Falar sobre tecnologia sem abordar sobre a proteção de dados, faz com que o assunto se torne incompleto. Neste artigo, vamos tirar todas as dúvidas sobre a Lei Geral de Proteção de Dados. Depois deste artigo, você entenderá os principais pontos e ficará atualizado com todos os detalhes em torno desta lei.
Quando a Lei Geral de Proteção de Dados foi publicada?
Em 15 de agosto de 2018 foi publicada a Lei Geral de Proteção de Dados brasileira (LGPD), Lei no. 13.709, inspirada na legislação europeia do GDPR (General Data Protection Regulation) que entrou em vigor no último 25 de maio de 2018. Posteriormente a lei foi modificada pela Lei no. 13.853, publicada em 8 de julho de 2019. Em português o GDPR é conhecido como Regulamento Geral sobre a Proteção de Dados.
Qual o objetivo da lei de proteção de dados?
O objetivo desta lei é regular o tratamento de dados pessoais por pessoas ou entidades do setor privado ou público, inclusive nos meios digitais, de consumidores, empregados, independente do país da sede ou no qual os dados estejam localizados com o propósito de proteger a liberdade, a privacidade e o livre desenvolvimento da pessoa natural. A nova lei se aplica sempre que o tratamento seja realizado no território nacional, tenha por objetivo a oferta/fornecimento de bens/serviços ou o tratamento de dados de indivíduos localizados no território nacional, ou os dados pessoais tenham sido coletados no território nacional.
O que são dados pessoais?
Os dados pessoais são as informações relacionadas ao titular dos dados, usualmente a pessoa natural identificada ou identificável, podendo incluir nome, endereço, e-mail, idade, estado civil e situação patrimonial, obtidos em qualquer tipo de suporte (papel, eletrônico, informático, som e imagem, etc).
O que são dados pessoais sensíveis?
Os dados sensíveis são aqueles dados pessoais sobre a origem racial ou étnica, as convicções religiosas, as opiniões políticas, a filiação a sindicatos ou às organizações de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural.
Quais os tratamentos de dados abrangidos pela Lei Geral de Proteção de Dados?
O tratamento de dados abrangido pela LGPD engloba toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração, ou seja, uma abrangência ponta-a-ponta, desde a entrada do dado em determinada entidade, todo o período de permanência, até a sua eventual saída.
Quais os tratamentos de dados NÃO abrangidos pela LGPD?
A própria lei excetua os casos de tratamento de dados que não são abrangidos pela sua competência, como por exemplo aquele tratamento realizado por pessoa física para fins exclusivamente particulares e não econômicos, como agendas ou informações que sejam coletadas para propósitos exclusivamente particulares.
No caso das pessoas jurídicas, estão excluídos da abrangência da LGPD os tratamentos realizados para fins exclusivamente jornalístico e artísticos, acadêmicos, segurança pública, defesa nacional, segurança do Estado, ou atividades de investigação e repressão de infrações penais.
Também ficaria excluída a aplicação da lei naquelas hipóteses em que os dados estejam apenas de passagem no Brasil, ou seja, dados pessoais provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que este tenha grau de proteção similar ao estabelecido na LGPD.
Quem são os agentes de tratamento? Quem é o Controlador e o Operador?
As entidades, que tratam os dados, foram classificadas pela lei como agentes de tratamento, sendo o principal deles o controlador, que pode ser pessoa física ou jurídica, privada ou governamental, com a competência para tomar as decisões referentes ao tratamento. Além do controlador, que é o agente que normalmente possui o contato direto com o titular do dado, também a atividade terceirizada de tratamento de dados realizada pelo operador, pessoa física ou jurídica, privada ou governamental, que realiza o tratamento de dados pessoais em nome do controlador possui um papel relevante na LGPD.
Quais são os principais direitos dos titulares dos dados?
O titular dos dados deverá ser informado sobre a finalidade do tratamento de seus dados, forma e duração, identificação e informações de contato do controlador, sobre o compartilhamento dos dados e com qual finalidade, as responsabilidades das entidades detentoras dos dados e os direitos dele (titular), que deverão ser disponibilizadas de forma clara, adequada e ostensiva.
Os titulares dos dados pessoais tem direito a obter do controlador (i) confirmação de tratamento; (ii) acesso aos dados no prazo de até 15 dias do requerimento; (iii) correção de dados; (iv) anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou não tratados de maneira legítima; (v) portabilidade dos dados; (vi) eliminação dos dados, ainda que fornecidos com consentimento prévio; (vii) informações dos compartilhamentos de dados; (viii) informações sobre a possibilidade de não fornecer o consentimento e as consequências disso; (ix) revogação do consentimento; (x) revisão de decisões tomadas unicamente com base em tratamento automatizado, incluindo definição de perfil pessoal, profissional, de consumo, de crédito ou os aspectos de sua personalidade.
Quais os cuidados adicionais com dados de criança?
O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou responsável legal. Somente poderão ser coletados dados pessoais de crianças sem o consentimento quando for necessário para contatar os pais ou responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiros sem o consentimento. A participação em jogos e aplicações de internet não poderá ser condicionada ao fornecimento de informações pessoais além das estritamente necessárias.
Quem são as empresas afetadas por essa lei? Apenas as empresas de tecnologia?
A nova lei de proteção de dados não afeta apenas as empresas de tecnologia, abrangendo todas as empresas que tratem dados pessoais. A lei caracterizou os agentes de tratamento, que podem ser tanto pessoa natural como jurídica, de direito público ou privado, como o controlador, a quem competem as decisões referentes ao tratamento de dados pessoais; e o operador, que realiza o tratamento de dados pessoais em nome do controlador, em moldes similares ao GDPR.
Quando as empresas podem tratar os dados pessoais legalmente?
Os agentes de tratamento poderão tratar dados pessoais (i) com o consentimento do titular; (ii) para cumprir obrigação legal do controlador do tratamento; (iii) para o tratamento e uso compartilhado para execução de políticas públicas, nos casos de administração pública; (iv) para a realização de estudos por órgão de pesquisa, desde que anonimizados; (v) para a proteção da vida ou da incolumidade física do titular ou de terceiro; (vi) para a tutela da saúde, desde que realizada por profissionais do setor; (vii) para a execução ou pré-execução de um contrato com o titular; (viii) para pleitos em processos judicial, administrativo ou arbitral; (ix) interesses legítimos do controlador, desde que não afetem direitos e liberdades fundamentais; (x) para a proteção do crédito.
Quando as empresas podem tratar os dados pessoais sensíveis legalmente?
O tratamento dos dados pessoais sensíveis são vedados, exceto mediante o consentimento específico e em destaque, pelo titular, para finalidades específicas; ou, sem consentimento, quando for indispensável para: (i) o controlador cumprir uma obrigação legal; (ii) a administração pública executar políticas públicas; (iii) órgão de pesquisa realizar estudos, mediante anonimização; (iv) exercício regular de direitos como em contratos, processos judiciais, administrativos ou arbitrais; (v) proteção da vida ou da incolumidade física do titular ou de terceiro; (vi) tutela da saúde, desde que realizado por profissionais da área; ou (vii) garantia da prevenção à fraude e à segurança do titular.
Quais são os cuidados que as empresas devem tomar ao obter o consentimento?
O consentimento deverá ser realizado para finalidades específicas, não podendo ser genérico, mas pode ser realizado por escrito ou qualquer meio que demonstre a manifestação de vontade do titular, desde que conste em cláusula destacada das demais. Além disso, o consentimento poderá ser revogado a qualquer momento, mediante manifestação expressa do titular, mediante procedimento gratuito e facilitado.
Caberá ainda ao controlador do tratamento dos dados o ônus da prova de que o consentimento foi obtido. Entretanto, estará dispensado o consentimento quando os dados forem tornados manifestamente públicos pelo titular.
Os contratos de adesão podem vincular o uso do serviço com o fornecimento de dados pessoais?
Nos contratos de adesão o tratamento de dados pessoais pode ser condição para o fornecimento de produto/serviço, desde que o titular dos dados seja informado com destaque sobre isso.
As empresas podem transferir dados para fora do país?
Os dados pessoais podem ser transferidos para fora do país somente quando: (i) os países possuam grau de proteção de dados pessoais compatível com a lei brasileira; (ii) o controlador comprovar as mesmas garantias previstas na lei de proteção de dados, por meio de: a) cláusulas contratuais específicas para uma determinada transferência; b) cláusulas-padrão contratuais; c) normas corporativas globais; d) selos, certificados e códigos de conduta regularmente emitidos; (iii) for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução; (iv) for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro; (v) a autoridade nacional autorizar a transferência; (vi) for decorrente de acordo de cooperação internacional; (vii) for necessária para execução de política pública ou atribuição legal do serviço público; (viii) o titular tiver fornecido o seu consentimento específico e em destaque com informação prévia sobre o caráter internacional da transação; ou (xi) necessário para cumprimento de obrigação legal, execução de um contrato ou exercício regular de um direito em processos.
Quais as penalidades para quem não cumprir a LGPD?
Quem não cumprir a nova lei ficará sujeito às penalidades de advertência com indicação de prazo para a correção, multa de até 2% (dois por cento) do faturamento no seu último exercício, limitada a R$ 50 (cinquenta) milhões por infração, multa diária, observado o limite em milhões indicado na lei, publicização da infração, bloqueio ou eliminação dos dados objeto da infração. Poderá haver cumulação de penalidades.
Quais as responsabilidades de quem não cumprir a LGPD?
O controlador do tratamento de dados que causar dano patrimonial, moral, individual ou coletivo, é obrigado a reparar, estando ainda sujeito à inversão do ônus da prova, a critério do juiz, a favor do titular dos dados e à solidariedade com o operador, quando diretamente envolvido no tratamento. O operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador. Há algumas exceções na lei a esta responsabilização dos agentes.
Como se isentar das responsabilidades pelo descumprimento da LGPD?
Para se eximir de responsabilidade sobre o tratamento as empresas deverão provar que: (i) não realizaram o tratamento de dados pessoais que lhes é atribuído; (ii) não houve violação à legislação de proteção de dados, ainda que tenham realizado o tratamento; ou (iii) o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiros.
O que é o Relatório de Impacto à Proteção de Dados?
O controlador do tratamento dos dados terá que produzir o relatório de impacto à proteção de dados pessoais (similar ao DPIA – Data Protection Impact Assessment – do GDPR), inclusive de dados sensíveis, referente às suas operações, mediante solicitação da autoridade nacional. Este relatório deverá conter descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, incluindo tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação as medidas, salvaguardas e mecanismos de mitigação de risco adotados.
Porque as empresas precisam manter o registro do tratamento?
As empresas controladoras ou operadoras deverão manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no “legítimo interesse”. A doutrina aos poucos vem delineando este conceito que se relaciona a informações de perfil do usuário que sejam relevantes para a atividade comercial do controlador na prestação do serviço ou na entrega do produto contratado ao titular do dado. A autoridade nacional poderá dispor sobre padrões de interoperabilidade para fins de portabilidade, livre acesso aos dados e segurança, assim como sobre o tempo de guarda dos registros, tendo em vista especialmente a necessidade e a transparência.
Quem é o Encarregado pelo tratamento de dados pessoais e quando precisa ser indicado?
Espelhando de certa maneira no GDPR, embora com uma competência e responsabilidade significativamente inferior ao DPO (Data Protection Officer), a lei brasileira criou a figura do encarregado, como a pessoa, indicada pelo controlador, que atua como canal de comunicação entre o controlador, os titulares e a autoridade nacional de proteção de dados (ANPD).
A regra geral foi que a empresa, em especial aquela em posição de controlador que detém poder de decisão sobre o tratamento, deverá indicar um encarregado pelo tratamento de dados pessoais, que pode ser pessoa física ou jurídica. Entretanto, a autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados. Nos casos em que o encarregado tiver que ser nomeado, a empresa deverá fornecer a sua identidade e as informações de contato publicamente, preferencialmente no seu website.
Quais as funções do Encarregado?
O Encarregado será responsável por: (i) aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; (ii) receber comunicações da autoridade nacional e adotar providências; (iii) orientar os funcionários e os contratados sobre as normas de proteção de dados pessoais; e (vi) executar as demais atribuições determinadas pela empresa ou normas complementares.
Quais as medidas de segurança que deverão ser adotadas no tratamento de dados?
As empresas deverão verificar se o tratamento de dados pessoais está sendo realizado de maneira segura, em razão do modo pelo qual é realizado, do resultado e os riscos que razoavelmente dele se esperam ou das técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
As empresas deverão adotar regras de segurança na fase de concepção do produto ou do serviço até a sua execução (by design).
Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança, aos princípios gerais previstos na lei e às demais normas regulamentares (by default).
A comunicação de vazamento de dados é obrigatória?
O controlador deverá comunicar a autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, ficando o prazo de comunicação a ser definido pela autoridade nacional. O teor da comunicação deverá observar um certo conteúdo especificado na lei. A divulgação pública do fato em meios de comunicação poderá ser determinada pela autoridade nacional, de acordo com a gravidade do incidente, podendo ainda determinar medidas para reverter ou mitigar os efeitos do incidente.
As empresas podem instituir regras de auto regulação para boas práticas e governança?
Os agentes de tratamento de dados pessoais poderão formular individualmente ou por meio de associações regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
O que é um Programa de Governança em Privacidade?
Dentre as normas de boas práticas os agentes de tratamento deverão elaborar e seguir um Programa de Governança em Privacidade efetivo que siga os princípios da LGPD e que: (i) contenha demonstração do comprometimento do controlador com a proteção de dados; (ii) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo em que se realizou sua coleta; (iii) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados; (iv) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade; (v) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular; (vi) esteja integrado à sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos; (vii) conte com planos de resposta a incidentes e remediação; e (viii) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas.
Qual a vantagem de se manter Programa de Governança em Privacidade?
As empresas que tratam dados pessoais e cometam infrações às normas previstas na lei, ficam sujeitos às sanções administrativas aplicáveis pela autoridade nacional, sem prejuízo de consequências em outras esferas, como a cível. Porém, a lei prevê que as sanções administrativas nela previstas serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados alguns parâmetros e critérios. Dentre estes está: a boa-fé do infrator, a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, a adoção de política de boas práticas e governança, e a pronta adoção de medidas corretivas. Então, ter um Programa deste tipo pode auxiliar muito a empresa a reduzir a penalidade a ser imposta pela ANPD, em caso de incidente relacionado a dado pessoal.
Quem é a autoridade nacional de proteção de dados?
A autoridade nacional é o órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD, podendo emitir opiniões técnicas ou recomendações referentes às exceções previstas na lei, bem como solicitar os relatórios de impacto à proteção de dados pessoais. A autoridade nacional de proteção de dados (ANPD) foi criada pela Lei no. 13.853, publicada em 8 de julho de 2019, vinculada à Presidência da República.
Além disso, a autoridade nacional será extremamente importante para a definição de novas políticas, padronização de fiscalização, evitar a judicialização das questões envolvendo proteção de dados, resolução de conflitos, uniformização dos direitos, bem como ser o elemento de reciprocidade perante legislações estrangeiras como GDPR, devendo, no nosso entendimento, ter independência e autonomia.
A Lei Geral de Proteção de Dados é aplicável as relações de trabalho?
A LGPD trouxe diversas obrigações para as empresas que afetam diretamente as relações de trabalho, eis que as empresas precisarão adotar medidas de segurança, técnicas e administrativas para proteger os dados pessoais e sensíveis obtidos dos empregados, sob pena de responsabilidade civil, como indenização por eventuais danos causados, bem como multa;
A LGPD autoriza as empresas a usarem os dados pessoais dos seus empregados e prestadores de serviços para a legítima execução dos contratos, em benefício do próprio trabalhador, porém não deve ser desconsiderada a cautela e observância das regras previstas na lei em todas as suas fases da relação de trabalho, tanto atos praticados antes da contratação, quanto durante a vigência do contrato, nas terceirizações e após a rescisão dos contratos.
Quando entra em vigor a nova LGPD?
As novas regras passarão a viger após 16 de agosto de 2020, prazo concedido para que órgãos, empresas e entidades se adaptem. Mas não se enganem, o efeito da LGPD já está sendo sentido pelas empresas, pois já existem autoridades buscando proteger os interesses coletivos acerca de privacidade nos casos de vazamento de dados, inclusive impondo multas às empresas, bem como ações individuais de pessoas que sentiram sua privacidade desrespeitada pelas empresas.