumidamente as
questões envolvendo a Lei Geral de Proteção de Dados.
Se ainda não ficou claro o que muda em relação à nova medida, as etapas da
comunicação de vazamento ou, por exemplo, o impacto sobre as políticas de
privacidade das empresas, clique aqui.
Principais objetivos da nova lei
Proteção à privacidade
Assegurar o direito à privacidade e à proteção de dados pessoais dos usuários,
por meio de práticas transparentes e seguras, garantindo direitos
fundamentais.
Transparência
Estabelecer regras claras sobre tratamento de dados pessoais.
Desenvolvimento
Fomentar o desenvolvimento econômico e tecnológico.
Padronização de normas
Estabelecer regras únicas e harmônicas sobre tratamento de dados pessoais,
por todos os agentes e controladores que fazem tratamento e coleta de dados.
Segurança jurídica
Fortalecer a segurança das relações jurídicas e a confiança do titular no
tratamento de dados pessoais, garantindo a livre iniciativa, a livre concorrência
e a defesa das relações comerciais e de consumo.
Favorecimento à concorrência
Promover a concorrência e a livre atividade econômica, inclusive com
portabilidade de dados.
Abrangência da aplicação da LGPD
A LGPD regulamentará qualquer atividade que envolva utilização de dados
pessoais, inclusive nos meios digitais, por pessoa natural ou jurídica, no
território nacional ou em países onde estejam localizados os dados.
A lei se aplica extraterritorialmente?
Sim, nos seguintes casos:
1. A operação de tratamento dos dados seja realizada no território
nacional;
2. A atividade de tratamento tenha por objetivo a oferta ou o fornecimento
de bens ou serviços ou o tratamento de dados de indivíduos localizados
no território nacional;
3. Os dados pessoais, objeto do tratamento, tenham sido coletados no
território nacional.
São considerados dados pessoais coletados no território nacional, aqueles cuja
coleta dos dados do titular ocorreu em território nacional.
O que são Dados Pessoais
Dado pessoal é todo aquele relacionado à pessoa natural identificada ou
identificável (artigo 5º, I, da Lei 13.709/2018). Isso quer dizer: dados pessoais
são todos aqueles que podem identificar uma pessoa – números,
características pessoais, qualificação pessoal, dados genéticos etc.
Dados sensíveis
A lei também definiu alguns tipos de dados pessoais, como os dados sensíveis
(artigo 5º, II, da Lei 13.709/2018). Trata-se de informações que podem ser
utilizadas de forma discriminatória e, portanto, carecem de proteção especial. A
lei define como dados sensíveis aqueles que implicam sobre origem racial ou
étnica, convicção religiosa, opinião política, filiação a sindicato ou a
organização de caráter religioso, filosófico ou político, dado referente à saúde
ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa
natural.
Dados pessoais de crianças e adolescentes
O tratamento de dados pessoais de crianças deverá ser realizado com o
consentimento específico por pelo menos um dos pais ou pelo responsável
legal (art. 14, §1º). O controlador deve realizar todos os esforços razoáveis
para verificar que o consentimento a que se refere o § 1º deste artigo foi dado
pelo responsável pela criança, consideradas as tecnologias disponíveis (art. 14,
§5º).
Dado pessoal anonimizado
É o dado relativo a titular que não possa ser identificado, considerando a
utilização de meios técnicos razoáveis e disponíveis na ocasião de seu
tratamento. (art. 5, III).Desta forma, estariam fora do escopo de aplicação da
lei, à exceção se o processo de anonimização puder ser revertido ou se estes
forem utilizados na formação de perfis comportamentais. Dados efetivamente
anonimizados são essenciais para o funcionamento de tecnologias no campo
da Internet das Coisas, inteligência artificial, machine learning, smart cities e
análise de grandes contextos comportamentais.
Direitos do titular dos dados
Os titulares dos dados pessoais tiveram seus direitos ampliados e devem ser
garantidos de forma acessível e eficaz. (art.18)
Principais direitos
1. Confirmar a existência de tratamento de seus dados pessoais.
2. Acessar seus dados pessoais.
3. Corrigir dados pessoais incompletos, inexatos ou desatualizados.
4. Anonimização, bloqueio ou eliminação de dados pessoais
desnecessários, excessivos ou tratados em desconformidade com a
LGPD.
 5. Portabilidade de dados pessoais a outro fornecedor de produto ou
serviço.
6. Eliminação de dados tratados com o seu consentimento.
7. Obtenção de informações sobre as entidades públicas e privadas com
as quais o controlador realizou o compartilhamento de dados pessoais.
8. Obtenção de informações sobre a possibilidade de não consentir com o
tratamento de dados pessoais e sobre as consequências da negativa.
9. Revogação do consentimento dado para o tratamento de dados
pessoais.
10. Portabilidade dos dados (artigo 18, V), que, similar ao o que pode ser
feito entre diferentes empresas de telefonia e bancos, permite ao titular
não só requisitar uma cópia da integralidade dos seus dados, mas
também que estes sejam fornecidos em um formato interoperável, que
facilite a transferência destes para outros serviços, mesmo para
concorrentes. Devido a sua natureza, este novo direito tem sido
encarado como um forte elemento de competição entre diferentes
empresas que oferecem serviços similares baseados no uso de dados
pessoais.
Agentes e controladores
Controlador e operador são os agentes de tratamento de dados pessoais,
devendo manter registro das operações de tratamento que realizarem,
especialmente quando baseadas em legítimo interesse (art. 37).
O operador deve realizar o tratamento de dados de acordo com as instruções
fornecidas pelo controlador (art. 39). O controlador deve indicar o encarregado
(DPO – Data Protection Officer) pelo tratamento de dados pessoais (art. 41).
Conforme inovação trazida pela redação da Medida Provisória n.º 869/2018, o
DPO pode ser pessoa física ou jurídica (nacional ou internacional), que atue
como canal de comunicação entre o controlador e a ANPD e os titulares.
A identidade e as informações de contato do encarregado devem ser públicas,
claras e objetivas, de preferência no site do controlador (art. 41, §1º); e o
encarregado deverá aceitar reclamações e comunicações dos titulares, prestar
esclarecimentos e adotar providências; receber comunicações da autoridade
nacional e adotar providências; orientar os funcionários e os contratados da
entidade a respeito das práticas a serem tomadas em relação à proteção de
dados pessoais; e executar as demais atribuições determinadas pelo
controlador ou estabelecidas em normas complementares (art. 41, §2º).
Consentimento do titular
Atualmente, parte relevante da economia gira em torno da coleta,
tratamento e comercialização de dados pessoais. Com a LGPD (art. 7º), no
1º inciso deste artigo, prevê-se que: [o tratamento de dados pessoais poderá
ser realizado] mediante o fornecimento de consentimento pelo titular por escrito
ou por outro meio que demonstre a manifestação de vontade do titular (art. 8°).
Isso significa que a pessoa autoriza o tratamento de determinados dados após
ter recebido informações suficientes para formar sua opinião – quais as
condições de tratamento? Há comercialização ou informação de dados para
terceiros?
Alteração da informação
Em caso de alteração de informação, o controlador deverá informar ao titular,
com destaque de forma específica do teor das alterações, podendo o titular,
nos casos em que o seu consentimento é exigido, revogá-lo caso discorde
da alteração (art. 8°, §6º).
Revogação
O consentimento pode ser revogado a qualquer momento mediante
manifestação expressa do titular, por procedimento gratuito e facilitado,
ratificados os tratamentos realizados sob amparo do consentimento
anteriormente manifestado enquanto não houver requerimento de eliminação
(art. 8°, §5º).
Obrigação legal ou regulatória
O tratamento de dados também poderá ser realizado para o cumprimento de
obrigação legal ou regulatória noa seguintes casos:
1. Pelo controlador (art. 7º, II);
2. Pela administração pública, para o tratamento e uso compartilhado de
dados necessários à execução de políticas públicas previstas em leis e
regulamentos ou respaldadas em contratos, convênios ou instrumentos
congêneres (art. 7º, III);
3. Para a realização de estudos por órgão de pesquisa, garantida, sempre
que possível, a anonimização dos dados pessoais (art. 7º, IV);
4. Quando necessário para a execução de contrato ou de procedimentos
preliminares relacionados a contrato do qual seja parte o titular, a pedido
do titular dos dados (art. 7º, V);
5. Para o exercício regular de direitos em processo judicial, administrativo
ou arbitral, esse último nos termos da lei de arbitragem (art. 7º, VI);
6. Para a proteção da vida ou da incolumidade física do titular ou de
terceiro (art. 7º, VII);
7. Para a tutela da saúde, em procedimento realizado por profissionais da
área da saúde ou por entidades sanitárias (art. 7º, VIII).
Exceções
A LGPD incluiu duas hipóteses adicionais que autorizam o tratamento de dados
pessoais, no artigo 7, IX e X. O tratamento de dados pessoais poderá ser
realizado quando necessário para atender aos interesses legítimos do
controlador ou de terceiro, exceto no caso de prevalecerem direitos e
liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
ou para a proteção do crédito, inclusive quanto ao disposto na legislação
pertinente.
Interesse legítimo
O conceito de “interesse legítimo” foi incluído no texto para autorizar
determinadas situações nas quais o consentimento não precisaria ser emitido.
São situações nas quais não é necessário perguntar ao cidadão ou cidadã se
aquele tratamento pode ou não ser realizado, pois, segundo a lei, ele deve
contemplar as suas “legítimas expectativas”.
Coibir fraude
Um exemplo é o uso de dados bancários dos clientes pelas próprias
instituições bancárias, para coibir fraudes (como o seu perfil de gastos) sem
que haja consentimento expresso do titular dos dados. É ônus do responsável
demonstrar que está fazendo uso da hipótese de legítimo interesse de modo
adequado e por meio do devido sopesamento entre seus interesses e os
direitos dos titulares. Potenciais abusos poderão ser coibidos pelas autoridades
responsáveis por zelar pela proteção de dados.
Proteção ao crédito
Com relação a última hipótese, a inclusão da coleta para proteção de crédito
entre as exceções permite a coleta automática de informações para fins de
proteção de crédito, para o chamado “cadastro positivo”, ou seja, manutenção
de cadastros por empresas privadas que disponibilizam informações dos
consumidores aos fornecedores de crédito.
Dados pessoais com acesso público
O Estado detém enormes bancos de dados pessoais, muitos deles formados a
partir de informações fornecidas obrigatoriamente pelos cidadãos e cidadãs. A
LGPD não faz menção À expressão “dados públicos”, mas sim a “dados
pessoais cujo acesso é público” (§3º do art. 7º) – ou seja, dados cuja
divulgação pública é obrigatória por lei, como por exemplo, o fato de alguém
ser proprietário de um imóvel, sócio de uma empresa, ou os dados acerca das
atividades de órgãos públicos.
Segundo a LGPD [o] tratamento de dados pessoais cujo acesso é público
devem levar em consideração a finalidade, a boa-fé e o interesse público que
justificam a sua disponibilização, sendo dispensada a exigência do
consentimento de seu titular para os dados tornados manifestamente públicos
pelo titular, resguardados os direitos do titular e os princípios pela LGPD.
Big data e proteções
Atualmente, uma série de funcionalidades e serviços são disponibilizados
graças à possibilidade de armazenar, tratar e analisar enormes quantidades de
dados de maneiras inovadoras – o chamado big data. A partir de tais
capacidades de armazenamento, tratamento e análise de dados pessoais
coletados a partir de nossos hábitos, torna-se plausível inferir tendências e
traços de personalidade, predizer possíveis comportamentos e estabelecer
perfis bastante detalhados de todos nós.
Processo automatizado
O desenvolvimento de ferramentas para realizar essas operações parece cada
vez mais essencial para grande parte do setor de tecnologia da informação,
razão pela qual o assunto foi intensamente tratado pela LGPD. O
processamento automatizado de dados realizado por algoritmos é peça chave
nesse quebra-cabeça. Algoritmos são formas de automatizar processos
decisórios e estão por detrás de muitas coisas que acontecem também na
Internet, como decidir qual anúncio será exibido para você ou quem é a
próxima pessoa a aparecer em um aplicativo de relacionamentos. Por meio
deles, a sua experiência de navegação pode mudar e, com isso, o seu acesso
a determinadas informações, ofertas ou até mesmo oportunidades de emprego.
Critérios e procedimentos
Para lidar com essa questão, a LGPD prevê em seu art. 20 que titulares de
dados pessoais (todos nós) podem solicitar a revisão das decisões automáticas
quando estas afetarem seus interesses. Estabelece ainda uma obrigação ao
responsável pelo tratamento de tais dados para que forneça, se solicitado,
informações claras e adequadas a respeito dos critérios e dos procedimentos
utilizados para a decisão automatizada. Segundo a lei, o responsável pelo
tratamento de dados só não será obrigado a fornecer critérios e procedimentos
que possam revelar segredos comerciais e industriais.
Conheça a íntegra do dispositivo
“Artigo 20: O titular dos dados tem direito a solicitar revisão, por pessoa natural,
de decisões tomadas unicamente com base em tratamento automatizado de
dados pessoais que afetem seus interesses, inclusive de decisões destinadas a
definir o seu perfil pessoal, profissional, de consumo e de crédito ou os
aspectos de sua personalidade.
§ 1º O controlador deverá fornecer, sempre que solicitadas, informações claras
e adequadas a respeito dos critérios e dos procedimentos utilizados para a
decisão automatizada, observados os segredos comercial e industrial.
§ 2º Em caso de não oferecimento de informações de que trata o § 1º deste
artigo baseado na observância de segredo comercial e industrial, a autoridade
nacional poderá realizar auditoria para verificação de aspectos discriminatórios
em tratamento automatizado de dados pessoais.”
Boas práticas e fiscalização (Similaridade com a Lei europeia)
Os direitos assegurados ao titular são bastante amplos, refletindo boa parte do
modelo europeu de proteção de dados (Regulamento Geral de Proteção de
Dados – GPDR). A tutela efetiva desses direitos essencialmente depende de
uma autoridade de proteção de dados independente e com corpo técnico
qualificado capaz de aplicar e interpretar a lei de modo equilibrado.
Do ponto de vista das empresas, é preciso considerar que pessoas têm
diferentes preocupações sobre privacidade. Assim, as empresas devem seguir
boas práticas de transparência e clareza quanto aos dados que coletam, de
modo que o titular possa fazer suas próprias escolhas sobre como eles são
utilizados, bem como, no caso de serviços online, oferecer ferramentas e
configurações que permitam a implementação prática dessas escolhas feitas
pelo titular.
Fiscalização de lei
A LGPD estabelece, em seu art. 53, atribuições de eventual órgão competente
para zelar pela implementação e fiscalização da lei. Esse órgão deverá ser o
responsável por elaborar, entre outras coisas, diretriz para uma Política
Nacional de Proteção de Dados Pessoais e Privacidade e promover estudos
sobre proteção de dados e privacidade.
No entanto, a criação da Autoridade Nacional de Proteção foi vetada pelo
presidente da república, sob alegação de que a criação da autoridade pela
LGPD teria um vício de iniciativa, já que ela veio de projeto de lei do Congresso
Nacional e a casa legislativa não pode criar cargos no Poder Executivo.
Segurança e Sigilo
Os agentes de tratamento devem adotar medidas de segurança, técnicas e
administrativas aptas a proteger os dados pessoais de acessos não
autorizados e de situações acidentais ou ilícitas de destruição, perda,
alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
(art. 46).
Padrões técnicos mínimos poderão ser definidos pela ANPD. Os sistemas
utilizados para o tratamento de dados pessoais devem ser estruturados de
forma a atender aos requisitos de segurança, aos padrões de boas práticas e
de governança e aos princípios gerais previstos nesta Lei e às demais normas
regulamentares (art. 49).
Responsabilidades
Os diferentes agentes envolvidos no tratamento de dados – o controlador e o
operador – podem ser solidariamente responsabilizados por incidentes de
segurança da informação e/ou o uso indevido e não autorizado dos dados, ou
pela não conformidade com a lei (artigo 42, §1º, I).
Todavia, a responsabilidade do operador, àquele que pratica o tratamento de
dados em nome e a mando do controlador, pode ser limitada às suas
obrigações contratuais e de segurança da informação, caso não viole as regras
lhe impostas pela LGPD (artigo 43). Importante, portanto, definir se uma
empresa deve ser encarada como um controlador ou um operador, ou ambos,
para definir os limites da sua responsabilidade.
Notificação obrigatória
A ocorrência de incidentes de segurança da informação, devem ser notificados
à Autoridade de Proteção de Dados e ao usuário titular do dado, em prazo
razoável. Embora a Autoridade de Proteção de dados ainda não exista,
enquanto ela não for criada, o usuário deve ser obrigatoriamente comunicado.
Etapas da comunicação de vazamento
1. A descrição da natureza dos dados pessoais afetados
2. As informações sobre os titulares envolvidos
3. A indicação das medidas técnicas e de segurança utilizadas para a
proteção dos dados, observados os segredos comercial e industrial
4. Os riscos relacionados ao incidente
5. Os motivos da demora, no caso de a comunicação não ter sido imediata
6. As medidas que foram ou que serão adotadas para reverter ou mitigar
os efeitos do prejuízo.
Transferência internacional de dados
A LGPD traz uma série de hipóteses que permitem a transferência
internacional de dados pessoais. Destaca-se a possibilidade de transferência
baseada no consentimento específico do titular para a transferência, que deve
ser prévio e separado das demais finalidades e requisições de consentimento.
É possível, ainda, realizar a transferência caso haja a garantia, por meio de
instrumento contratuais, do controlador no cumprimento dos princípios, dos
direitos do titular e do regime de proteção de dados previstos na lei. Em moldes
similares à GDPR, a lei permite a transferência por meio de adoção de selos,
certificados e códigos de conduta regularmente emitidos e autorizados pela
Autoridade Nacional.
Registro do tratamento
Toda e qualquer atividade de tratamento de dados pessoais deve ser
registrada, desde a sua coleta até a sua exclusão, indicando quais tipos de
dados pessoais serão coletados, a base legal que autoriza os seus usos, as
suas finalidades, o tempo de retenção, as práticas de segurança de informação
implementadas no armazenamento e com quem os dados podem ser
eventualmente compartilhados, metodologia conhecida como data mapping.
Sanções e multas
Em caso de descumprimento da lei, a Autoridade Nacional poderá aplicar:
1. Advertência, com indicação de prazo para adoção de medidas corretivas
 2. Multa simples, de até 2% do faturamento da pessoa jurídica de direito
privado, grupo ou conglomerado no Brasil no seu último exercício,
excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta
milhões de reais) por infração
3. Multa diária, observado o limite total a que se refere o inciso II
4. Publicização da infração após devidamente apurada e confirmada a sua
ocorrência
5. Bloqueio dos dados pessoais a que se refere a infração até a sua
regularização
6. Eliminação dos dados pessoais a que se refere a infração
Impacto sobre as empresas (Impacto sobre as políticas de privacidade das
empresas)
A LGPD terá grande impacto nas relações comerciais e de consumo que
demandam coleta de dados, sobretudo diante da crescente tendência de
tratamento de dados pessoais de clientes/consumidores com a finalidade de
traçar seu perfil, identificando diversas informações, em especial hábitos de
consumo e condições financeiras e de crédito.
Transferência e dados
A utilização dos dados pessoais deve estar relacionada ao negócio jurídico
subjacente. Salvo em caso de comprovado interesse público, fica vedada a
troca de informações entre varejistas e empresas especializadas em bancos de
dados.
A regulação de dados pessoais trazida pela LGPD exige adequações por parte
das empresas que coletam dados dos usuários, principalmente no que tange
em relação ao consentimento expresso dos usuários sobre a coleta, tratamento
de dados, finalidade e eventual transferência de seus dados para terceiros.
Relações Trabalhistas
Nas relações de trabalho e emprego, como o empregador é detentor de
informações pessoais de seus empregados, ele deve observar a LGPD, sob
pena de responsabilização civil.
Embora a LGPD autorize as empresas a usar os dados pessoais dos seus
empregados e prestadores de serviços (art. 7°, V e IX) para a legítima
execução dos contratos, em benefício do próprio trabalhador, é necessário
cautela e observância às regras da LGPD em todas as suas fases, nos atos
praticados antes da contratação, durante a vigência do contrato, nas
terceirizações e após a rescisão dos contratos.
Na terceirização de serviços, é preciso obter consentimento dos empregados
por escrito para que a empresa faça o tratamento dos seus dados, sobretudo
quando for transmiti-los a terceiros (tomadores de serviço), em decorrência da
atividade realizada, ou mesmo por exigências legais e contratuais,
especificando de maneira clara quais dados serão repassados e para qual
finalidade.
Além do consentimento do empregado, é recomendável que as empresas
criem obrigações específicas em seus contratos comerciais, de acordo com as
exigências impostas pela LGPD no tratamento de dados.