A Lei Geral de Proteção de Dados – LGPD tem como principal objetivo regular a coleta e o processamento de dados pessoais, para evitar violações à privacidade das pessoas.

Com a criação da Lei, o Brasil segue uma tendência mundial, colocando-se em posição de igualdade a muitos países que já possuem marco legal definido sobre o tema, como a General Data Protection Regulation, ou GDPR, da União Europeia, que entrou em vigor em maio de 2018.

Mas o que são estes dados pessoais, considerados na LGPD?

São quaisquer informações que possam levar à identificação de uma pessoa, de maneira direta ou indireta. Assim, podem ser:

– dados cadastrais, como nome, e-mail, CPF, telefone, endereço, entre outros;

– dados sensíveis, que são aqueles relacionados à religião, preferências políticas, comportamento sexual, situação de saúde; ou ainda

– dados biométricos.

Primeiro, é importante salientar que a LGPD se aplicará a todas as empresas, sejam elas públicas ou privadas, que tratem dados pessoais, ou seja, coletem, armazenem, compartilhem ou excluam tais informações, inclusive nos meios digitais. O mesmo valerá para pessoas físicas que exerçam essas atividades.

A Autoridade Nacional de Proteção de Dados, ou ANPD, é o órgão que foi criado para fiscalizar a aplicação da LGPD no Brasil e que poderá definir, futuramente, regulamentações específicas para diferentes setores e tamanhos de empresas.

Porém, de modo geral, todas as empresas ou pessoas físicas que tratam dados precisarão ter uma base legal para isso, ou seja, somente poderão fazê-lo com o consentimento do titular do dado.

No caso de dados de menores de idade, será necessário o consentimento dos pais ou responsáveis legais.

Caso não haja consentimento do Titular sobre o tratamento de seus dados pessoais, esta prática só será permitida se estas informações forem indispensáveis para cumprir alguns critérios.

Veja a seguir:

– Cumprimento de Obrigação Legal;

– Execução de Políticas Públicas;

– Estudos por Órgão de Pesquisa;

– Execução de contrato / diligências pré contratuais;

– Exercício Regular de Direitos;

– Proteção da Vida;

– Tutela da Saúde; e

– Proteção ao Crédito;

Caso esta prática não esteja enquadrada em nenhum dos dois casos, ou seja, não possua consentimento do Titular ou não esteja cumprindo critérios legais, ainda será permitido tratar dados, desde que seja comprovado aquilo que a LGPD define como Legítimo Interesse. Veja um exemplo abaixo:

– Para garantir a segurança dos moradores, pode ser de legítimo interesse de um condomínio, captar e guardar imagens de pessoas que por ali circulam, por meio de câmeras de segurança. Desta forma, neste caso específico, não haveria necessidade de solicitar autorizações dos indivíduos filmados.

Porém, estes dados precisam ser tratados e armazenados com zelo e segurança.

Para isso acontecer, também será necessário que haja uma comunicação explícita e transparente, alertando que o ambiente está sendo gravado; ressaltando a finalidade da ação; e garantindo o armazenamento seguro e a eliminação das imagens após o período legal de retenção.

Por fim, vale dizer que a LGPD possuirá abrangência extraterritorial e que o compartilhamento de dados poderá ser feito com outros países que também possuam leis de proteção de dados.

A LGPD garantirá que os Titulares possam:

– Solicitar acesso aos dados armazenados;

– Pedir retificação dos dados inexatos, desatualizados ou incompletos;

– Solicitar anonimização, bloqueio ou eliminação dos dados desnecessários ou tratados ilicitamente;

– Exigir a exclusão completa dos dados;

– Pedir a portabilidade de seus dados a outras empresas;

– Questionar com quais entidades o controlador compartilhou seus dados;

– Revogar, a qualquer momento, o seu consentimento; entre outros direitos, todos gratuitos.

Due Diligence

O processo de Due Diligence é realizado para se obter a informação necessária a fim de mensurar a exposição do Instituto à LGPD.

Foram feitos mapeamentos e identificação dos dados trafegados no Instituto, sejam eles pessoais, sensíveis, de menores de idade, etc; em quais meios, físico ou digital, estão estes dados; quais departamentos do Economus estão envolvidos no tratamento de dados; quais são os operadores internos e externos, entre outras informações.

Data Protection Officer – DPO

Nomeamos um DPO – Data Protection Officer, que é o encarregado no Economus pelo tratamento dos dados pessoais. Na prática, este profissional será responsável pelas seguintes atividades:

– Recepcionar e atender demandas dos Titulares dos dados;

– Interagir e representar o Instituto junto à ANPD, a Autoridade Nacional de Proteção de Dados, que, como falamos anteriormente, será o órgão fiscalizador da LGPD no Brasil;

– Orientar demais empregados do Economus quanto às práticas de proteção de dados;

– Emitir relatórios de impacto sobre a proteção de dados, sempre que solicitado pela ANPD ou por demais órgãos de Proteção do Consumidor.

Banco de Dados

Para o encarregado realizar seu trabalho e o Economus atender aos critérios da LGPD, haverá a necessidade de criar um banco de dados para controlar todas as solicitações dos Titulares, como: consentimento, acesso, confirmação, anonimização, portabilidade, entre outras. Este banco precisará contar com diversas medidas de segurança para garantir a proteção dos dados, com a finalidade de evitar acessos não autorizados e vazamentos acidentais ou ilícitos.

Paralelamente, serão criadas regras de boas práticas, que estabeleçam procedimentos, normas de segurança, políticas e ações educativas de prevenção de riscos no tratamento de dados pessoais.

Processo de auditoria sobre o tratamento de dados

Por fim, para garantir que todas as obrigações estão sendo cumpridas e que a atuação do Economus estará aderente à LGPD, haverá um processo de auditoria sobre o tratamento de dados, que fiscalizará todo o processo.

Mesmo diante de todas estas medidas e precauções, caso ainda ocorra algum incidente, que possa acarretar risco ou dano, o Economus também será obrigado a desenvolver um plano de Comunicação.

Este plano deverá ser endereçado ao órgão fiscalizador e à imprensa, relatando todas as ações adotadas para controle da situação.

Quem determinará as punições será a Agência Nacional de Proteção de Dados – ANPD, que, para isso, levará em consideração alguns aspectos do infrator, tais como:

– Boa-fé;

– Reincidência;

– Condição econômica;

– Cooperação ao adotar medidas imediatas para solucionar o problema;

– Gravidade do dano causado;

– Vantagem obtida ou que se pretendia obter;

– Mecanismos de proteção de dados; e

– Existência de políticas de boas práticas.

Com base nesses quesitos, a ANPD poderá:

– Aplicar advertência, indicando prazo para adoção de medidas corretivas;

– Multar em até 2% do faturamento da Pessoa Jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50 milhões de reais por infração;

– Determinar multa diária, observado o limite do artigo anterior;

– Tornar pública a infração após devidamente apurada e confirmada a sua ocorrência;

– Bloquear os dados pessoais a que se refere a infração até a sua regularização; e, por último,

– Eliminar os dados pessoais a que se refere a infração.

O que é

A Lei Geral de Proteção de Dados – LGPD tem como principal objetivo regular a coleta e o processamento de dados pessoais, para evitar violações à privacidade das pessoas.

Com a criação da Lei, o Brasil segue uma tendência mundial, colocando-se em posição de igualdade a muitos países que já possuem marco legal definido sobre o tema, como a General Data Protection Regulation, ou GDPR, da União Europeia, que entrou em vigor em maio de 2018.

Mas o que são estes dados pessoais, considerados na LGPD?

São quaisquer informações que possam levar à identificação de uma pessoa, de maneira direta ou indireta. Assim, podem ser:

– dados cadastrais, como nome, e-mail, CPF, telefone, endereço, entre outros;

– dados sensíveis, que são aqueles relacionados à religião, preferências políticas, comportamento sexual, situação de saúde; ou ainda

– dados biométricos.

Como ela funcionará

Primeiro, é importante salientar que a LGPD se aplicará a todas as empresas, sejam elas públicas ou privadas, que tratem dados pessoais, ou seja, coletem, armazenem, compartilhem ou excluam tais informações, inclusive nos meios digitais. O mesmo valerá para pessoas físicas que exerçam essas atividades.

A Autoridade Nacional de Proteção de Dados, ou ANPD, é o órgão que foi criado para fiscalizar a aplicação da LGPD no Brasil e que poderá definir, futuramente, regulamentações específicas para diferentes setores e tamanhos de empresas.

Porém, de modo geral, todas as empresas ou pessoas físicas que tratam dados precisarão ter uma base legal para isso, ou seja, somente poderão fazê-lo com o consentimento do titular do dado.

No caso de dados de menores de idade, será necessário o consentimento dos pais ou responsáveis legais.

Caso não haja consentimento do Titular sobre o tratamento de seus dados pessoais, esta prática só será permitida se estas informações forem indispensáveis para cumprir alguns critérios.

Veja a seguir:

– Cumprimento de Obrigação Legal;

– Execução de Políticas Públicas;

– Estudos por Órgão de Pesquisa;

– Execução de contrato / diligências pré contratuais;

– Exercício Regular de Direitos;

– Proteção da Vida;

– Tutela da Saúde; e

– Proteção ao Crédito;

Caso esta prática não esteja enquadrada em nenhum dos dois casos, ou seja, não possua consentimento do Titular ou não esteja cumprindo critérios legais, ainda será permitido tratar dados, desde que seja comprovado aquilo que a LGPD define como Legítimo Interesse. Veja um exemplo abaixo:

– Para garantir a segurança dos moradores, pode ser de legítimo interesse de um condomínio, captar e guardar imagens de pessoas que por ali circulam, por meio de câmeras de segurança. Desta forma, neste caso específico, não haveria necessidade de solicitar autorizações dos indivíduos filmados.

Porém, estes dados precisam ser tratados e armazenados com zelo e segurança.

Para isso acontecer, também será necessário que haja uma comunicação explícita e transparente, alertando que o ambiente está sendo gravado; ressaltando a finalidade da ação; e garantindo o armazenamento seguro e a eliminação das imagens após o período legal de retenção.

Por fim, vale dizer que a LGPD possuirá abrangência extraterritorial e que o compartilhamento de dados poderá ser feito com outros países que também possuam leis de proteção de dados.

Direitos dos titulares dos dados

A LGPD garantirá que os Titulares possam:

– Solicitar acesso aos dados armazenados;

– Pedir retificação dos dados inexatos, desatualizados ou incompletos;

– Solicitar anonimização, bloqueio ou eliminação dos dados desnecessários ou tratados ilicitamente;

– Exigir a exclusão completa dos dados;

– Pedir a portabilidade de seus dados a outras empresas;

– Questionar com quais entidades o controlador compartilhou seus dados;

– Revogar, a qualquer momento, o seu consentimento; entre outros direitos, todos gratuitos.

Obrigações do Economus

Due Diligence

O processo de Due Diligence é realizado para se obter a informação necessária a fim de mensurar a exposição do Instituto à LGPD.

Foram feitos mapeamentos e identificação dos dados trafegados no Instituto, sejam eles pessoais, sensíveis, de menores de idade, etc; em quais meios, físico ou digital, estão estes dados; quais departamentos do Economus estão envolvidos no tratamento de dados; quais são os operadores internos e externos, entre outras informações.

Data Protection Officer – DPO

Nomeamos um DPO – Data Protection Officer, que é o encarregado no Economus pelo tratamento dos dados pessoais. Na prática, este profissional será responsável pelas seguintes atividades:

– Recepcionar e atender demandas dos Titulares dos dados;

– Interagir e representar o Instituto junto à ANPD, a Autoridade Nacional de Proteção de Dados, que, como falamos anteriormente, será o órgão fiscalizador da LGPD no Brasil;

– Orientar demais empregados do Economus quanto às práticas de proteção de dados;

– Emitir relatórios de impacto sobre a proteção de dados, sempre que solicitado pela ANPD ou por demais órgãos de Proteção do Consumidor.

Banco de Dados

Para o encarregado realizar seu trabalho e o Economus atender aos critérios da LGPD, haverá a necessidade de criar um banco de dados para controlar todas as solicitações dos Titulares, como: consentimento, acesso, confirmação, anonimização, portabilidade, entre outras. Este banco precisará contar com diversas medidas de segurança para garantir a proteção dos dados, com a finalidade de evitar acessos não autorizados e vazamentos acidentais ou ilícitos.

Paralelamente, serão criadas regras de boas práticas, que estabeleçam procedimentos, normas de segurança, políticas e ações educativas de prevenção de riscos no tratamento de dados pessoais.

Processo de auditoria sobre o tratamento de dados

Por fim, para garantir que todas as obrigações estão sendo cumpridas e que a atuação do Economus estará aderente à LGPD, haverá um processo de auditoria sobre o tratamento de dados, que fiscalizará todo o processo.

Mesmo diante de todas estas medidas e precauções, caso ainda ocorra algum incidente, que possa acarretar risco ou dano, o Economus também será obrigado a desenvolver um plano de Comunicação.

Este plano deverá ser endereçado ao órgão fiscalizador e à imprensa, relatando todas as ações adotadas para controle da situação.

Sanções

Quem determinará as punições será a Agência Nacional de Proteção de Dados – ANPD, que, para isso, levará em consideração alguns aspectos do infrator, tais como:

– Boa-fé;

– Reincidência;

– Condição econômica;

– Cooperação ao adotar medidas imediatas para solucionar o problema;

– Gravidade do dano causado;

– Vantagem obtida ou que se pretendia obter;

– Mecanismos de proteção de dados; e

– Existência de políticas de boas práticas.

Com base nesses quesitos, a ANPD poderá:

– Aplicar advertência, indicando prazo para adoção de medidas corretivas;

– Multar em até 2% do faturamento da Pessoa Jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50 milhões de reais por infração;

– Determinar multa diária, observado o limite do artigo anterior;

– Tornar pública a infração após devidamente apurada e confirmada a sua ocorrência;

– Bloquear os dados pessoais a que se refere a infração até a sua regularização; e, por último,

– Eliminar os dados pessoais a que se refere a infração.

Documentos Relacionados