Selecionar Categoria
3

Principais aspectos da Lei Geral de Proteção de Dados

Em 15 de agosto de 2018 foi publicada a lei geral de proteção de dados brasileira, Lei no. 13.709, inspirada na legislação europeia do GDPR (General Data Protection Regulation) que entrou em vigor no último 25 de maio de 2018 e outras legislações mundiais.

Qual o objetivo da Lei Geral de Proteção de Dados?

O objetivo da Lei Geral de Proteção de Dados é regulamentar o tratamento de dados pessoais por pessoas ou entidades do setor privado ou público. Inclusive nos meios digitais, de consumidores, empregados, independente do país da sede ou no qual os dados estejam localizados. Com o propósito de proteger a liberdade, a privacidade e o livre desenvolvimento da pessoa natural. A Lei Geral de Proteção de Dados se aplica sempre que o tratamento seja realizado no território nacional. Tenha por objetivo a oferta/fornecimento de bens/serviços ou o tratamento de dados de indivíduos localizados no território nacional. Ou os dados pessoais tenham sido coletados no território nacional.

O que são dados pessoais? O que são dados pessoais sensíveis?

Os dados pessoais são as informações relacionada ao titular, que pode ser a pessoa natural identificada ou identificável, podendo incluir nome, endereço, e-mail, idade, estado civil e situação patrimonial, obtido em qualquer tipo de suporte (papel, eletrônico, informático, som e imagem, etc).

Os dados sensíveis são aqueles dados pessoais sobre a origem racial ou étnica, as convicções religiosas, as opiniões políticas, a filiação a sindicatos ou a organizações de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural.

Quais são os principais direitos dos titulares dos dados? E no caso de dados de criança, quais os cuidados adicionais?

O titular dos dados deverá ser informado sobre a finalidade do tratamento de seus dados, forma e duração, controlador, compartilhamento dos dados, responsabilidades das entidades detentoras dos dados e os direitos do titular, que deverão ser disponibilizadas de forma clara, adequada e ostensiva.

Os titulares dos dados pessoais tem direito a obter do controlador (i) confirmação de tratamento; (ii) acesso aos dados no prazo de até 15 dias do requerimento; (iii) correção de dados; (iv) anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou não tratados de maneira legítima; (v) portabilidade dos dados; (vi) eliminação dos dados, ainda que fornecidos com consentimento prévio; (vii) informações dos compartilhamentos de dados; (viii) informações sobre a possibilidade de não fornecer o consentimento e suas consequências; (ix) revogação do consentimento; (x) revisão de decisões tomadas unicamente com base em tratamento automatizado, incluindo definição de perfil pessoal, profissional, de consumo, de crédito ou os aspectos de sua personalidade.

O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou responsável legal. Somente poderão ser coletados dados pessoais de crianças sem o consentimento quando for necessário para contatar os pais ou responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiros sem o consentimento. A participação em jogos e aplicações de internet não poderá ser condicionada ao fornecimento de informações pessoais além das estritamente necessárias.

Quem são as empresas afetadas pela Lei Geral de Proteção de Dados? Apenas as empresas de tecnologia?

A Lei Geral de Proteção de Dados não afeta apenas as empresas de tecnologia. Ela afeta todas as empresas que tratem dados pessoais. A Lei Geral de Proteção de Dados caracterizou os agentes de tratamento. Eles podem ser tanto pessoa natural como jurídica, de direito público ou privado, como o controlador, a quem competem as decisões referentes ao tratamento de dados pessoais; e o operador, que realiza o tratamento de dados pessoais em nome do controlador, nos mesmos moldes do GDPR.

Quando as empresas podem tratar os dados pessoais legalmente? E os dados sensíveis?

Os agentes de tratamento poderão tratar dados pessoais (i) com o consentimento do titular; (ii) para cumprir obrigação legal do controlador do tratamento; (iii) para o tratamento e uso compartilhado para execução de políticas públicas, nos casos de administração pública; (iv) para a realização de estudos por órgão de pesquisa, desde que anonimizados; (v) para a proteção da vida ou da incolumidade física do titular ou de terceiro; (vi) para a tutela da saúde, desde que realizada por profissionais do setor; (vii) para a execução ou pré-execução de um contrato com o titular; (viii) para pleitos em processos judicial, administrativo ou arbitral; (ix) interesses legítimos do controlador, desde que não afetem direitos e liberdades fundamentais; (x) para a proteção do crédito.

O tratamento dos dados pessoais sensíveis são vedados, exceto mediante o consentimento específico e em destaque, pelo titular, para finalidades específicas; ou, sem consentimento, quando for indispensável para: (i) o controlador cumprir uma obrigação legal; (ii) a administração pública executar políticas públicas; (iii) órgão de pesquisa realizar estudos, mediante anonimização; (iv) exercício regular de direitos como em contratos, processos judiciais, administrativos ou arbitrais; (v) proteção da vida ou da incolumidade física do titular ou de terceiro; (vi) tutela da saúde, desde que realizado por profissionais da área; ou (vii) garantia da prevenção à fraude e à segurança do titular.

Quais são os cuidados que as empresas devem tomar ao obter o consentimento?

O consentimento deverá ser realizado para finalidades específicas, não podendo ser genérico, mas pode ser realizado por qualquer meio que demonstre a manifestação de vontade do titular, desde que conste em cláusula destacada das demais. Além disso, o consentimento poderá ser revogado a qualquer momento, mediante manifestação expressa do titular, mediante procedimento gratuito e facilitado.

Caberá ainda ao controlador do tratamento dos dados o ônus da prova de que o consentimento foi obtido. Entretanto, estará dispensado o consentimento quando os dados forem tornados manifestamente públicos pelo titular.

Os contratos de adesão podem vincular o uso do serviço com o fornecimento de dados pessoais?

Nos contratos de adesão o tratamento de dados pessoais pode ser condição para o fornecimento de produto/serviço, desde que o titular dos dados seja informado com destaque sobre isso.

As empresas podem transferir dados para fora do país?

Os dados pessoais podem ser transferidos para fora do país somente quando: (i) os países possuam grau de proteção de dados pessoais compatível com a lei brasileira; (ii) o controlador comprovar as mesmas garantias previstas na Lei Geral de Proteção de Dados, por meio de: a) cláusulas contratuais específicas para uma determinada transferência; b) cláusulas-padrão contratuais; c) normas corporativas globais; d) selos, certificados e códigos de conduta regularmente emitidos; (iii) for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução; (iv) for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro; (v) a autoridade nacional autorizar a transferência; (vi) for decorrente de acordo de cooperação internacional; (vii) for necessária para execução de política pública ou atribuição legal do serviço público; (viii) o titular tiver fornecido o seu consentimento específico e em destaque; ou (xi) necessário para cumprimento de obrigação legal, execução de um contrato ou exercício regular de um direito em processos.

Quais as penalidades e responsabilidade de quem não cumprir a Lei Geral de Proteção de Dados?

Quem não cumprir a Lei Geral de Proteção de Dados ficará sujeito as penalidades de advertência. São elas: multa de até 2% (dois por cento) do faturamento, limitada a R$ 50 milhões por infração, publicização da infração, bloqueio ou eliminação dos dados.

O controlador do tratamento de dados que causar dano patrimonial, moral, individual ou coletivo, é obrigado a reparar, estando ainda sujeito a inversão do ônus da prova a favor do titular dos dados e a solidariedade com o operador, quando diretamente envolvido no tratamento. O operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador

Para se eximir de responsabilidade sobre o tratamento as empresas deverão provar que: (i) não realizaram o tratamento de dados pessoais que lhes é atribuído; (ii) não houve violação à legislação de proteção de dados, ainda que tenham realizado o tratamento; ou (iii) o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.

Como as empresas precisam se preparar?

Listamos abaixo os principais pontos de atenção que as empresas precisam avaliar em suas operações de tratamento de dados pessoais:

Relatório de Impacto à Proteção de Dados

O controlador do tratamento dos dados terá que produzir o relatório de impacto à proteção de dados pessoais (similar ao DPIA do GDPR). Inclusive de dados sensíveis, referente às suas operações, mediante solicitação da autoridade nacional. Este relatório deverá conter descrições específicas. São elas: processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais. Incluindo tipos de dados coletados e a metodologia utilizada para a coleta. Garantia da segurança das informações e a análise do controlador com relação as medidas, salvaguardas e mecanismos de mitigação de risco adotados.

Registro do tratamento:

As empresas deverão manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse. A autoridade nacional poderá dispor sobre padrões de interoperabilidade para fins de portabilidade, livre acesso aos dados e segurança, assim como sobre o tempo de guarda dos registros, tendo em vista especialmente a necessidade e a transparência.

Encarregado pelo Tratamento de Dados Pessoais

: A regra geral foi que as empresas deverão indicar um encarregado pelo tratamento de dados pessoais. Entretanto, a autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados. Nos casos em que o encarregado tiver que ser nomeado, a empresa deverá fornecer a sua identidade e as informações de contato publicamente, preferencialmente no seu website. Este será responsável por: (i) aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; (ii) receber comunicações da autoridade nacional e adotar providências; (iii) orientar os funcionários e os contratados sobre as normas de proteção de dados pessoais; e (vi) executar as demais atribuições determinadas pela empresa ou normas complementares.

Segurança:

As empresas deverão verificar se o tratamento de dados pessoais está sendo realizado de maneira segura. Em razão do modo pelo qual é realizado, do resultado e os riscos que razoavelmente dele se esperam. Ou das técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas específicas. Elas precisam estar aptas a proteger os dados pessoais de acessos não autorizados.

Precisam contemplar também situações acidentais ou ilícitas de destruição. Perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. As empresas deverão adotar regras de segurança na fase de concepção do produto ou do serviço até a sua execução (by design). Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança. Deverão atender também aos padrões de boas práticas e de governança, aos princípios gerais previstos na Lei Geral de Proteção de Dados e às demais normas regulamentares (by default).

Comunicação de vazamento:

O controlador deverá comunicar a autoridade nacional E ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. Fica o prazo de comunicação a ser definido pela autoridade nacional. A divulgação pública do fato em meios de comunicação poderá ser determinada pela autoridade nacional. De acordo com a gravidade do incidente, podendo ainda determinar medidas para reverter ou mitigar os efeitos do incidente.

Auto regulação de Boas Práticas e da Governança

: Os agentes de tratamento de dados pessoais poderão formular regras de boas práticas e de governança. É importante que elas estabeleçam as condições de organização e o regime de funcionamento. Precisam contemplar também os procedimentos. Incluem-se reclamações e petições de titulares, as normas de segurança e os padrões técnicos. As obrigações específicas para os diversos envolvidos no tratamento e as ações educativas. Os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

Dentre as normas de boas práticas os agentes de tratamento deverão elaborar e seguir um Programa de Governança em Privacidade efetivo que: (i) contenha demonstração do comprometimento do controlador com a proteção de dados; (ii) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo em que se realizou sua coleta; (iii) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados; (iv) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade; (v) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular; (vi) esteja integrado à sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos; (vii) conte com planos de resposta a incidentes e remediação; e (viii) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas.

Quem é a autoridade nacional e quando vai ser instituída?

Esse foi um dos aspectos mais polêmicos da nova legislação. A autoridade nacional de proteção de dados foi vetada na promulgação da Lei Geral de Proteção de Dados. Ficando, assim, para ser instituída por ato apartado do executivo. Sem a autoridade nacional, ficam prejudicados muitos aspectos da Lei Geral de Proteção de Dados. Ela é parte essencial para que os direitos e garantias dos cidadãos. Ela é importante para que seus dados sejam efetivamente implementados e monitorados. Além disso, a autoridade seria extremamente importante para a definição de novas políticas. Além disso, seria importante para padronização de fiscalização e evitar a judicialização das questões envolvendo proteção de dados. Crucial para resolução de conflitos e uniformização dos direitos.

Quando entra em vigor a Lei Geral de Proteção de Dados?

As novas regras só passarão a viger depois de 18 meses, contados de 15 de agosto de 2018, para que órgãos, empresas e entidades se adaptem.

3 comments on Principais aspectos da Lei Geral de Proteção de Dados

  1. Edison Fontes. disse:

    Excelente resumo da Lei. Obrigado por compartilhar. Cordialmente. Edison Fontes.

  2. Jiri Trnka disse:

    A PK fornece consultoria de implementação da LGPD?

  3. This Article disse:

    Thanks for the terrific article

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Scroll to top