top of page
Buscar

Compreendendo a LGPD: Um Guia para Empresários

  • Foto do escritor: Luana Jacudi
    Luana Jacudi
  • 29 de out. de 2023
  • 10 min de leitura

Atualizado: 11 de fev. de 2024



Você já deve ter ouvido falar sobre a Lei Geral de Proteção de Dados – LGPD e suas sanções. Mas você sabe a quem a Lei se aplica, por que se preocupar com a proteção de dados, o que a Lei busca proteger, e se sua empresa está infringindo a Lei, independentemente do tamanho da sua empresa?


Este artigo contém as informações para que você entenda de uma vez por todas o que é a LGPD e porque você deve se preocupar com proteção de dados:


1. O que e para quem é a LGPD?

A Lei Geral de Proteção de Dados – LGPD (Lei n.º 13.709/2018) regula o tratamento:


a) De dados pessoais: qualquer dado que identifique ou possa vir a identificar uma pessoa física viva (nome, endereço, telefone, placa de automóvel etc.)


b) Em meios físicos e digitais: independe se é realizado por meio de manuseio de papel, ou pelo computador/celular, por exemplo.


c) Por pessoa física ou pessoa jurídica, de direito público ou privado: esse tratamento pode ocorrer pelo autônomo, na padaria, no escritório, na clínica, no Tribunal de Justiça, ou na organização multinacional de tecnologia. Para a LGPD não importa o porte da organização. Se há o tratamento de dados pessoais para fins econômicos ou não está entre as exceções previstas na Lei, há a necessidade de seguir as regras da LGPD.


Principal objetivo da Lei: Garantir os direitos fundamentais de liberdade, de privacidade, de intimidade, de vida digna, possibilitando uma vida digna à pessoa humana, sem que seja preciso paralisar a inovação e a tecnologia.

A importância de proteger esses dados vem da mesma ideia da proteção ao domicílio e à privacidade do indivíduo, já que o uso indevido desses dados pode configurar uma violação de direitos básicos previstos na Constituição Federal. Isso porque os dados pessoais dizem respeito à personalidade, sendo a pessoa a quem se refere considerada “dona” – titular – desses dados.


Não existe privacidade sem proteção de dados.


Assim, se você trata algum dado pessoal de pessoa física viva – de seu cliente, paciente, funcionário etc. (prestar um serviço, por exemplo) você precisa se atentar à LGPD.

Sua organização estar adequada à LGPD demonstra que existe a preocupação com a proteção dos direitos das pessoas, ganhando mais credibilidade dos usuários de seus serviços, além de diminuir muito o risco de sofrer sanções administrativas e de ser condenado a pegamento de indenização.

Para entender melhor a Lei, vamos apresentar o significado dos termos mais utilizados a seguir.


2. Glossário

Entenda os principais termos utilizados na Lei:


Autoridade Nacional de Proteção de Dados: Órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.


Agentes de tratamento: São os responsáveis pelo tratamento de dados, e por isso são responsáveis por responder diante das obrigações impostas. Segundo a LGPD, são:

  • Controlador: Pessoa física ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

  • Operador: Pessoa física ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.


A ANPD publicou em maio de 2021 um Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Acesse clicando aqui.


Encarregado de dados (DPO): pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados – ANPD. Além disso, essa é a pessoa que vai auxiliar a organização a adaptar seus processos aos cuidados com a proteção de dados, ficando responsável por orientar os colaboradores e por fazer pareceres sobre os tratamentos.

É um novo cargo que deverá ser criado nas organizações, e é recomendado que essa pessoa indicada tenha conhecimento aprofundado em Proteção de Dados e Segurança da Informação.



Banco de dados: Coleção organizada de dados, estabelecido em um ou vários locais, em suporte eletrônico ou físico. Ou seja, é o conjunto de todos os dados que sua organização trata.


Dado pessoal: Informação que pode ser usada para identificar, contatar ou localizar uma pessoa física viva.

Exemplos:

- Nome;

- RG;

- CPF;

- Telefone;

- Endereço;

- E-mail;

- Localização GPS.


Dado pessoal sensível: Dado pessoal que pode ser utilizado para gerar discriminação/ofensa da pessoa a quem se refere, requerendo mais cuidado em seu tratamento.

Exemplos:

- Origem racial ou étnica;

- Convicção religiosa;

- Opinião política;

- Filiação a sindicato;

- Referente à saúde ou à vida sexual;

- Dado genético ou biométrico.


Finalidade do tratamento: Realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.


Titular de dados: Pessoa física viva a quem se referem os dados pessoais que são objeto de tratamento.


Operações de tratamento: Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Exemplos:

- Criação de um cadastro de cliente onde consta nome, CPF, telefone e endereço;

- Arquivo ou armazenamento de documentos onde consta dados pessoais (documentos em papel físico, arquivado no armário de algum setor da organização; ou arquivos em pastas no computador/pen-drive);

- Envio de documentos onde constam os dados pessoais para outra organização, escritório de contabilidade, escritório de advocacia, ou parceiro econômico, seja em pastas na nuvem compartilhadas ou envio por e-mail/ mensagem em redes sociais/ entrega dos documentos físicos nas mãos de outra pessoa;

- Uso dos dados pessoais para criar perfis de consumidores;

- Exclusão dos dados pessoais (precisam ser feito da maneira correta).




Agora que conhecemos os termos mais utilizados, vamos falar um pouco das regras que a Lei traz e sua organização precisa saber:


3. Direito dos titulares

A LGPD prevê alguns dos direitos do titular, para facilitar o acesso às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e detalhada por quem estiver tratando-os, como:

a) Finalidade específica do tratamento;

b) Forma e duração do tratamento, observados os segredos comercial e industrial;

c) Identificação e contato do controlador;

d) Informações acerca do uso compartilhado de dados pelo controlador e a finalidade;

e) Responsabilidades dos agentes que realizarão o tratamento.


Além dessas informações, o titular poderá requerer diretamente do controlador:

a) Confirmação da existência de tratamento;

b) Acesso aos dados;

c) Correção de dados incompletos, inexatos ou desatualizados;

d) Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;

e) Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;

f) Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses legais;

g) Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

h) Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

i) Revogação do consentimento.


O rol não é pequeno, e são apenas exemplos.

Sua organização precisa fazer o possível para já ter documentadas todas as informações que podem ser solicitadas, pois a lei prevê prazos de 15 dias por exemplo – que é muito pouco tempo, principalmente para a organização que não tenha iniciado um programa de implementação da Lei.


4. Quando se pode tratar dados pessoais?

Caso você queira tratar algum dado pessoal em sua organização, deverá ser com finalidade bem definida e adotar medidas para proteger o dado.


O tratamento de dados pessoais só poderá ser realizado nas seguintes hipóteses:

  1. Consentimento pelo titular;

  2. Cumprimento de obrigação legal ou regulatória;

  3. Execução de Políticas Públicas;

  4. Estudos por órgãos de pesquisa;

  5. Execução de contrato;

  6. Exercício regular de direitos em processo judicial, administrativo ou arbitral;

  7. Proteção da vida ou da incolumidade física do titular ou de terceiro;

  8. Tutela da Saúde;

  9. Legítimo interesse, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;

  10. Proteção do crédito.


Saber quais dados pessoais estão sendo tratados e o porquê, identificando uma dessas bases, é o primeiro passo da adequação.




5. Consentimento não é o caminho

Eu sei que muitos te disseram que, para estar adequada à LGPD, sua empresa precisa coletar o consentimento. MAS NÃO É BEM ASSIM. A Lei Geral de Proteção de Dados - LGPD prevê outras bases legais para o tratamento de dados pessoais, muitas vezes melhores do que o consentimento. Legítimo interesse, execução de contrato, obrigações legais e várias outras bases podem ser aplicáveis, dependendo do contexto. Isso porque: quem consente, deve poder DESconsentir. Além disso, coletar o consentimento e se embasar em outra base legal, de forma a não poder excluir os dados do titular caso ele exerça esse direito, sua empresa não estará só estará violando a Lei, como também estará confundindo o titular. Deve-se escolher apenas uma base legal. Adequar-se à LGPD vai além de simplesmente coletar consentimentos: trata-se de compreender profundamente a natureza dos dados tratados e aplicar a base legal CORRETA. Não limite sua empresa ou exponha-a a riscos desnecessários!




6. Quando a LGPD não se aplica

A Lei prevê alguns casos que a Lei não será aplicada: para fins exclusivamente jornalísticos e artísticos; de segurança pública; de defesa nacional; de segurança do Estado; de investigação e repressão de infrações penais; fins particulares e domésticos (ex.: troca de telefone entre amigos ou ter um backup de fotos sem fins econômicos).

Além disso, a Lei não se aplica a dados pessoais de fora do Brasil.


7. Autoridade Nacional de Proteção de Dados

A Autoridade Nacional de Proteção de Dados – ANPD é o órgão de administração pública federal que tem a competência fazer cumprir a LGPD:

- Fiscalizar e aplicar sanções;

- Apreciar petições de titular contra controlador;

- Editar normas, orientações e procedimentos;

- Promover o conhecimento das normas, políticas públicas e medidas de segurança voltadas para a proteção de dados pessoais.


Com a LGPD é uma novidade legislativa e o tema deve acompanhar as tendências tecnológicas, a ANPD vai auxiliar na interpretação da Lei nos próximos anos, definindo regras novas a serem adotadas e exceções. Importante ficar sempre atento ao portal do órgão.


8. Sanções

Quando não há a adequação à LGPD, os riscos de se ter um dano ao titular é grande. Por isso, na Lei estão previstas sanções que estão valendo desde o de 1º de agosto de 2021. São elas:

  1. Advertência;

  2. Multa simples, de até 2% do faturamento, podendo chegar a R$ 50.000.000, por infração;

  3. Multa diária, observado o limite de R$ 50.000.000,00;

  4. Publicização da infração;

  5. Bloqueio dos dados pessoais até a regularização;

  6. Eliminação dos dados pessoais;

  7. Suspensão parcial do funcionamento do banco de dado, podendo chegar ao período máximo de 6 meses, prorrogável por igual período, até a regularização da atividade de tratamento;

  8. Suspensão do exercício da atividade de tratamento dos dados pessoais pelo período máximo de 6 meses, prorrogável por igual período;

  9. Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.


Apesar de a maior preocupação das empresas é aquilo que toca o dinheiro (aplicação das multas), esta não é a pior das sanções previstas.

Imagine a publicização, com todos os usuários dos serviços da sua organização e seus parceiros econômicos ficando cientes de que a organização não se preocupou em proteger os dados pessoais.


Ou, imagine o tratamento de dados pessoais ser suspenso ou proibido? Se o funcionamento da sua organização se der por conta desse tratamento, significa a paralização da sua atividade econômica.


9. Por que se preocupar agora?

A LGPD estabelece que os agentes de tratamento “devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.

A LGPD requer um novo modelo corporativo, uma verdadeira cultura de Proteção de Dados, exigindo maior atenção a:

  • Governança de dados;

  • Transparência com os titulares de dados;

  • Plano de Incidente de Segurança.


Essa cultura não nasce da noite para o dia. Leva tempo, mas não precisa ser difícil. Com auxílio de profissionais qualificados e treinamentos para a equipe que compõe a organização, o resultado pode ser muito positivo e um diferencial no mercado.


A Autoridade Nacional de Proteção de Dados Pessoais – ANPD já iniciou a fiscalização, mas ainda dá tempo de adequar a sua empresa antes de algum prejuízo. Isso pode ser entendido como um ótimo momento para começar um programa de implementação de proteção de dados o quanto antes.

Invista na prevenção, ela não sai caro!


10. Verdades e mitos


Só o consentimento do titular basta – MITO

É recomendado que o consentimento do titular seja utilizado apenas quando a Lei exigir. Ele não prevalece sobre as outras bases legais. Se utilizado equivocadamente, poderá ser aplicada multa.


A LGDP abrange dados de pessoas falecidas e de Pessoas Jurídicas – MITO

A Lei só se aplica aos dados pessoais de pessoas físicas vivas. Mas não é simples... Se o dado pessoal da pessoa falecida for utilizado para identificar uma pessoa viva, então a LGPD se aplica.


A LGPD também protege dados pessoais armazenados em locais físicos, como uma pasta no escritório - VERDADE

Não importa o lugar do armazenamento, o que importa e deve ser avaliado é: existe tratamento de dados pessoais? Se sim, a Lei se aplica.


A implementação dessa Lei na minha organização será simples e rápida – MITO

O que se busca é implementar uma cultura de proteção de dados. Uma cultura não nasce do dia para o outro. Precisa de muita conscientização, definição clara dos objetivos e dos meios adequados de tratar os dados. Mas isso não significa é que impossível ou precisa ser complexo.


Minha organização é de pequeno porte e por este motivo não preciso me adequar – MITO

Não é o porte da organização que determina ou não a aplicação da Lei. Um escritório onde só exista uma única pessoa tratando os dados, com fins econômicos por exemplo: a LGPD se aplica. Recentemente, houve a flexibilização da Lei para agentes de pequeno porte. Caso a sua organização se encaixe na definição, você poderá realizar um programa de adequação simplificado.


A LGPD permite que os clientes solicitem acesso ou exclusão dos dados armazenados - VERDADE

Como visto acima, muitos são os direitos dos titulares de dados. Eles podem solicitar informações sobre como é realizado o tratamento de seus dados, inclusive pedir acesso aos dados dele coletados, assim como pode solicitar a exclusão (que deverá ser atendido caso não haja motivo claro para manter os dados armazenados, ex.: para cumprimento legal).



Minha empresa presta serviços, sendo operadora, por isso não preciso me preocupar muito com um programa completo de adequação – MITO

Sua empresa pode ser operadora de dados diante de clientes, mas toda empresa é, também, controladora, quando se trata de dados de funcionários e coletados para fins de marketing por exemplo. Por isso, não se iluda: a LGPD se aplica a você tanto quanto se aplica a seus clientes.




Assinatura Luana Jacudi

Comentários

Avaliado com 0 de 5 estrelas.
Ainda sem avaliações
Adicione uma avaliação
bottom of page