Neste Dia Internacional da Proteção de Dados, confira 10 perguntas e respostas sobre a aplicação da norma
Por Valor — São Paulo
A Lei Geral de Proteção de Dados (LGPD) foi publicada em agosto de 2018, mas ainda gera dúvidas entre as empresas, que precisam estabelecer políticas de conformidade para tratamento e proteção de dados pessoais de clientes e fornecedores.
No Brasil, violações à lei ainda não têm sido punidas administrativamente. O mercado aguarda a regulamentação, pela Autoridade Nacional de Proteção de Dados (ANPD), dos parâmetros e da forma de cálculo para aplicação das sanções previstas na lei. No Judiciário, a maioria dos processos ainda acaba sem condenação judicial.
No exterior, contudo, empresas têm sido acionadas na esfera administrativa para responder por questões triviais no uso de dados, o que, segundo advogados, pode antecipar uma tendência para o Brasil quando as fiscalizações pela ANPD efetivamente começarem.
Abaixo, o advogado Paulo Lilla, sócio da prática de https://sindeprestem.com.br/wp-content/uploads/2020/10/internet-cyber-network-3563638-1.jpg, proteção de dados e propriedade intelectual do escritório Lefosse, esclarece dez dúvidas sobre a aplicação da LGPD:
O que é a LGPD e qual seu objetivo?
A LGPD é uma lei promulgada em agosto de 2018, que entrou em vigor em setembro de 2020 e tem como objetivo estabelecer obrigações e direitos para proteger dados pessoais, correspondendo esta proteção a um direito fundamental garantido pela Constituição Federal. A LGPD prevê regras e princípios para que o tratamento de dados pessoais, tanto online como offline, seja realizado de maneira ética e transparente, possibilitando que os indivíduos, definidos pela lei como titulares dos dados, tenham maior controle e visibilidade sobre os fluxos de suas informações pessoais.
A exposição indevida de dados pessoais pode, por exemplo, sujeitar os titulares dos dados a situações de fraude, roubo de identidade ou discriminação, suscetíveis de causar danos materiais ou morais. Portanto, a LGPD impõe regras para assegurar que o tratamento dos dados seja feito de forma responsável e dentro da legalidade.
O que são “dados pessoais”?
A LGPD define dado pessoal como qualquer informação relacionada à pessoa natural identificada ou identificável. Assim, dado pessoal corresponde a qualquer informação que diretamente ou por meio de análise contextual permita identificar um indivíduo. Dados pessoais incluem, por exemplo, nome, número do RG ou do CPF, data de nascimento, endereço residencial, endereço de e-mail, identificadores eletrônicos como número do IP, dados de geolocalização etc. Essa definição ampla tem como objetivo garantir maior proteção ao titular dos dados.
Importante destacar que dados de pessoa jurídica, como o CNPJ, não configuram dados pessoais, a não ser quando vinculados a um indivíduo (como a razão social de microempreendedor individual – MEI, que se confunde com a identidade do empresário).
O que são “dados pessoais sensíveis”?
Dado pessoal sensível é uma categoria especial de dados pessoais definida na LGPD. O conceito engloba dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
A LGPD apresenta regras específicas relacionadas a esta categoria de dados, na medida em que podem sujeitar o titular a algum tipo de discriminação.
Importante destacar que, ao contrário do que muitos pensam, dados financeiros, informações de contas bancárias, dados de cartões de crédito etc., não são dados pessoais sensíveis para fins da LGPD, muito embora a exposição desse tipo de informação seja capaz de causar danos materiais severos, tornando o titular mais suscetível a sofrer fraudes e perdas financeiras.
O que é tratamento de dados?
A LGPD define tratamento de dados de maneira bastante abrangente, incluindo toda operação realizada com dados pessoais, incluindo sua coleta, produção, utilização, acesso, reprodução, processamento ou armazenamento.
Assim, vale destacar como exemplos de situações corriqueiras que configuram tratamento de dados: o armazenamento de dados de contato de fornecedores ou clientes, a criação de lista de e-mails, o armazenamento de currículos, a coleta de dados de novos funcionários para a confecção do contrato de trabalho, a coleta e indicação de dados de signatários de contratos, dentre outros.
Quem precisa cumprir a LGPD?
Qualquer pessoa natural ou jurídica, seja de direito público ou privado, cujas atividades envolvam tratamento de dados pessoais, devem cumprir a lei. Isso inclui, por exemplo, empresas atuantes em qualquer setor da economia.
Quem trata dados pessoais é considerado pela LGPD como agente de tratamento, podendo figurar como controlador ou operador dos dados, a depender da atividade desempenhada.
O controlador é aquele a quem compete as decisões referentes ao tratamento de dados pessoais. Por exemplo, uma empresa sempre será controladora dos dados pessoais de seus próprios funcionários. Um varejista será controlador dos dados de seus consumidores.
Já o operador é aquele que realiza o tratamento de dados pessoais em nome do controlador. Por exemplo, o fornecedor de serviços de armazenamento de dados em nuvem será operador, enquanto aquele que o contrata será o controlador dos dados por ele inseridos no serviço de armazenamento. Uma empresa fornecedora de serviços de gestão de folha de pagamentos para terceiros também será qualificada como operador dos dados processados nesta atividade.
Na prática, nem sempre é simples delimitar a atuação de um agente de tratamento como controlador ou operador, dependendo essa definição da ingerência que o agente possui sobre a atividade de tratamento e de seu poder decisório sobre os dados pessoais.
Quando a LGPD não é aplicável?
A LGPD não se aplica quando o tratamento de dados pessoais for realizado por pessoa natural para fins exclusivamente particulares e não econômicos, bem como quando o tratamento dos dados for realizado para fins exclusivamente jornalístico e artísticos, acadêmicos, ou pelo Poder Público, para finalidades de segurança pública, defesa nacional, segurança do Estado e atividades de investigação e repressão de infrações penais. A LGPD também não será aplicável quando os dados tratados não se qualificarem como dados pessoais.
Quem fiscaliza o cumprimento da lei?
A fiscalização da LGPD é realizada pela Autoridade Nacional de Proteção de Dados (ANPD), que também é responsável por elaborar diretrizes e aplicar as sanções administrativas, como multas, em caso de descumprimento da lei. O Ministério Público e os órgãos de proteção e defesa do consumidor também podem fiscalizar o cumprimento da LGPD, mas dentro dos limites de suas competências legais.
Quais são as penalidades que podem ser aplicadas nos casos de descumprimento da LGPD?
Dentre as penalidades aplicáveis, destacamos a pena de multa de até 2% (dois por cento) do faturamento da empresa, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50 milhões por infração.
O que é o Encarregado de proteção de dados (Data Protection Officer – DPO) e quais suas funções?
O Encarregado (ou DPO) é a pessoa indicada pelo controlador ou operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Trata-se da pessoa que será responsável pelo tema da proteção de dados dentro da organização.
Dentre as atribuições do Encarregado, destacamos: (i) receber reclamações ou solicitações dos titulares dos dados, prestar esclarecimentos e adotar providências; (ii) receber comunicações da ANPD e adotar providências; (iii) orientar os funcionários e os contratados da entidade a respeito das práticas a serem adotadas em relação à proteção de dados pessoais; e (iv) executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Quais medidas devem ser adotadas para assegurar a conformidade com a LGPD?
A conformidade à LGPD é um processo bastante desafiador e sua complexidade depende do nível de risco a que a organização está exposta, o que pode ser medido por fatores como o volume de dados tratados, se há tratamento de dados pessoais sensíveis, se são utilizadas https://sindeprestem.com.br/wp-content/uploads/2020/10/internet-cyber-network-3563638-1.jpgs invasivas, além do porte e setor de atuação da organização, dentre outros fatores.
Em qualquer situação é recomendável a criação de um programa de governança em proteção de dados, liderado pelo Encarregado ou DPO, de modo a implementar medidas técnicas e jurídicas para que a organização possa assegurar o tratamento adequado e lícito dos dados pessoais necessários para sua oepração, além de ser capaz de demonstrar sua conformidade (atendendo ao princípio legal da prestação de contas ou accountability).
Dentre as medidas de adequação indispensáveis para a criação de um programa de conformidade com a LGPD, destacamos:
mapeamento das atividades de tratamento e inventário de dados pessoais;
identificação dos riscos das atividades de tratamento;
criação de uma estrutura de governança em proteção de dados, com nomeação do Encarregado de proteção de dados;
preparação do registro das atividades de tratamento mapeadas;
elaboração de relatórios de impacto à proteção de dados para as atividades que envolvam maiores riscos;
elaboração de políticas ou avisos de privacidade destinadas a informar os titulares dos dados (público interno e externo) sobre como a organização trata seus dados pessoais;
elaboração de política interna de retenção e descarte dos dados;
criação de mecanismos para possibilitar que os titulares dos dados pessoais possam ter acesso aos seus dados e exercer seus direitos conforme previstos na LGPD (ex., direito de acesso aos dados; de correção de dados incompletos, inexatos ou desatualizados; de eliminação, bloqueio ou anonimização dos dados; revogação do consentimento; direito de oposição; portabilidade dos dados; dentre outros);
implementação de medidas de segurança técnicas e administrativas para proteger os dados contra acessos indevidos ou ilícitos; e
criação de um plano de resposta a incidentes de segurança da informação envolvendo dados pessoais.
Além dessas e outras medidas, conforme o caso, é muito importante realizar treinamentos de conscientização para a alta administração, funcionários e demais pessoas que lidam com dados pessoais em suas rotinas. Os treinamentos são indispensáveis para garantir a efetividade de um programa de conformidade.