LGPD – Lei Geral de Proteção de Dados do Brasil

O que é o Inventário?
1 de outubro de 2020
Lei de Proteção de dados traz desafios a empresas, cidadãos e governo
16 de outubro de 2020

LGPD é a sigla adotada para designar a Lei Geral de Proteção de Dados (Lei nº 13.709). Sancionada em 14 de agosto de 2018, a Lei Geral de Proteção de Dados entrará em vigor em agosto de 2020 e afetará a maioria das empresas brasileiras.

O que é a LGPD?
A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709/2018, é a lei brasileira que regula as atividades de tratamento de dados pessoais e altera os artigos 7º e 16 do Marco Civil da Internet. A LPGD foi sancionada em 2018 e passará a vigorar em agosto de 2020.

A LPGD estabelece definições a respeito de dados pessoais, dados pessoais sensíveis, processamento, consentimento, controle, anonimização, etc.

Qual foi a inspiração para a criação da LGPD
A principal inspiração para a LPGD do Brasil foi a GDPR (General Data Protection Regulation) da Europa aprovada em 2018 que teve impactos no mundo inteiro em atividades de tratamento de dados de cidadãos europeus.

Assim como a GDPR afeta empresas fora da Europa que fazem captação e uso de dados de cidadãos europeus, a LGPD afeta empresas brasileiras e estrangeiras que captam e usam dados de brasileiros.

Certamente, teremos demanda de conhecimento sobre a LGPD em diversos países do mundo e não só no Brasil. Realmente, essa lei tem impacto global.

Por que a LGPD foi criada
A Lei Geral de Proteção de Dados no Brasil foi criada para garantir a soberania de dados ao seu titular e regular as atividades de tratamento e coleta de dados, bem como criar a estrutura de fiscalização e responsabilidade da cadeia produtiva em torno do tema.

Os fundamentos da proteção de dados
O artigo 2º da lei estabelece que a disciplina da proteção de dados pessoais tem como fundamentos:

I – o respeito à privacidade;
II – a autodeterminação informativa;
III – a liberdade de expressão, de informação, de comunicação e de opinião;
IV – a inviolabilidade da intimidade, da honra e da imagem;
V – o desenvolvimento econômico e tecnológico e a inovação;
VI – a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Definições da Lei Geral de Proteção de Dados
O artigo 5º da lei cria diversas definições dentro do escopo da disciplina de proteção de dados.

O que é dado pessoal?
Dado pessoal é informação relacionada a pessoa natural identificada ou identificável.

O que é dado pessoal sensível?
Dado pessoal sensível é dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

O que é dado anonimizado?
Dado anonimizado é dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.

O que é banco de dados?
Banco de dados é conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico.

Qual é a definição de títular de dados?
Titular é pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

Qual é a definição de controlador?
Controlador é pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

Qual é a definição de operador?
Operador é pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

Qual é a definição de Encarregado?
Encarregado é pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Quem são os Agentes de tratamento?
O controlador e o operador são agentes de tratamento de dados.

O que é Tratamento de dados?
Tratamento é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

O que Anonimização?
Anonimização é utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.

O que caracteriza o Consentimento?
Consentimento é manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

O que é Bloqueio?
Bloqueio é suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados.

O que é Eliminação?
Eliminação é exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.

O que é Transferência internacional de dados?
Transferência internacional de dados é transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro.

O que é Uso compartilhado de dados?
Uso compartilhado de dados é comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.

O que é Relatório de impacto à proteção de dados pessoais?
Relatório de impacto à proteção de dados pessoais é documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;

Qual é a definição de Órgão de pesquisa?
Órgão de pesquisa é órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico.

O que é Autoridade nacional?
Autoridade nacional é órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.

O que é o DPO?
O Data Protection Officer (DPO) é o profissional encarregado pelo tratamento de dados o qual é indicado pelo controlador tendo sua identidade e suas informações divulgadas publicamente preferencialmente em site do controlador.

A carreira de DPO vai contar com profissionais da área interdisciplinar de Compliance. Certamente, essa é uma carreira que vai criar muitas oportunidades em 2020 e nos anos seguintes no Brasil e no mundo.

Autoridade Nacional de Proteção de Dados – ANPD
A Autoridade Nacional de Proteção de Dados ( ANPD ) é o órgão da administração pública federal, integrante da Presidência da República que edita normas e fiscaliza procedimentos sobre proteção de dados pessoais, foi criada pela Lei nº 13.853 de 2019.

A Composição da Autoridade Nacional de Proteção de Dados
A Autoridade Nacional de Proteção de Dados ( ANPD ) é composta por:

Conselho Diretor, órgão máximo de direção
Conselho Nacional de Proteção de Dados Pessoais e da Privacidade
Corregedoria
Ouvidoria
Órgão de assessoramento jurídico próprio
Unidades administrativas e unidades especializadas necessárias à aplicação da LGPD

As sanções administrativas da ANPD
Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas na Lei, estão sujeitos às diversas sanções administrativas aplicáveis pela autoridade nacional:

advertência
multa simples
multa diária
publicização da infração
bloqueio dos dados pessoais a que se refere a infração até a sua regularização
eliminação dos dados pessoais a que se refere a infração
suspensão parcial do funcionamento do banco de dados
suspensão do exercício da atividade de tratamento dos dados pessoais
proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados
Como você pode ver, as sanções administrativas são muitas e diversas e podem inviabilizar o dia a dia de muitas empresas.

A multa na Lei Geral de Proteção de Dados
A multa simples pode ser de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.

LGPD para empresas
Não é exagero dizer que quase todas as empresas do Brasil estão de alguma forma sob a Lei Geral de Proteção de Dados, portanto, a sua empresa deve ter algum tipo de conhecimento sobre o assunto ou contratar consultoria qualificada para verificar os cuidados e ajustes que devem ser tomados em função da lei.

Compliance com a LGPD
É essencial que as empresas afetadas sigam em conformidade com a LGPD e um profissional de Compliance interno ou externo para uma verificação é o caminho para que a cada empresa identifique se ela está ou não em Compliance com a LGPD.

O não conformidade com a lei acarreta em grandes multas de até 50 milhões de reais ou 2% do faturamento da empresa.

Certamente, o custo de um profissional de compliance ou consultoria de compliance é mais barato do que correr o risco de multas da legislação.

Governança na Lei Geral de Proteção de Dados
Fortalecendo e explicitando a importância do Compliance, a lei tem um seção sobre boas práticas de governança.

Segundo a lei, os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

LEMBRE-SE: este post tem finalidade apenas informativa. Não substitui uma consulta a um profissional. Converse com seu advogado e veja detalhadamente tudo que é necessário para o seu caso específico.