O QUE É A LGPD?
A Lei Geral de Proteção de Dados, conhecida por sua sigla, LGPD, é o marco regulador da proteção dos dados pessoais. Com forte influência e inspirada no GDPR europeu, norma que também regula a proteção de dados dos cidadãos da comunidade europeia, a LGPD estabelece padrões e condições para o tratamento de dados pessoais.
O QUE SÃO DADOS PESSOAIS?
São dados pessoais todos aqueles relacionados a uma pessoa natural que permitam identificá-la, individualizá-la. Assim, o leque de dados classificáveis como pessoais é bastante extenso. Informações como endereço, CPF e dados de outros documentos pessoais, como título de eleitor e cédula de identidade, fotos, números de telefone, de protocolo de internet e de cartão de crédito, dados de conta bancária, e-mail, e outros tantos dados que permitem identificar uma pessoa são todos abrangidos pela LGPD.
O tratamento de todos esses dados, salvo exceções trazidas pela LGPD, exige o consentimento do seu proprietário, o titular do dado pessoal. O referido consentimento deverá ser claro, inequívoco e livremente apresentado.
O QUE SÃO DADOS PESSOAIS SENSÍVEIS?
É importante ter em mente que a LGPD fala em dados pessoais sensíveis, que são todos aqueles que, de alguma maneira, representam informações consideradas críticas e cujos impactos de sua exploração são efetivamente sensíveis.
A LGPD traz uma lista do que seriam dados sensíveis o dado pessoal sobre origem racial ou étnica; convicção religiosa; opinião política; filiação a sindicato ou a organização de caráter religioso, filosófico ou político; referente à saúde ou à vida sexual, genético ou biométrico, quando vinculado a uma pessoa natural.
Para o tratamento desses dados, salvo exceção prevista na LGPD, o consentimento deverá ser específico, destacado e com finalidade devidamente delimitada.
A LGPD REGULA APENAS DADOS PESSOAIS ONLINE?
Esse talvez seja um dos maiores equívocos daqueles impactados pela LGPD. Ao contrário do que muitos creem ou querem crer, a LGPD regula todo tipo de tratamento de dados pessoais. Os tratamentos por meio digital, impresso, on-line ou off-line, todos estão sob a tutela da LGPD e devem se ajustar às suas regras.
Por isso, mesmo empresas de setores tradicionais que possuem pouco contato com plataformas eletrônicas são igualmente impactadas. Áreas de vendas, Recursos Humanos, Marketing, TI, facilities: todas e outras tantas são potenciais tratadoras de dados pessoais em volumes que podem surpreender.
O QUE É TRATAR UM DADO?
Tratamento de dado são todas as operações realizadas que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação; modificação, comunicação, transferência, difusão ou extração do dado pessoal. Em resumo, qualquer contato com dados pessoais, ainda que transitório, poderá ser considerado tratamento desses dados.
QUEM PODE FISCALIZAR O CUMPRIMENTO DA LGPD?
A LGPD traz a figura da autoridade nacional de proteção de dados, que estará vinculada à presidência da república e possuirá autonomia técnica de atuação.
A autoridade terá um Conselho Nacional formado por 23 membros, dentre eles conselheiros nomeados por Executivo, Câmara, Senado e outros setores no meio de empresas da iniciativa privada.
A autoridade terá escritórios administrativos que estarão incumbidos de fazer valer a LGPD.
Fundamental é ter em mente, porém, que a proteção de dados possui diversas facetas e passa por diversas áreas legais, como relações de consumo, de trabalho e mesmo concorrenciais.
Nessa linha, o efetivo cumprimento da LGPD poderá ser fiscalizado, entre outros, pelo Ministério Público do Trabalho e estaduais, pelos Procons e, sobretudo, pelos próprios usuários titulares dos dados pessoais.
QUAIS PENALIDADES PODEM SER APLICADAS?
As penalidades aplicadas variam conforme critérios estabelecidos pela LGPD e podem variar desde uma advertência, com indicação de prazo para adoção de medidas corretivas, até a aplicação de multa que pode alcançar o valor de R$ 50 milhões.
A norma determina, ainda, que poderão ser aplicados como penas multas diárias; obrigação de publicização da infração após devidamente apurada e confirmada a sua ocorrência; bloqueio dos dados pessoais a que se refere a infração até a sua regularização; eliminação dos dados pessoais da vítima relacionada à infração.
A intensidade da pena aplicável terá como referência:
A gravidade e a natureza das infrações e dos direitos pessoais afetados;
- A boa fé do infrator;
- A vantagem auferida ou pretendida pelo infrator;
- A condição econômica do infrator;
- A reincidência;
- O grau do dano;
- A cooperação do infrator;
- A adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados;
- A adoção de política de boas práticas e governança;
- A pronta adoção de medidas corretivas;
- A proporcionalidade entre a gravidade da falta e a intensidade da sanção.
QUANDO A LGPD ENTRA EM VIGOR?
Inicialmente prevista para entrar em vigor em fevereiro de 2020, a LGPD será oponível a partir de agosto de 2020; essa prorrogação foi obtida a partir de Medida Provisória, que institucionalizou a autoridade nacional.
Até lá, empresas que tratam dados pessoais terão de adotar todas as práticas necessárias para o ajuste às regras da LGPD.
O QUE DEVO FAZER PARA ME ADEQUAR?
Há muito a ser feito para se adequar à LGPD, sobretudo porque seu cumprimento será sempre multissetorial e dependerá de múltiplas áreas de uma empresa.
Um bom começo é criar uma comissão envolvendo todos os profissionais de todas as áreas impactadas pela legislação ou de alguma forma responsáveis pelo tema.
Assim, será mais factível mapear o fluxo de dados pessoais existentes na empresa, o que permitirá a adoção das demais medidas estratégicas, as quais envolvem, dentre outros fatores, a revisão de contratos com fornecedores, a estruturação de políticas de privacidade e a adoção de ajustes tecnológicos para adequação à LGPD.
PEQUENAS E MÉDIAS EMPRESAS SERÃO IMPACTADAS?
É inquestionável que sim. Serão impactadas sobretudo empresas usualmente fiscalizadas pelos Procons e pelos Ministérios Públicos.
Isso sem falar naquelas empresas contratadas por outras para exercer atividades que, de alguma forma, possam ser caracterizadas como tratamento de dados pessoais.
Em resumo, independentemente do porte ou setor de atuação, empresas serão impactadas.
Fale conosco e entenda como podemos ajudar a sua área de TI!
Fonte: Lima Junior Advogados