Info
Content

Lei Geral de Proteção de Dados - LGPD

Até tempos atrás, as empresas viam todas as pessoas como iguais. Um grupo de pessoas, todas elas tinham os mesmos gostos, vontades e desejos. Só que começaram a perceber que não era eficiente olhar todo mundo como um grupo de pessoas iguais.

Então as empresas precisavam entender esses gostos peculiares de cada um. E como fazer isso? Através do tratamento de dados : tudo o que pode ser feito com o dado desde o momento em que ele entra no banco de dados até o momento em que ele sai.

Com isso, as empresas tiram informações e com elas conseguem transformar em conhecimento.

Os dados são elementos que estão no inicio da cadeia, são o combustível para que as empresas possam se desenvolver. Sem tratamento de dados não há conhecimento, e sem conhecimento, não há eficiência empresarial.

Começamos a viver na era do “Não li e aceito”. Em geral, as pessoas não leem nada das políticas de privacidade do site, e aceitam todos os termos, distribuindo assim os seus dados, sem nem pensar no que esta fazendo. Com isso, as empresas foram abusando no tratamento e uso dos dados, tanto no setor privado quanto no setor público. Um exemplo disso seria a venda de lista de clientes.

A LGPD veio então para dar autodeterminação informativa ao titular sobre os seus dados. Para você saber o que a empresa/órgão público está fazendo com os seus dados pessoais. Uma das obrigações é que as regras terão que estar muito claras, as finalidades tem que ser inequívocas, não podendo induzir o titular dos dados ao erro. Isso implica em uma redefinição, reorganização e realinhamento da tua politica e do teu programa de proteção de dados. Tudo isso terá que ser revisado para que sua organização se enquadre dentro da legislação.

A lei LGPD é uma lei multidisciplinar: dentro do seu conceito ela trás aspectos do direito e de gestão, ela preserva a segurança da informação. Dentro da lei existe um Órgão regulador, que a legislação prevê. Trata-se da Autoridade Nacional de Proteção de Dados, chamada ANPD. Ela terá o viés de fiscalização do cumprimento da legislação, fiscalizando administrativamente e impondo sanções, multas e penalidades a quem descumprir a LGPD.

Outra exigência da LGPD é que dentro da empresa terá que existir um encarregado de proteção de dados, que seria o DPO. Ele terá a função de representar a empresa, tendo o papel de interlocutor entre a ANPD, o titular dos dados, e as empresas que tratam os dados. 

Quais são os impactos que a LPGD trás para a sociedade como um todo?

Essa é a primeira legislação especializada que protege dados pessoais. Já existia outras legislações como a Lei do Bem e incentivos setoriais especificas, o código de defesa do consumidor, a Lei de acesso a informação, entre outras, que tratavam os dados pessoais.

A LGPD abre um campo novo do direito: o direito a proteção de dados, privacidade e liberdade. Com isso provoca um impacto em toda a sociedade, é uma lei que empodera o titular dos dados.

Essa lei muda o olhar de toda a sociedade a respeito dos dados pessoais, pois terá impactos das mais diversas ordens, nas organizações, nas nossas vidas, porque ela preconiza o tratamento de dados de forma clara mediante o consentimento.

Juntamente com a legislação vem a fiscalização. Devemos ter uma preocupação com os dados e sabermos que se forem mal utilizados, poderá haver multas e penalidades.

O que é o tratamento de dados?

A legislação trata de uma forma muito completa e ampla o tratamento de dados pessoais. Segundo a LGPD, o tratamento de dados envolve tudo, desde a coleta ao descarte, tudo o que é feito, como compartilhamento, transmissão e utilização, e não é somente os dados digitais, mas os físicos também. Qualquer tipo de tratamento que envolva a coleta de dados desde digitais aos físicos, estão protegidos pela LGPD. Exemplo: um atestado que está em cima da mesa do RH, é um dado que está sob a lente dessa lei.

Existem os dados pessoais comuns, e, dentre eles, nós temos a categoria dos dados pessoais sensíveis. Os dados pessoais comuns são informações que identificam ou possam identificar uma pessoa (nome, CPF, e-mail, identidade, título de eleitor, até por um hábito de consumo, por alguma informação que não sejam dados cadastrais, mas de alguma forma te identifique pessoa natural e titular desse dado). Já os dados pessoais sensíveis são dados que, pela sua sensibilidade natural, têm uma vulnerabilidade em comum: eles podem levar pessoas a uma situação de discriminação (cor, etnia, orientação política, orientação religiosa, orientação sexual, filiação a partido político, econômico, filosófico, informações sobre a vida sexual da pessoa, informações de saúde, informações genéticas e biométricas).

A lei regulamentariza alguma diferença de abordagem por ramo de atividade?

Não. Hoje todos estão sobre a égide dessa lei. Especula-se que com a atuação da Agencia Nacional de Proteção de Dados (ANPD) , venham regulamentações especificas, mas é impossível garantir se terá regulamentação diferenciada. Hoje, sindicatos, empresas, microempresas entre outros, todos estão sobre a mesma égide da lei. 

 

Quais as empresas que devem se adequar?

Todas as empresas, independente de porte, tamanho de organização, seja pública ou privada, que realizem o tratamento de dados pessoais estão sujeitas a essa lei. E também pessoas físicas que realizem o tratamento de dados para fins econômicos. Todos os setores que lidam com dados serão impactados pela lei.

A empresa não é proibida em captar os dados, mas precisa preencher requisitos que justificam o porque precisa obter esse dado, qual a finalidade, pois você será responsável por esses dados. Lembrando que a empresa precisa ter ética, não vazar essas dados, ou usar para uma finalidade ilegal não sendo usada para a finalidade que foi repassado para a pessoa que autorizou.

A LGPD não se aplica para pessoa física com fins particulares, e exclusivamente para fins jornalísticos, fins culturais, segurança pública e segurança nacional. Ela tem algumas hipóteses bem restritas e definidas na legislação.

 

Como funciona o processo de adequação?

A empresa terá que passar por um processo de adequação. Ele começa com a conscientização da empresa: o responsável ou o DPO apresenta para a empresa o que é a LGPD, para que ela serve, e por que a empresa precisa dela. Ele irá examinar a empresa fazendo um mapeamento. Ele irá analisar o fluxo de dados da empresa, por onde o dado entra, por onde ele passa, quais são as pessoas que têm acesso a esses dados, se ela compartilha esses dados com terceiros, e, se sim, com quem e por que. Depois de mapear e examinar, ele dará o diagnóstico da situação da empresa, identificando os Gaps e propondo as soluções. Irá implantar o plano de ação e juntamente terá que monitorar para entender se as soluções estão sendo eficazes, se estão funcionando e dando o resultado esperado.

 

Quais são os princípios da LGPD?

Os princípios são a base da legislação, são eles que ditam o tom da lei. 

  • Boa fé: quando você age pensando em realmente fazer o melhor, em cumprir e estar adequado a lei, e não em cumprir  para fingir;
  • Finalidade: toda vez que uma empresa ou órgão público for tratar dados é preciso que haja uma finalidade, um porquê, um objetivo. O titular precisa ter consciência do motivo daquele dado estar sendo tratado;
  • Adequação: para cada finalidade tem um tratamento de dados adequado;
  • Necessidade: coletar somente os dados que são necessários para aquela finalidade;
  • Livre acesso: a empresa precisa dar ao titular o acesso aos seus próprios dados. O livre acesso precisa ser realmente livre, simples, facilitado e gratuito;
  • Qualidade de dados: os dados precisam estar completos e verídicos, e sempre atualizados para não prejudicar o titular;
  • Transparência: ser transparente em seus processos, deixar claro para o titular o que irá fazer com os dados dele, para você ganhar confiança;
  • Segurança: deve buscar meios técnicos que façam com que terceiros, não autorizados, não tenham acesso a esses dados;
  • Não Discriminação: os dados não podem ser utilizados com o objetivo de discriminar uma pessoa;
  • Prevenção: a empresa precisa pensar em ações que consigam evitar danos aos titulares antes que eles ocorram, precisa agir sempre de maneira preventiva;
  • Prestação de contas: a empresa precisa documentar tudo o que está fazendo, para que tenha um meio de comprovar que tomou todas as medidas que estavam ao seu alcance para proteger o titular e para estar adequado à LGPD.

 

Quais são as Bases Legais ?

As bases legais são hipóteses da LGPD que autorizam o tratamento de dados pessoais. As bases legais não têm dependência ou predominância entre si.

  • Consentimento: o consentimento precisa ter três características: Livre: a pessoa tem que conseguir usar uma ferramenta ou uma função de um aplicativo sem ter a necessidade de ter fornecido o seu consentimento para tudo que o aplicativo oferece; Informado: A empresa tem que deixar claro que o titular está dando consentimento e esclarecer o motivo desse consentimento; Inequívoco: o titular não pode ficar confuso quanto o seu consentimento, ele precisa entender o motivo específico de ter dado o consentimento;
  • Obrigação legal: determina que toda vez que existir uma lei, um instrumento normativo, um regulamento, que determina o tratamento de dados, que autorize a empresa a fazer esse tratamento de dados. É permitido tratar dados sem o consentimento;
  • Políticas Públicas: torna legítimo o tratamento de dados para a realização de políticas públicas previstas em leis, regulamentos e em contratos pela administração pública;
  • Pesquisa: é somente para órgãos de pesquisa. A empresa, para ser considerada órgão de pesquisa, de acordo com a LGPD, precisa ter pesquisa em seu objeto social, no seu cartão CNPJ, no contrato social e ela tem que tratar os dados com a finalidade de pesquisa, não precisa de consentimento;
  • Execução de Contrato: não precisa do consentimento quando tratar dados para cumprir uma obrigação presente em um contrato; 
  • Exercício Regular do Direito Processual: Para que possamos exercer o nosso direito de acesso à Justiça, nosso direito de contraditório e ampla defesa, existe a base legal do Exercício Regular do Direito em Processo. Tanto processos judiciais, quanto administrativos e arbitrais. Podemos tratar dados, sem o consentimento do titular, para exercer o nosso direito de acesso à Justiça;
  • Proteção a Vida: é preciso que seja uma situação concreta, posso tratar dados para salvar a vida da pessoa; 
  • Tutela da Saúde: autoriza pessoas da área da saúde, que prestem serviços de saúde ou autoridades sanitárias a tratar dados com o objetivo de tutelar a saúde das pessoas;
  • Proteção do Crédito: autoriza o tratamento de dados para proteger o crédito, ou seja, para evitar o famoso calote de maus pagadores;
  • Legítimo Interesse: essa base legal vem, exatamente, para permitir o tratamento de dados para os interesses legítimos da empresa para que ela promova os seus bens e os seus serviços. Essa é a única base legal que precisa ser feito um teste, esse teste tem quatro fases e só é possível utilizar essa base se for aprovado em todas as fazes, e terá que que ser documentado. São elas: Legitimidade do Interesse (que a empresa precisa tratar os dados para que ela possa crescer, se desenvolver); Necessidade (compreender e justificar essa necessidade); Balanceamento (balancear os interesses da empresa e os direitos e liberdades fundamentais dos titulares, para que eles saibam que seus dados estão sendo tratados para isso); Salvaguardas (Esses são os mecanismos de dar direitos para os titulares, mecanismos de transparência).

A LGPD está em vigor, mas as sanções previstas na lei, as penalidades, e a multa, ainda não podem ser aplicadas. Elas só vão poder ser aplicadas a partir de 1º de agosto de 2021. Mas, é preciso ter atenção, pois, mesmo não podendo ser penalizada, a sua empresa terá que estar adequada já, porque os titulares já podem entrar com processo judiciais, pois a fiscalização já pode acontecer.

 

Back to top