Blog do Sabino: CARTILHA LGPD - Lei Geral de Processamento de Dados

I - INTROITO

“Os dados são o novo petróleo”. Essa afirmação carrega muito da transformação pela qual o mundo passou nas últimas décadas. Com a ampliação do uso da internet, cada vez mais as relações se desenvolvem nesse meio. Como consequência, dados pessoais são constantemente transacionados.

De compras on-line a redes sociais, de hospitais a bancos, de escolas a teatros, de hotéis a órgãos públicos, da publicidade à tecnologia: a Lei Geral de Proteção de Dados Pessoais (LGPD) afeta diferentes setores e serviços, e a todos nós, seja no papel de indivíduo, empresa ou governo.

II - O QUE É A LEI GERAL DE PROTEÇÃO DE DADOS ?

A Lei nº 13.709, popularmente chamada de LGPD, foi aprovada em agosto de 2018 com vigência a partir de agosto de 2020. A lei cria um cenário de segurança jurídica, com a padronização de normas e práticas, para promover a proteção, de forma igualitária aos dados pessoais de todo cidadão que esteja no Brasil.

A LGPD estabelece ainda que não importa se a sede de uma organização ou o centro de dados dela estão localizados no Brasil ou no exterior: se há o processamento de conteúdo de pessoas, brasileiras ou não, que estão no território nacional, a LGPD deve ser cumprida.

III - A QUEM SE APLICA A LTPD

A LGPD se aplica a todos os setores, mas basicamente em nossa região podemos listar:

Hospitais
Escolas
Condomínios
Farmácias
Escritórios de contabilidade
Varejos físicos ou virtuais
Imobiliárias
Psicólogos
Laboratórios de Análises Clínicas
Agências de Marketing e Publicidade
Provedores de Telefonia e Internet
Assistência técnica de celulares
Hotéis; Bares e Restaurantes
Financeiras

Ainda todas as empresas/empregadoras que tenham dados dos empregados também precisam se adequar na guarda das informações e são obrigadas a ter um programa de proteção aos dados pessoais.

IV - O QUE SÃO DADOS PESSOAIS?

São aquelas informações que possam, de alguma forma, identificar ou tornar identificável uma pessoa natural.

Dado pessoal: informação relacionada a pessoa natural identificada ou identificável, tais como nome, foto, endereço, localização, documentos, e-mail, características pessoais, entre outros;

Dado pessoal sensível: dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou religião, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

Dado anonimizado: dado que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis;

Banco de dados: conjunto estruturado ou não de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;

Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos aos direitos fundamentais, bem como medidas e salvaguardas de mitigação de risco.

V - NOMENCLATURA

Nomenclatura utilizada nos principais envolvidos na operação de utilização de dados:

a) Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

b) Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem compete decidir sobre a utilização e o tratamento de dados pessoais;

c) Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

d) Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

e) Agentes de Tratamento: o controlador e o operador;

f) Autoridade Nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da lei em todo o território nacional.

VI - DIREITO DOS TITULARES DOS DADOS

Para estar em conformidade com a LGPD, as empresas precisam atender às necessidades dos titulares dos dados, tais como:

ü Conhecimento do processo de tratamento de dados pessoais;

ü Acesso total aos seus dados sob custódia da empresa;

ü Correção ou atualização de seus dados;

ü Anonimização;

ü Possibilidade de solicitação de portabilidade dos dados para outras empresas;

ü Exclusão dos dados a qualquer tempo;

ü Informação sobre compartilhamento de dados;

ü Revogação do consentimento;

ü Consentimento

Importante dizer que o consentimento do cidadão é a base para que dados pessoais possam ser tratados. Mas há algumas exceções a isso. É possível tratar dados sem consentimento se isso for indispensável para:

ü Cumprir uma obrigação legal;

ü Executar política pública prevista em lei;

ü Realizar estudos via órgão de pesquisa;

ü Executar contratos;

ü Defender direitos em processo;

ü Preservar a vida e a integridade física de uma pessoa;

ü Tutelar ações feitas por profissionais das áreas da saúde ou sanitária;

ü Prevenir fraudes contra o titular;

ü Proteger o crédito; ou atender a um interesse legítimo, que não fira direitos fundamentais do cidadão.

VII - PRINCÍPIOS DA LGPD

A LGPD especifica 10 princípios que toda empresa ou órgão público deverá seguir ao obter, ou lidar com dados pessoais, vejamos:

I – Finalidade: Segundo o texto: “realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.” Isso significa que os dados obtidos devem ter uma finalidade específica. Além disso, o titular dos dados deve estar ciente sobre quais são os motivos da necessidade de oferecer a informação.

II – Adequação: A lei especifica: “compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento.” Da mesma forma, coletar um dado por um motivo e utilizá-lo para outros fins também é passível de penalização. Exemplo: coletar um número de telefone prometendo avisar sobre a disponibilidade de um serviço e utilizar o contato para fins de telemarketing.

III – Necessidade: O LGPD traz: “limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.” Ou seja, empresas que coletam dados em excesso ou que não precisam, estritamente, para realizar seus serviços, podem ser penalizadas.

IV – Livre Acesso: Segundo o texto: “garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais”. Assim, fica especificado que o titular deve ter acesso completo às suas informações. Isso inclui quais dados estão guardados, como estão sendo protegidos e utilizados.

V – Qualidade dos Dados: Quanto a qualidade das informações, fica definido: “garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento”. Dessa forma, é de responsabilidade da empresa garantir que os dados obtidos estão atualizados e permanecem atuaizados para a prestação de serviço.

VI – Transparência: No texto: “garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial.” Isso é, o titular dos dados deve ter conhecimento de como seus dados são utilizados na empresa. Isso pode incluir os processos utilizados, bem como pessoas que possuem acesso às informações.

VII – Segurança: Quanto à proteção das informações, a lei diz que a empresa deve fazer a “utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão”. Ou seja, é de responsabilidade da empresa tomar as devidas medidas para proteger os dados de seus clientes. Isso inclui situações como ataques hackers, venda ou perda de informações.

VIII – Prevenção: Ainda no assunto da segurança da informação, fica especificado que a empresa deve visar a “adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.” Assim, é parte da responsabilidade da empresa ou órgão público tomar todas as medidas de segurança preventivas.

IX – Não Discriminação: A empresa deve, ainda, garantir a “impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos.” É especialmente importante atentar-se a essa regra se sua empresa lida com os chamados dados pessoais sensíveis. É imprescindível que a organização tome providências para que o vazamento dos dados não possa ocasionar situações discriminatórias contra o titular.

X – Responsabilização e Prestação de Contas: identifica a “demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.” Dessa maneira, fica à cargo da empresa demonstrar e comprovar o cumprimento dos princípios especificados no texto.

VIII - O QUE MUDA COM A LEI GERAL DE PROTEÇÃO DE DADOS?

a - Para empresas: Será necessário, principalmente, rever os processos que envolvem a coleta e armazenamento de dados pessoais na empresa. Por exemplo, a utilização de informações no cadastro de clientes, para começar de maneira simples. A grande maioria das empresas precisará passar por um processo completo de auditoria e replanejamento. Dessa forma, a terceirização acaba sendo uma opção viável.

b - Para usuários: O que muda para usuários é que os seus direitos à privacidade estão melhor protegidos. Agora, o titular dos dados tem direito a total transparência sobre o uso dos seus dados. Além disso, também tem o direito de ser informado sobre os processos que utilizam a informação e quais são as medidas de segurança tomadas pela empresa para protegê-los.

c - Para o setor da tecnologia: No setor da tecnologia, a LGPD representa novos desafios. Isso porque profissionais especializados em adequação dos processos à legislação serão extremamente valiosos. As empresas precisarão adequar a infraestrutura a essas novas exigências, da mesma forma que precisam contratar servidores e softwares de gestão.

IX - INVISTA NA CONSCIENTIZAÇÃO DA EQUIPE

De nada adianta apenas a diretoria de uma empresa conhecer e aplicar as novas normas elencadas na lei. A cultura de atendimento aos processos deve ser espalhada por todos os colaboradores.

Isso é importante para que ninguém cometa infrações ao novo dispositivo legal. Para a justiça, não importa quem foi a pessoa física que cometeu o erro. A pessoa eventualmente acionada judicialmente será sempre a jurídica, pois os funcionários são seus prepostos.

Uma reestruturação dos processos da empresa pode assustar bastante. No entanto, com organização, é possível implementar adequações de maneira sistemática e barata.

Conhecer todos os dados pessoais e como eles são tratados na sua empresa, em todas as jornadas de todas as áreas, é fundamental para se adequar a LGPD. Muitas vezes é necessário mudar estruturas e processos internos para uma maior organização e visibilidade dessas informações.

Numa relação de contrato com um cliente ou fornecedor, numa simples contratação de um colaborador, você provavelmente está tratando dados pessoais. Por isso é de suma importância conhecer onde esses dados estão armazenados, qual sua finalidade e por quanto tempo você deverá armazená-lo.

Toda empresa deve definir um encarregado de dados que será responsável por receber reclamações e comunicações dos titulares dos dados, prestar esclarecimentos e adotar providências, além de orientar os colaboradores a respeito das práticas adotadas em relação à LGPD.

A identidade e as informações de contato do encarregado de proteção de dados deverão ser publicadas publicamente, de forma clara e objetiva.

X - COMO A EMPRESA PODE SE ADEQUAR À NOVA LEGISLAÇÃO?

A Lei Geral de Proteção de Dados atinge todos os setores da economia independente do porte das empresas. Estas devem adotar práticas semelhante às de uma estrutura de compliance (boas práticas de gestão empresarial) para evitar riscos que eventualmente possam trazer prejuízos financeiros e impactos às suas atividades.

Os controladores e operadores poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

Os principais pontos a serem observados são:

1. A devida compreensão da lei e como ela irá afetar as atividades da empresa;

2. O comprometimento da estrutura de gestão da empresa em destinar recursos necessários para as adaptações à LGPD;

3. A nomeação de um encarregado (pessoa física ou jurídica) que será responsável pela estruturação, monitoramento e aprimora mento das boas práticas de gestão empresarial;

4. A integração das áreas da empresa, para garantir uma visão global das necessidades de se apoiarem e aprimorarem os projetos de proteção de dados;

5. Realizar a devida análise de riscos, com a apresentação de relatório de impacto à proteção de dados pessoais, apontando eventuais inconformidades que possam ocasionar prejuízos às empresas durante o tratamento de dados, com o devido mapeamento das informações em cada uma das etapas – coleta, tratamento, compartilhamento e até mesmo o descarte;

6. Fazer ajustes por meio da estruturação de regras que garantam uma política de governança, com normas internas voltadas para a proteção dos dados pessoais, por meio de adequação dos contratos firmados, dos sistemas utilizados, dos processos e procedimentos internos e externos, da limitação dos acessos aos dados protegidos e da criação de um plano de gestão de crise (por meio de manual) para o caso de algum incidente acarretado pelo descumprimento da lei ou até mesmo vazamento de dados, criando com isso não apenas uma capacidade de gerenciamento constante, mas, principalmente, a capacidade de resposta imediata, incluindo notificações à Agencia Nacional de Proteção de Dados, nos termos exigidos pela Lei;

7. Realização de treinamentos/capacitações acerca da necessidade de atender aos requisitos da LGPD;

8. Obtenção de consentimento do titular para tratamento dos dados pessoais existentes na empresa, bem como os que serão coletados.

9. Reavaliação dos dados já coletados, de forma a definir a necessidade de sua manutenção e a eventualidade de seu descarte, primando, desde logo, pela transparência nesses procedimentos;

10. Trabalhar com fornecedores que estejam adequados com a LGPD, de forma a evitar riscos indiretos com relação à utilização indevida de dados;

11. Criar Políticas de Privacidade para os serviços que realizem tratamento de dados pessoais onde fiquem claros os motivos, com finalidade legítima, pelos quais os dados estão sendo coletados e por quanto tempo permanecerão armazenados;

12. Implementar medidas técnicas e administrativas para garantir, por meio de evidências, a segurança de dados pessoais, com a utilização de normas e procedimentos de Gestão de Segurança da Informação e Processos.

XI - CONCLUSÃO

Assim, toda a empresa que gere base de dados pessoais terá que redigir normas de governança; adotar medidas preventivas de segurança; replicar boas práticas e certificações existentes no mercado.

Terá ainda que elaborar planos de contingência; fazer auditorias; resolver incidentes com agilidade. Se ocorrer, por exemplo, um vazamento de dados, a ANPD e os indivíduos afetados devem ser imediatamente avisados.

Vale lembrar que todos os agentes de tratamento se sujeitam à lei. Isso significa que as organizações e as subcontratadas para tratar dados respondem em conjunto pelos danos causados.

Sendo as falhas de segurança podem gerar multas de até 2% do faturamento anual da organização no Brasil – e no limite de R$ 50 milhões por infração.

A autoridade nacional fixará níveis de penalidade segundo a gravidade da falha.

Fique atento, elabore o plano de contingência da LGPD na sua empresa/organização pois é melhor prevenir do que indenizar ou pagar multa por falta de execução.

Cartilha elaborada, com excetos, por:

João Ricardo Monteiro Sabino

Advogado e Consultor Trabalhista

E-mail: joao@saza.adv.br

Fone/Whatsapp: 47 99914-1144