Escolar Documentos
Profissional Documentos
Cultura Documentos
h
i
s
P
UNIVERSIDADE
h ESTACIO DE SÁ
o
t
o
b
Curso de Direito
y
U
n
k
n
o
w
n
A
u
LEI GERAL DE PROTEÇÃO t DE DADOS NO ÂMBITO COORPORATIVO: OS
h
IMPACTOS DA LEI NAS EMPRESAS
o
r
i
s
l
NICOLE
i MEDEIROS FERREIRA
c
e
n
s
e
d
u
n
d
e
r
C
C
B
Y
-
N
C
Rio de Janeiro
2021
T
h
i
s
P
NICOLE
h MEDEIROS FERREIRA
o
t
o
b
y
U
LEI GERAL DE PROTEÇÃO DE DADOS NO ÂMBITO COORPORATIVO: OS
n
IMPACTOS DA LEI NAS kEMPRESAS
n
o
w
n
A
u
t
h
o Artigo Científico Jurídico apresentado
r
à Universidade Estácio de Sá, Curso
i de Direito, como parte das exigências
s
de obtenção de título de bacharel em
l
i Direito.
c
e
n
s Profª. Orientadora: MARCIA DOS
e
d SANTOS PIMENTEL NUNES.
u
n
d
Me. Profª. Coordenadora: JERUSA
e
r
C
C
B
Y Rio de Janeiro
-
N Campus Barra World
C
2021
T
h
i
s
LEI GERAL DE PROTEÇÃO DE DADOS NO ÂMBITO COORPORATIVO: OS
P
IMPACTOS DA LEI NAS EMPRESAS
h
o
t
o
b
y
U
n
k
n
RESUMO o
w
n
A
u
O presente trabalho visa o estudo
t da lei 13.709 (LGPD) referente a de proteção de
h
dados pessoais, especificamente
o a análise da lei no âmbito empresarial.
r
Primeiramente, expor a definição da LGPD, os aspectos gerais da lei e sua
relevância atualmente. Parai então, abordar e analisar a LGPD no ambiente
s
coorporativo, quais os impactos jurídicos e mudanças que a referida lei poderá
l
acarretar nas empresas, as adequações
i das mesmas à legislação, e de que forma
c
as empresas devem agir para
e que seja efetiva a proteção dos dados pessoais de
n
seus clientes e colaboradores.
s O presente estudo não se pretende exaurir o assunto,
e
mas apresentar alguns dosd desafios que as empresas vêm enfrentando com a
implementação da nova lei. u
n
d
Palavras – chave: Proteção ede dados. Dados pessoais. Impactos coorporativo.
r
C
C
B
Y
-
N
C
SUMÁRIO
1 INTRODUÇÃO.................................................................................................................4
2 DA LEI DE PROTEÇÃO DE DADOS (LGPD).............................................................5
3 OS IMPACTOS DA LGPD NO AMBIENTE COORPORATIVO..............................9
3.1 OS IMPACTOS DA LGPD NAS EMPRESAS DE PEQUENO PORTE (EPP)11
3.2 TRATAMENTO DOS DADOS PESSOAIS DOS CLIENTES E
COLABORADORES..............................................................................................................13
2
Ibid, capítulo I.
3
PINHEIRO, Patricia Peck. Cristina Sleiman, Henrique Rocha, Larissa Lotufo, Leandro Bissoli, Marcos
Sêmola, Marcos Tupinambá, Rafael Siqueira, Segurança Digital - Proteção de dados nas empresas, São Paulo,
Saraiva, 2020.
Também merece destaque as hipóteses para o tratamento de dados pessoais,
algumas delas previstas no artigo 7º da LGPD. Essas hipóteses são essenciais para
que seja possível realizar o tratamento de dados de forma legítima. Quais sejam:
Com consentimento do titular: A primeira possibilidade é através do
consentimento do titular dos dados que, sem dúvida, é a hipótese mais usual. A
manifestação de vontade deve ser voluntária, sem vícios e clara. O titular deve
concordar com o tratamento de seus dados pessoais para uma finalidade que
também deve ser clara. Considerando o artigo 5º, inciso XII da LGPD, dispõe que:
“Consentimento: manifestação livre, informada e inequívoca pela qual o titular
concorda com o tratamento de seus dados pessoais para uma finalidade
determinada.” (Brasil, 2018).5 Esse consentimento pode ser revogado a qualquer
tempo por manifestação expressa do titular.
Para cumprimento de obrigação legal ou regulatória pelo controlador:
Esse caso ocorre quando uma empresa que detém os dados pessoais de seus
clientes/empregados está autorizada ou é obrigada com base em um dever legal ao
tratamento desses dados. Como, por exemplo, o Ministério Público solicita que uma
empresa transmita os dados de seus colaboradores a fim de cumprir com a entrega
da relação anual de informações sociais.
Para o tratamento de dados em políticas públicas pela administração
pública com respaldo em lei, regulamento, contratos ou instrumentos
congêneres: Nesse caso, o interesse público se sobressai ao interesse privado, e
também não é exigido o consentimento pelo titular. Todavia, a administração pública
precisa se adequar à lei e fornecer os objetivos e a finalidade do tratamento dos
dados ao titular de forma clara, que deve ser pautado em políticas públicas, ou
respaldado em contratos, lei, regulamentos ou instrumentos congêneres. Uma
exceção à regra da administração pública precisar se adequar às exigências da
LGPD, é nos casos de defesa nacional, segurança pública ou atividades de
investigação.
4
Daniel Donda, Guia Prático de implementação da LGPD: Tudo o que você precisa saber para estar em
conformidade, São Paulo: Labrador, 2020.
5
BRASIL, Lei Geral de Proteção de dados pessoais (LGPD), nº 13.709, de 14 de agosto de 2018, Presidência da
República, Secretaria Geral – Subchefia para Assuntos Jurídicos, Planalto, capítulo I. Disponível em:
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em 15 de março de 2021.
Para realização de estudos por órgão de pesquisa: Nesse caso é admitido o
tratamento desde que, sempre que possível os dados sejam anonimizados, ou seja,
de forma que não seja possível identificar o titular dos dados.
Para execução ou nos atos preparatórios do contrato: Essa hipótese ocorre
quando o titular dos dados figura como parte contratante de um contrato em que há
previsão expressa que será realizado o tratamento de dados, e o consentimento se
do titular de deu no momento da assinatura do contrato. No entanto, se difere do
simples consentimento, vez que não pode o titular desistir de que seja realizado o
tratamento dos seus dados.
Para o exercício regular de direito: Esse exercício se refere ao âmbito dos
processos judiciais, administrativos e arbitrais. Existe para impedir que as partes no
processo não sejam prejudicadas para o exercício de sua defesa, ou seja, não cabe
oposição ao tratamento de dados, para que as partes possam produzir provas umas
contra as outras.
Proteção da vida e da incolumidade física do titular ou terceiro: Nesse caso
o direito a vida se sobrepõe ao direito à privacidade. Essa hipótese existe para
proteger a vida ou integridade física do titular ou terceiro, mesmo na ausência de
consentimento daquele.
Tutela de saúde do titular: Se refere apenas aos profissionais de saúde, e será
dispensado o consentimento do titular visando proteger a saúde deste ou terceiro.
Proteção de crédito: Essa hipótese existe para manter a segurança na
cobrança de créditos, já que se faz necessário a informações dos dados pessoais do
devedor.
Outro conceito interessante para ser abordado são as definições sobre os
agentes de tratamento de dados, o titular e o DPO. Segundo o posicionamento de
Rafael Fernandes Maciel:
Para finalizar sobre os aspectos gerais sobre a LGPD, destacaria também sobre
os princípios que regem a lei, quais sejam: Finalidade que corresponde ao motivo
pelo qual o dado está sendo tratado; Adequação que se refere a compatibilidade
com a atividade fim do tratamento do dado, que deve ser tratado de acordo com a
sua destinação; Necessidade em que o tratamento deve ser destinado apenas para
os dados necessários para determinado procedimento, sem excessos de dados que
não serão utilizados; Livre acesso visa assegurar que o titular tenha acesso a seus
dados a qualquer momento de forma clara e gratuita; Qualidade dos dados, esse
princípio garante que os dados estão sendo tratados em conformidade com a
LGPD, com transparência e exatidão; Transparência que permite que os titulares
sejam informados do tratamento de seus dados de forma clara e precisa; Segurança
que visa proteger os dados de possíveis invasão ilícitas ou vazados por qualquer
outro meio; Prevenção está relacionado a criação de medidas visando impedir
possíveis riscos a acesso aos dados e inobservância à LGPD; Não discriminação
que assegura que os dados não podem ser tratados de forma a discriminar o titular
ou para fins ilícitos; Responsabilização e prestação de contas, esse princípio diz
respeito a obrigação dos agentes de tratamento de dados informarem as medidas
utilizadas para garantir o devido tratamento de dados, principalmente quando
solicitado pela ANPD. Sendo certo que tais princípios são a base para o tratamento
de dados de acordo com a lei, bem como considerados essenciais para que seja
possível o tratamento de dados pessoais.
7
BRASIL, Lei Geral de Proteção de dados pessoais (LGPD), nº 13.709, de 14 de agosto de 2018, Presidência da
República, Secretaria Geral – Subchefia para Assuntos Jurídicos, Planalto, capítulo I. Disponível em:
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em 15 de março de 2021.
8
Manoela Vasconcelos apud Diário de Pernambuco, 2021, LGPD pode ter regulamentação especial para micro e
pequenas empresas. Disponível em: https://www.diariodepernambuco.com.br/noticia/economia/2021/03/lgpd-
pode-ter-regulamentacao-especial-para-micro-e-pequenas-empresas.html. Acesso em 21 de março de 2021.
Além disso, a própria lei 13.709/18 trouxe expressamente a possibilidade de
tratamento diferenciado para as pequenas empresas no artigo 55-J, inciso XVIII,
conforme dispõe como umas das competências da ANPD: “editar normas,
orientações e procedimentos simplificados e diferenciados, inclusive quanto aos
prazos, para que microempresas e empresas de pequeno porte, bem como
iniciativas empresariais de caráter incremental ou disruptivo que se
autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei;”
(Brasil, 2018). 9
Todavia, o desafio que as Microempresas e Empresas de Pequeno Porte vem
enfrentando é no sentido de que a LGPD não especificou quais as diretrizes e
orientações direcionadas a essas empresas para o tratamento de dados pessoais
para se adequarem a lei. Nesse sentido, o Estatuto Nacional da Microempresa e da
Empresa de Pequeno Porte, Lei Complementar nº 123/2006, criou normas para
assegurar o direito de tratamento diferenciado a essas empresas para o tratamento
de dados em conformidade com a lGPD. Embora o artigo 55-J, inciso XVIII, dispõe
que compete a ANPD a criação de normas específicas para as pequenas empresas,
explica Alexandre Vinicius Rodrigues de Moura Neri e Henryque Resende Luna:
O artigo 1º, §3º, da LC 123/2006 visa trazer maior segurança jurídica para o
exercício profissional dessas empresas, vez que o Presidente da República, poderá
regulamentar normas sobre o tema de forma alternativa, visto que esse ato do poder
executivo hierarquicamente superior a qualquer norma emitida pela ANPD.
Esse tema é tido como prioridade pela ANPD que estão trabalhando para
providenciar a resolução na medida em que serão criadas normas específicas para
as microempresas e empresas de pequeno porte. Um dos possíveis temas que
estão sendo abordados está relacionado a proposta de diminuição do valor da multa
corresponde a sanção pelo descumprimento da lei, que conforme o artigo 52, inciso
II da LGPD, prevê uma multa de 2% do valor do faturamento. Entende Marcus
Vinícius Vita Ferreira e Leonardo P. Santos Costa “Veja-se, portanto, que o
artigo 52, II, da LGPD, se aplicado sem razoabilidade, pode colocar um entrave ao
desenvolvimento econômico do país e, sobretudo, aos pequenos e médio
empresários, que gozam de proteção constitucional diferenciada (CF, artigo 170,
9
BRASIL, Lei Geral de Proteção de dados pessoais (LGPD), nº 13.709, de 14 de agosto de 2018, Presidência da
República, Secretaria Geral – Subchefia para Assuntos Jurídicos, Planalto, capítulo I. Disponível em:
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em 15 de março de 2021.
10
NERI, Alexandre e LUNA, Henryque Resende. A LGPD, por enquanto, é inexigível para pequenas empresas.
Consultor Jurídico – Conjur, 2020. Disponível em: https://www.conjur.com.br/2020-nov-03/neri-luna-lgpd-
ainda-inexigivel-pequenas empresas#:~:text=Essa%20situa%C3%A7%C3%A3o%20exposta%20no
%20artigo,documento%20que%20instituiu%20a%20obriga%C3%A7%C3%A3o.. Acesso em 22 de março de
2021.
IX)”. (Marcus Vinícius Vita Ferreira e Leonardo P. Santos Costa, Consultor Jurídico,
Conjur, 2020).11
Além disse, a inexigibilidade da contratação de um DPO, um colaborador
especificamente responsável para o tratamento de dados pessoais, visto que muitas
vezes seria excessivamente custoso a essas empresas a contratação desse
empregado. Segundo Fabiano Barreto, representante da CNI:
15
SANTOS, Flávia. A lei geral de proteção de dados pessoais (LGPD) e a exposição de dados sensíveis nas
relações de trabalho. Revista do Tribunal Regional do Trabalho da 10º região, Brasília, v.24, n.2,2020.
Disponível em: https://revista.trt10.jus.br/index.php/revista10/article/view/419/347. Acesso em 23 de março de
2021.
16
Ibid, capítulo I.
17
BRASIL, Lei Geral de Proteção de dados pessoais (LGPD), nº 13.709, de 14 de agosto de 2018, Presidência da
República, Secretaria Geral – Subchefia para Assuntos Jurídicos, Planalto, capítulo I. Disponível em:
igualmente informados sobre assuntos relacionados ao tratamento de seus dados,
bem como conceder seu consentimento através de termos de consentimento ou e-
mails.
18
DONDA, Daniel, Guia Prático de implementação da LGPD: Tudo o que você precisa saber para estar em
conformidade, São Paulo: Labrador, 2020.
Tendo uma visão sobre cada etapa do processo dos dados dentro da empresa,
contribui para uma análise facilitada dos riscos e consequentemente obter soluções
para solucioná-los ou evita-los.
No tocante ao consentimento para o tratamento dos dados é essencial tanto
para clientes e colaboradores, e respeitando o princípio da transparência, uma forma
de obter esse consentimento de forma clara e efetiva que pode ser através de
termos de consentimento por aplicativos, mensagem no celular ou e-mail.
Importante abordar também sobre a chamada política de segurança da
informação (PSI) que se refere aos meios para garantir a segurança da informação
que, inclusive, já é adotado a algum tempo pelas empresas, seja de pequeno ou
grande porte, vez que a informação é considerada um importante ativo para a
instituição. Todavia, com a implementação da LGPD essa política deve se adequar a
mesma. Estão incluídas nessa política, não muito diferente ao que já foi citado
referente as adequações à LGPD em si, a proteção da informação através da
segurança do controle de acesso, dos ativos e ambientes físicos e virtuais da
empresa, política de senhas, conscientização de todos os funcionários da
organização, identificar vulnerabilidades capazes de gerar riscos e desconformidade
à LGPD, bem como ser capaz de criar medidas para prevenir esses riscos e
soluções quando não for possível evita-lo. Inclusive, é necessário o trabalho em
conjunto de diversas áreas da empresa para assegurar a proteção desse ativo. São
diretrizes a serem seguidas, correspondente a uma transformação cultural da
empresa. Segundo Daniel Donda “A melhor maneira de implementar um sistema de
gestão de segurança da informação é seguindo a família de normas ABNT NBR
ISO/IEC 27000” (Daniel Donda, 2020, p.30). 19 Essa norma traz uma panorama geral
e diretrizes para uma gestão eficiente da segurança da informação.
5 CONCLUSÃO
19
DONDA, Daniel, Guia Prático de implementação da LGPD: Tudo o que você precisa saber para estar em
conformidade, São Paulo: Labrador, 2020.