jusbrasil.com.br
28 de Outubro de 2021

Lei Geral de Proteção de dados

Atenção com as multas!

André Furtado de Oliveira, Advogado
há 3 meses



Agora em agosto, a Autoridade Nacional de Proteção de Dados (ANPD)[1] já está apta a aplicar sanções às empresas e entidades públicas que não se adequarem aos ditames da Lei Geral de Proteção de Dados (LGPD).

Dentre as sanções, pode haver multas de até 2% do faturamento anual da empresa ou até R$ 50.000.000,00 (cinquenta milhões de reais), advertências, publicidade das infrações com exposição do nome da empresa, proibição de banco de dados etc. (art. 52 da LGPD).

Antes de explicar como as empresas devem se conformar à LGPD, vamos destrinchar alguns conceitos trazidos pela própria lei.

O que são dados pessoais?

É qualquer informação relacionada a pessoa natural (pessoa física) identificada ou identificável (art. 5.º, I, da LGPD). Pode ser o nome, o CPF, RG, endereço, e-mail, situação patrimonial.

Além desses dados pessoais, há uma categoria especial que se trata dos dados pessoais sensíveis (opção religiosa e sexual, dados de saúde, orientação política, filiação a partido ou sindicato, dado genético, por exemplo – art. 5.º, II).

As empresas sempre devem manter os dados de forma íntegra, confidencial e exata, utilizando os dados estritamente necessários para atender somente as finalidades previstas.

O que é o tratamento de dados?

Trata-se de toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração (art. 5.º, X).

Quem são os titulares e agentes participantes do tratamento de dados?

a) titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento

b) controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais

c) operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador

d) encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)

Fixados os conceitos de dados pessoais, tratamento de dados e as pessoas que a lei classifica, podemos avançar mais um pouco.

Bom, nós já sabemos que as empresas devem proteger os dados pessoais de seus colaboradores, clientes e fornecedores, quando está de alguma forma entrando em contato com estas dados de pessoas físicas.

Mas como que a empresa deve proteger esses dados?

Primeiramente, as empresas devem ter como norte alguns princípios. Elas devem ter como parâmetro de proteção de dados uma atuação pautada na finalidade, adequação, necessidade, livre acesso, qualidade, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas.

Isto é todo tratamento deve atender em última medida esses princípios, os quais norteiam a proteção dos dados pessoais e estão especificados no art. 6.º da LGPD.

Além disso, a empresa só pode tratar dados pessoais desde que atenda a uma das seguintes hipóteses, dentre as quais selecionamos as mais importantes (art. 7.º):

I - mediante o fornecimento de consentimento pelo titular;

II - para o cumprimento de obrigação legal ou regulatória pelo controlador;

IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral

VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;

VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.

Assim, passadas essas considerações, vamos para a prática.


Como é que a empresa começa a se adequar à Lei de Proteção de Dados?

Bom, inicialmente, é preciso que a empresa contrate uma consultoria ou assessoria de proteção de dados e treine o encarregado de dados (DPO) para acompanhar todo o processo de adequação à lei.

A partir disso, a empresa vai começar o processo de adequação. Este processo tem algumas etapas.

Vamos a elas:

1. Due diligence

A primeira das etapas é o levantamento de informações ou a chamada due diligence de dados pessoais. Isto é, vão ser verificadas, em todos os setores da empresa, como é que a mesma recebe, coleta, classifica, reproduz, distribui, processa, armazena e elimina os dados pessoais. É nessa etapa que se toma conhecimento dos processos internos e externos da empresa em relação à dados pessoais. São verificadas as operações por meio físico e digital dos dados pessoais

2. Aderência

Na segunda etapa de adequação, verifica-se a adesão da empresa à LGPD. Ou seja, se todo tratamento de dados (coleta, armazenamento, eleiminação) atende aos princípios da proteção previsto no art. 6.º da lei, mediante a criação e revisão de documentos (contratos, termos e políticas) e de procedimentos.

3. Gestão de consentimento

Na terceira etapa, a empresa se prepara para administrar as autorizações dadas pelos titulares de dados, podendo anonimizar esses dados. Esta etapa é importante para atender possível solicitação do titular ou da ANPD.

4. Criação de banco de dados

Passada a fase da obtenção do consentimento, a empresa deve gerir eventuais dados num banco de dados, justamente para atender aos pedidos de uma forma mais efetiva, mantendo registro dos tratamentos de dados (art. 37). Deve também sempre tomar precauções com o envio e compartilhamento de dados com terceiros.

5. Relatório de Impacto

O relatório é essencial para verificar o que a empresa tem feito no sentido de se adequar às normas de proteção de dados. Ele identifica também possíveis riscos e vulnerabilidades da empresa em relação a possíveis violações ou vazamento de dados. (art. 38)

6. Segurança dos dados

Depois de feito o relatório de impacto, é necessário que a empresa adote medidas de segurança da informação, nas quais se incluem os dados pessoais (arts. 46 a 49).

7. Governança

Nessa etapa, a empresa cria regras de boas práticas que estabeleçam procedimentos e normas, ações de instrução de colaboradores e mitigação de riscos (art. 50 da LGPD).

8. Plano de comunicação e gestão de incidente.

A empresa deve comunicar os órgãos fiscalizadores (ANPD, Procon), o titular de dados e à imprensa sobre incidente de segurança que acarrete risco ou dano aos titulares (art. 48).

9. Validação do prazo do tratamento

Nessa etapa, produzem-se as providências para a eliminação dos dados tratados.

10. Certificação de auditoria, DPO e Prevenção de conflitos

Por fim, a empresa pode contratar auditoria especializada em LGPD e contratar um encarregado de proteção de dados (DPO – Data Protection Officer), que nada mais é que a pessoa indicada pela empresa para atuar como canal de comunicação entre a empresa, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

E não menos importante, deve incluir uma cláusula de mediação e arbitragem para conflitos na Câmara privada online cadastrada no CNJ, com o objetivo de reduzir os processos judiciais relacionados a proteção de dados.

Bom, agora que você já sabe como se adequar à LGPD, visite nosso site para mais informações.

www.afoadv.com.br/quem-somos

Referências bibliográficas:

- Planalto, Lei 13.709/2018

- www.lgpdbrasil.com.br

- Curso Adapt Now


[1] ANPD — Português (Brasil) (www.gov.br)

0 Comentários

Faça um comentário construtivo para esse documento.

Não use muitas letras maiúsculas, isso denota "GRITAR" ;)