Lei Geral de Proteção de Dados LGPD: O que é e como funciona

Nesse artigo, trataremos de alguns conceitos básicos da LGPD para facilitar a compreensão desse relevantíssimo tema.

A Lei Geral de Proteção de Dados – LGPD (Lei 13.709/2018), ainda desconhecida por muitos e que acabou de entrar em vigor, traça as regras aplicáveis a toda e qualquer operação (da coleta até a eliminação) realizada com dados pessoais, em qualquer meio, seja físico ou digital.

Para ficar mais claro, dados pessoais são todas as informações relacionadas apessoas físicas identificadas ou identificáveis (Art. 1º).

A LGPD não regula as operações que envolvam dados de pessoas jurídicas.

Lei Geral de Proteção de Dados e sua aplicação

A LGPD é aplicável quando:

  1. o tratamento de dados é realizado no território nacional;
  2. o tratamento tenha por objetivo a oferta de bens ou serviços no território nacional ou o tratamento de dados de pessoas físicas localizadas no território nacional; e
  3. quando os dados objeto do tratamento sejam coletados no território nacional.

Em contrapartida, a Lei Geral de Proteção de Dados não é aplicável nas hipóteses previstas no art. 4º, por exemplo: operações de tratamento realizadas por pessoa natural para fins exclusivamente particulares e não econômicos ou para fins exclusivamente jornalísticos e artísticos ou acadêmicos, dentre outros.

Assim, se sua empresa realiza qualquer operação com dados pessoais no país e/ou para fornecer bens ou serviços no Brasil, deve adequar-se e, principalmente, cumprir a Lei Geral de Proteção de Dados.

Assim sendo, é importante deixar claro que a LGPD não é aplicável apenas para proteger dados de clientes e/ou consumidores, mas também de colaboradores, prestadores de serviço, fornecedores, parceiros etc. da empresa, o que amplia ainda mais seu âmbito de aplicação.

Requisitos para o tratamento de dados e os princípios da LGPD

A LGPD visa proteger os direitos dos titulares de dados pessoais e, por consequência, evita abusos nas operações de tratamento.

Para garantir essa proteção, a Lei estabelece que o tratamento só pode ocorrer quando enquadrado em ao menos uma das 10 (dez) hipóteses previstas no artigo 7º, como, por exemplo:

  1. Autorização expressa do titular (de forma específica, clara, por escrito ou qualquer outro meio apto a comprovar a permissão do titular);
  2. Quando a operação de tratamento for necessária para cumprir obrigação legal ou regulatória pelo controlador dos dados;
  3. Quando o tratamento for necessário para executar um contrato ou procedimentos preliminares relacionados a contrato do qual o titular dos dados seja parte;
  4. Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
  5. Para a proteção da vida ou da incolumidade física do titular dos dados, ou de terceiro;
  6. Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
  7. Quando necessário para atender aos interesses legítimos do controlador ou de terceiro; e
  8. Para a proteção do crédito.

Em relação aos dados considerados pela Lei Geral de Proteção de Dados como “sensíveis”, ou seja, aqueles relativos a  origem racial ou étnica, convicção religiosa, orientação sexual, dados genéticos ou biométricos, dentre outros, o tratamento é ainda mais restrito e só pode ocorrer nas hipóteses previstas no art. 11, quais sejam, com consentimento do titular e, quando sem consentimento, para cumprir obrigações legais ou regulatórias, exercício regular de direitos, proteção à vida e tutela à saúde, prevenção à fraude e garantia da segurança do titular, dentre outros.

O tratamento de dados pessoais de crianças e de adolescentes está sujeito a algumas outras regras específicas, definidas no art. 14 da LGPD. 

Exige-se, por exemplo:

  1. consentimento específico e, principalmente, dado por ao menos um dos pais ou responsáveis legais;
  2. os controladores têm o dever de manter públicas as informações sobre tipos de dados coletados, sua forma de utilização e procedimentos para exercício de direitos garantidos pela Lei Geral de Proteção de Dados.

Além de enquadradas em alguma das citadas bases legais, as operações de tratamento DEVEM respeitar todas as regras e princípios da Lei (art. 6º), o que significa que devem ser transparentes; ter finalidades específicas, lícitas e claras; ser adequadas à finalidade informada e limitadas aos dados estritamente necessários.

Do mesmo modo, é essencial que os titulares dos dados, não só tenham acesso livre e facilitado às informações sobre o tratamento, como também tenham garantidas a qualidade e a segurança desses dados.

A Lei Geral de Proteção de Dados PROÍBE a realização de tratamento com fins discriminatórios, ilícitos ou abusivos e prevê a possibilidade de responsabilização dos agentes que a descumprirem.

Os Agentes de Tratamento: Controlador e Operador. O Encarregado (Data Protection Officer – DPO)

Além do titular de dados, a quem a lei visa proteger, há duas figuras centrais nas operações de tratamento, os chamados “agentes de tratamento”. São eles:

Controlador: é aquele a quem competem todas as decisões a respeito do tratamento; e o

Operador: é quem realiza as operações em nome do controlador.

Ambos os agentes de tratamento devem cumprir a LGPD, de ponta a ponta, mas o regramento aplicável ao controlador, que decide como os dados serão usados, é mais rigoroso.

Um ponto curioso é que as empresas que atuam como operadoras podem ser, ao mesmo tempo, controladoras. 

Só para exemplificar, uma empresa de telemarketing age como operadora no exercício de suas atividades comerciais, quando contata pessoas em atenção às ordens de outra empresa, que é a controladora dos dados dos clientes; no entanto, essa mesma empresa de telemarketing é considerada controladora dos dados pessoais de seus funcionários, sócios, prestadores de serviços e assim por diante.

Aqueles que são considerados controladores deverão nomear Encarregados, ou Data Protection Officers, que serão os responsáveis por manter o canal de comunicação com os titulares de dados pessoais e a Autoridade Nacional de Proteção Legal – ANPD.

As atividades do Encarregado são elencadas no art. 41, da Lei Geral de Proteção de Dados, com a finalidade de: 

  • aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; 
  • receber comunicações da ANPD e adotar providências; 
  • orientar os funcionários e contratados da empresa a respeito das boas práticas de proteção de dados e executar as demais atribuições definidas pelo controlador.

O Encarregado tem um papel importante no processo de adequação à LGPD e, principalmente, na manutenção da conformidade.

A expectativa é que a ANPD crie alguns critérios objetivos para definir quando será exigido contratar um Encarregado, tais como volume de dados tratados e porte da empresa, por exemplo, até porque a LGPD é consideravelmente omissa nesse ponto.

Além disso, não faria sentido exigir que todas as empresas contem com Encarregados diante dos elevados custos envolvidos.

Direitos dos Titulares segundo a Lei Geral de Proteção de Dados

Os Titulares de Dados Pessoais são o foco da Lei. Isso fica muito claro em diversos dispositivos da LGPD, especialmente no artigo 17, que estabelece que todas as pessoas têm assegurada a titularidade de seus próprios dados e resguardados os direitos fundamentais de liberdade, de intimidade e de privacidade.

Para garantir a eficácia dessa proteção, a LGPD garante aos titulares, por exemplo:

  • acesso facilitado aos dados;
  • o direito de obter confirmação a respeito da existência de operações de tratamento;
  • a correção de dados incompletos, inexatos ou desatualizados;
  • a portabilidade dos dados para outro fornecedor;
  • a revogação do consentimento e o direito de requerer a eliminação de dados nesse caso.

É importante ter em mente, entretanto, que não basta simplesmente preservar tais direitos; é imprescindível garantir o seu pleno exercício pelos titulares dos dados pessoais. 

Exatamente por isso, a LGPD exige que as empresas disponibilizem ferramentas para que os titulares tenham acesso facilitado e transparente às informações sobre o tratamento de seus dados pessoais, sempre que assim solicitado. 

É dever das empresas, por exemplo, informar aos titulares, por escrito e de forma clara, quais dados são tratados e por qual razão, como foram coletados etc. em até 15 (quinze) dias, a contar da solicitação.

Esse é um ponto muito impactante, pois as empresas deverão disponibilizar canais simples e claros para garantir o exercício de tais direitos, especialmente nos sites mantidos na internet – e que, usualmente, são a maior fonte de coleta de dados das empresas.

Privacy by Design e Privacy by Default: saiba o que significa esses termos

Um dos maiores impactos da Lei Geral de Proteção de Dados será a mudança na cultura das empresas. 

Ao invés de se coletar enormes quantidades de dados para enriquecer cadastros e bancos de dados, as empresas deverão adotar o caminho oposto e só coletar aquelas informações estritamente necessárias e pelo período fundamental para o tratamento. 

Portanto, novos produtos e serviços deverão ser concebidos e desenvolvidos já tendo em mira a proteção dos dados pessoais dos titulares. 

O novo padrão será o da privacidade em primeiro lugar, desde a concepção: daí a expressão privacy by design.

Para reforçar essa proteção, a LGPD também exige que a configuração padrão de privacidade seja a mais segura, como se extrai da literalidade da expressão privacy by default.

Para compreender bem esses conceitos, podemos usar o site da sua empresa como um bom exemplo.

O site deve ser pensado e produzido de modo a garantir a proteção de dados pessoais e o exercício dos direitos dos titulares, com todas as ferramentas necessárias para tanto, como formulários para obter informações sobre tratamento de dados e contar com a estrutura de segurança da informação necessária (privacy by design). Além disso, mesmo que determinado usuário do site não se manifeste a respeito do uso de cookies, por exemplo, a configuração padrão deverá ser a de não coleta de informações, ou de coleta do mínimo necessário (privacy by default).

Confira as consequências do descumprimento da LGPD

As penalidades administrativas previstas na LGPD, só serão aplicadas a partir de 1º de agosto de 2021, como previsto no seu art. 65, I-A.

Podemos definir essas penalidades como: advertência, multa, publicização da infração, bloqueio ou eliminação de dados, suspensão do uso de bancos de dados e, até mesmo, a suspensão das atividades de tratamento.

A Autoridade Nacional de Proteção de Dados, que ainda não foi criada formalmente, será a responsável por fiscalizar administrativamente a aplicação da Lei Geral de Proteção de Dados  e a sancionar os descumpridores.

Contudo, isso não significa que as empresas não devem se preocupar, tão cedo, com a adequação à Lei, por uma razão muito simples: o descumprimento da LGPD, ainda que já, pode levar à responsabilização judicial das empresas.

Sobre esse ponto, a LGPD é consideravelmente (e acertadamente) rigorosa ao prever as hipóteses de responsabilização civil dos controladores e operadores, inclusive de forma solidária. 

A Lei também estabelece que o ônus da prova pode ser invertido a favor do titular de dados, ou seja, que caberá ao controlador/operador comprovar a regularidade da operação de tratamento.

Como se adaptar à Lei Geral de Proteção de Dados

A princípio, para se adaptar à LGPD é necessário entender o contexto da operação da empresa e, logo depois, identificar e mapear o fluxo de dados (data mapping) para compreendê-lo e, principalmente, documentá-lo.

Para identificar os pontos de desconformidade com a Lei, é necessário realizar um diagnóstico, identificar as bases legais para o tratamento dos dados coletados e iniciar as medidas necessárias, sob os aspectos legais e técnicos, para adequação. 

Ajuste de contratos, adaptação e/ou criação de políticas internas de privacidade e de boas práticas de governança de dados também são essenciais.

É importante que se tenha em mente que não basta adequar-se à LGPD; é essencial continuar a cumpri-la e, especialmente, comprovar o seu cumprimento, primordialmente por meio da adoção de medidas técnicas relacionadas à segurança da informação – como firewalls, rotinas de backup e demais.

O processo pode ser moroso e complexo e exige total engajamento dos funcionários e gestores da empresa, então é altamente recomendado adaptar-se o mais rápido possível.

Nossa equipe está preparada para auxiliar sua empresa ao longo de todo o processo de adaptação à Lei Geral de Proteção de Dados e à manutenção da conformidade.

Pesquisar