Lei Geral de Proteção de Dados - LGPD

Atualmente muito se fala sobre LGPD, mas poucos sabem a fundo os conceitos e detalhes a cerca deste assunto, irei então, abordar alguns pontos que considero importantes.

Conceito:

A lei define o que são dados pessoais e explica que alguns deles estão sujeitos a cuidados ainda mais específicos, como os dados pessoais sensíveis e dados pessoais sobre crianças e adolescentes. Esclarece ainda que todos os dados tratados, tanto no meio físico quanto no digital, estão sujeitos à regulação.

É considerado Titular a pessoa física que forneceu os dados a determinada empresa (detentor dos direitos).

Objetivo:

Proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, aplicando-se a qualquer empresa ou pessoa que realiza tratamento de dados pessoais e, território nacional para fins comerciais, independentemente dos meios utilizados para o processamento (físico ou digital). Para fiscalizar e aplicar penalidades pelos descumprimentos da LGPD, o Brasil conta com a Autoridade Nacional de Proteção de Dados Pessoais, a ANPD.

Atores da LGPD:

A instituição terá as tarefas de regular e de orientar, preventivamente, sobre como aplicar a lei. No entanto, não basta a ANPD (Lei nº 13.853/2019) e é por isso que a Lei Geral de Proteção de Dados Pessoais também prevê a existência dos atores de tratamento de dados e estipula suas funções, nas organizações, como:

• Controlador: toma as decisões sobre o tratamento, conforme o disposto no art. 5º., VI, é “a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”;
• Operador: realiza o tratamento, em nome do controlador, “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”;
• Encarregado: interage com os titulares dos dados pessoais e a autoridade nacional, “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.

A LGPD também prevê a possibilidade de a pessoa natural a quem se referem os dados pessoais requerer informações como a confirmação da existência de tratamento dos seus dados pessoais, o acesso aos dados, a correção de dados incompletos, a eliminação de dados desnecessários e a portabilidade de dados pessoais a outro fornecedor de produtos e serviços.

Autoridade Nacional de Proteção de Dados (ANPD): 

Órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional, suas funções são:

• Zelar pela proteção dos dados pessoais, nos termos da lei;
• Elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
• Fiscalizar e aplicar sanções em caso de violação da lei;
• Editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade.

Criada pela Lei 13.853/2019 sua estrutura foi definida pelo Decreto 10.474/2020.

Princípios

1. Finalidade: Realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.
2. Adequação: Compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento”.
3. Necessidade: Limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.
4. Livre Acesso: Garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.
5. Qualidade dos Dados: Garantia ao titulares de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.
6. Transparência: Garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial.
7. Segurança: Utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
8. Prevenção: Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.
9. Não Discriminação: Impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos.
10. Responsabilização e Prestação de Contas: Demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Consentimento do titular:

• Autorização do titular para utilização de seus dados pessoais;
• Manifestação livre, informada e inequívoca;
• Pode revogar esse consentimento a qualquer momento.

Cumprimento de Obrigação legal ou regulatória:

Se uma lei ou regulamento exigir o tratamento de dados pessoais, ele pode ser realizado para cumprir a exigência legal sem a necessidade de autorização do titular.

Execução de contrato:

O tratamento dos dados pessoais é realizado para possibilitar o cumprimento de um contrato.

Exercício regular de direitos:

O tratamento de dados pessoais pode ser utilizado em eventual processo judicial.

Legítimo interesse:

Hipótese mais abrangente prevista na LGPD. Não é estabelecido na LGPD as situações que configuram legítimo interesse para tratamento dos dados pessoais.

Avaliar as seguintes hipóteses:

• Identificar para que finalidades o tratamento será realizado e sua legitimidade;
• Verificar se é necessário realizar o tratamento do dado para alcançar a finalidade desejada;
• Balancear o interesse legítimo do tratamento com direitos e liberdades do titular.

Casos especiais para a LGPD:

Tratamento de dados de crianças e adolescentes, é necessário do consentimento de um dos pais, pois este é o responsável e representante legal dos mesmos.

Sanções:

• Multa simples de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 por infração;
• Multa diária, observado o limite total segundo a lei;
• Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
• Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
• Eliminação dos dados pessoais a que se refere a infração;
• Suspensão parcial do funcionamento do banco de dados a que se refere à infração pelo período máximo de 6 meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
• Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere à infração pelo período máximo de 6 meses, prorrogável por igual período;
• Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Todas estas sanções acima descritas podem ser aplicadas de forma gradativa, isolada ou cumulativa de acordo com a gravidade da infração e os seguintes critérios:

• Gravidade e a natureza das infrações e dos direitos pessoais afetados;
• Boa-fé do infrator;
• Vantagem auferida ou pretendida pelo infrator;
• Condição econômica do infrator;
• Reincidência;
• Grau do dano causado;
• Cooperação do infrator após a infração;
• Adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, de acordo com a lei;
• Adoção de política de boas práticas e governança;
• Adoção de medidas corretivas;
• Proporcionalidade entre a gravidade da falta e a intensidade da sanção.

Direitos do titular:

• Confirmação da existência de tratamento;
• Acesso aos dados;
• Correção de dados incompletos, inexatos ou desatualizados;
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
• Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da Autoridade Nacional, observados os segredos comercial e industrial;
• Eliminação dos dados pessoais tratados com o consentimento do (a) titular, exceto nas hipóteses previstas no art. 16 da Lei;
• Informação das entidades públicas e privadas com as quais o Controlador realizou uso compartilhado de dados;
• Informação sobre a possibilidade de não fornecer consentimento e sobre consequências da negativa;
• Revogação do consentimento, nos termos do § 5.º do art. 8.º da Lei.

Portanto, podemos analisar que a LGPD tem o propósito de proteção ao individuo. Dando liberdade e controle de seus dados pessoais e sensíveis, e limitando praticas abusivas de corporações. Ainda temos muito a corrigir e aprender quando falamos destas práticas aplicadas a empresas, algumas vezes por ignorância, mas também existem os casos que a conduta é proposital, e aceitam assumir os riscos. Espero que este guia sirva para esclarecer os pontos mais importantes e que, de alguma forma, traga mais controle sobre um dos nossos bens mais valiosos na era da informação, nossos dados.