LGPD entrou em vigor, e agora?
Data da publicação: 25 de setembro de 2020
Autor(es): Gabriela Guimarães e Mayssam Makdissi
Após inúmeras postergações, finalmente a Lei Geral de Proteção de Dados (LGPD) entrou em vigor no último dia 18 de setembro. Agora, com as regras valendo, as empresas deverão correr para se adequar às novas imposições. Compliance é o caminho certo para a estabilidade do sistema financeiro
Apesar disso, as sanções em caso de descumprimento da Lei só poderão ser aplicadas a partir de agosto de 2021, tendo em vista que o órgão responsável pela fiscalização do cumprimento da lei, bem como pela aplicação de sanções, a Autoridade Nacional de Proteção de Dados (ANPD), ainda não está completamente formado.
Mas, na prática, o que altera com a legislação em vigor?
De forma sucinta, a LGPD consolida uma série de direitos individuais aos titulares dos dados pessoais e exige que as empresas cuidem das informações de seus usuários com mais segurança e cautela. É preciso saber que a LGPD abrange qualquer tipo de organização, tais como empresas de varejo, automotivas, bancos, clínicas médicas, hospitais, e-commerce, hotéis, companhias aéreas, restaurantes, academias, dentre outros ramos que armazenam dados tidos como pessoais.
Com a finalidade de facilitar o entendimento da LGPD, relacionamos aqui seus princípios norteadores:
- Finalidade: a partir de sua vigência, não será mais possível tratar dados pessoais sem finalidade própria e/ou específica e de forma legítima, explicita e bem orientada. Ou seja, a Organização deverá deixar claro para qual finalidade utilizará cada um dos dados armazenados;
- Adequação: os dados pessoais armazenados e tratados deverão ser compatíveis com a finalidade indicada pelo solicitante (controlador). Por exemplo, se a empresa é de varejo, não seria justificável solicitar informações sobre o estado de saúde do Usuário;
- Necessidade: os dados deverão ser estritamente utilizados para a finalidade do negócio. É importante que a organização tenha em mente que quanto mais dados tratar, maior será sua responsabilidade, inclusive em caso de possíveis ataques cibernéticos;
- Livre Acesso: A Pessoa Física titular do dado poderá consultar, gratuitamente e a qualquer momento, todos os dados de sua titularidade tratados pela empresa;
- Qualidade dos Dados: As empresas deverão manter dados fidedignos e atualizados sobre seus Usuários;
- Transparência: A empresa não está autorizada a repassar dados pessoais de seus usuários para terceiros sem a anuência de seu titular. Além disso, todas as informações que puderem ser enviadas deverão ser claras, precisas e verdadeiras;
- Segurança: As empresas deverão adotar medidas de segurança da informação capazes de proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas. Caso haja um incidente de segurança, a empresa deverá comunicar imediatamente aos órgãos fiscalizatórios para a tempestiva tomada de providências;
- Prevenção: A fim de mitigar os riscos inerentes do gerenciamento dos dados pessoais, as empresas devem adotar medidas preventivas, ou seja, agir antes dos problemas acontecerem;
- Não discriminação: Dados que revelem a origem racial, étnica, política, filiação sindical, saúde, vida sexual ou orientação sexual do indivíduo são considerados sensíveis e estão sujeitos a condições de tratamento específicas. As empresas jamais poderão utilizar tais dados para discriminar ou suscitar abusos contra seus Usuários;
- Responsabilização e Prestação de Contas: é de suma importância que as empresas criem evidências acerca de todas as diligências adotadas para comprovar o respeito ao ordenamento jurídico.
Alguns bons exemplos disso são:
- Realização de due diligence sobre os dados pessoais a fim de identificar se o dado é sensível, de criança, se foi anonimizado, dentre outros quesitos que identificam e medem a exposição da empresa à LGPD;
- Auditoria sobre o Tratamento, realizada mediante a criação de documentos aderentes à Lei para uso interno e externo;
- Gestão do Consentimento e Gestão: auxilia a empresa a atender uma possível solicitação realizada pelo Usuário;
- Controle dos pedidos realizados pelos Usuários: criação de bancos de dados para atendimento das solicitações realizadas pelos titulares dos dados.
Embora as sanções administrativas só entrem em vigor em agosto de 2021, é preciso se atentar para as diretrizes da lei e prevenir seus efeitos, pois a empresa que não fundamentar cada tratamento de dado, seguir os princípios da lei e atender aos direitos dos titulares estará, futuramente, sujeita a:
- Advertências;
- Obrigação de divulgação do incidente para mídia e para ANPD;
- Eliminação dos dados pessoais do Usuário;
- Bloqueio, suspensão e proibição para o exercício de atividades relacionadas ao tratamento de dados pessoais;
- Multas de até 2% do faturamento da empresa, limitado a R$ 50 milhões por infração.
Apesar das sanções ainda não terem entrado em vigor, o Ministério Público Federal já abriu procedimento administrativo para apurar as atividades de empresas de mineração de dados, que atuam criando bancos de dados com informações de pessoas físicas e jurídicas.[1]
Além das penalidades administrativas, as organizações que não estiverem em Compliance com a Lei estarão sujeitas aos riscos reputacionais que podem ser ainda mais adversos do que as próprias penalidades.
Assim, conhecendo um pouco melhor os aspectos do novo dispositivo legal, tornamos mais prático o entendimento para que as empresas desenhem a melhor forma de tratar os dados que estão sob sua responsabilidade.
OVERVIEW DA LGPD
TERMOS
- Dado pessoal – informação relacionada a pessoa natural identificada ou identificável;
[1] Fonte: https://www.poder360.com.br/tecnologia/mpf-abre-procedimento-para-investigar-empresas-de-mineracao-de-dados/
- Dado anonimizado – dado relativo à titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
- Dado pessoal sensível – dado pessoal sobre: (a) origem racial ou étnica, (b) convicção religiosa, (c) opinião política, (d) filiação a sindicato ou a organização de caráter religioso, filosófico ou político, (e) dado referente à saúde ou à vida sexual, e (f) dado genético ou biométrico, quando vinculado a uma pessoa natural.
SUJEITOS E ÓRGÃOS
- Titular – Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
- Agentes de Tratamento –
- Controlador – Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
- Operador – Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
- Encarregado – Pessoa natural, indicada pelo controlador, que atua como canal de comunicação entre o controlador e os titulares e a autoridade nacional;
- Autoridade Nacional – Órgão da administração pública indireta responsável por zelar, implementar e fiscalizar o cumprimento da Lei.
- Órgão de Pesquisa – Órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico.
AÇÕES
- Tratamento – toda operação realizada com dados pessoais, como as que se referem a: (a) coleta, (b) produção, (c) recepção, (d) classificação, (e) utilização, (f) acesso, (g) reprodução, (h) transmissão, (i) distribuição, (j) processamento, (h) arquivamento, (i) armazenamento, (j) eliminação, (k) avaliação ou controle da informação, (l) modificação; (m) comunicação, (n) transferência, (o) difusão, (p) extração;
- Anonimização – utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
- Consentimento – manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
- Bloqueio – suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
- Eliminação – exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
- Uso compartilhado de dados – (a) comunicação; (b) difusão; (c) transferência internacional – transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro, (d) interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.
INSTRUMENTOS
- Banco de dados – conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
- Relatório de impacto à proteção de dados pessoais – documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.Fonte: Artigo 5º da LGPD
Fonte: Linkedin
