LGPD – Pontos relevantes da nova lei geral de proteção de dados – Lei n.º 13.709/18

Em 18/09/20202 entrou em vigor a Lei n.º 13.709/18, conhecida como Lei Geral de Proteção de Dados (“LGPD”), que trata da proteção de dados pessoais no Brasil. À partir de 1º de agosto de 2021, podem ser aplicadadas pela Autoridade Nacional de Proteção de Dados (ANPD) medidas de fiscalização e punição previstas na LGPD, o que reforça a importância das empresas (tanto B2B como B2C) se adequqarem à Lei.

Destacamos abaixo os principais pontos sobre a LGPD e aspectos de atenção:

OBJETIVOS DA LEI

Proteção à privacidade das pessoas físicas, por meio da estipulação de regras sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa física ou jurídica.

CONCEITOS DEFINIDOS NA LEI

• Dado Pessoal: informação relacionada à pessoa natural identificada ou identificável (RG, CPF, endereço, etc.)
• Dado Pessoal Sensível: dado pessoal sobre origem, convicção religiosa, opinião política, filiação partidária, dados relativos à saúde ou à vida sexual, dado genético ou biométrico, desde que vinculados à uma pessoa natural;
• Titular: pessoa natural a quem se referem os dados pessoais objeto de tratamento; 
• Tratamento: toda operação realizada com dados pessoais (coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação modificação, comunicação, transferência, difusão ou extração);
• Bando de dados: conjunto de dados pessoais, físico ou eletrônico;
  
• Controlador: Pessoa física ou jurídica que toma decisões sobre o tratamento de dados pessoais (pode ser qualquer empresa ou entidade pública que tenha dados pessoais de titulares);
• Operador: Pessoa física ou jurídic que trata dados pessoais;
• Encarregado: Pessoa física indicada pelo controlador, que atua como canal de comunicação entre o controlador e os titulares e a autoridade nacional.
• Autoridade Nacional: órgão público responsável por zelar, implementar e fiscalizar o cumprimento da LGPD.

APLICAÇÃO DA LEI

A LGPD é aplicada em todas as situações de “tratamento” realizadas por pessoas físicas ou jurídicas, públicas ou privadas, desde que: i) o tratamento ocorra no Brasil; ii) os dados tenham sido coletados no Brasil; e iii) o tratamento dos dados tenha por objetivo oferecer ou fornecer bens e serviços à indivíduos localizados no Brasil.

DIRETRIZES DA LEI

A Lei prevê que o tratamento de dados pessoais deve ser realizado seguindo as premissas de:

• Finalidade: tratar os dados pessoais para propósitos específicos, legítimos, explícitos e informados ao titular, sem que haja alteração da finalidade após o consentimento dele;
• Adequação: o tratamento deve ser compatível com o informado ao titular;
• Necessidade: o tratamento de dados deve ser o mínimo necessário para realizar a finalidade;
• Livre acesso: ao titular deve ser garantida a consulta facilitada e gratuita sobre a forma e o tratamento de seus dados pessoais;
• Qualidade dos dados: ao titular deve ser garantida a exatidão, clareza e atualização dos dados;
• Transparência: ao titular deve ser garantido que as informações sejam claras, precisas e facilmente acessíveis;
• Segurança: devem ser utilizadas medidas técnicas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
• Prevenção: adoção de medidas para prevenir danos em virtude do tratamento de dados pessoais;
• Não discriminação: os dados pessoais não podem ser utilizados para fins discriminatórios, ilícitos ou abusivos;
  

• Responsabilização e prestação de contas: devem ser demonstradas medidas eficazes e capazes de comprovar o cumprimento da LGPD.

TRATAMENTOS DE DADOS PESSOAIS

Para  as  empresas  privadas  o  mais importante  a  ressaltar  é que otratamento  só  pode  ser  realizado  mediante o  fornecimento de consentimento pelo titular, exceto se os dados forem tornados públicos pelo titular.

Uma vez consentido pelo titular, a empresa pode fazer uso dos dados pessoais

a penas para as finalidades informadas ao titular, ou seja, sequer a abrangência pode ser alterada. Se a empresa que obteve consentimento do titular necessitar transmitir as informações à outra empresa, deverá, antes, obter novo consentimento específico do titular.

Na hipótese de se haver uma discussão sobre a existência ou não do consentimento, caberá à empresa provar que recebeu o consentimento, razão pela qual é imprescindível a adoção de procedimentos que a assegurem.

Além disso, cabe dizer que a empresa deve:

• Oferecer um procedimento simplificado e gratuito para que o titular revogue, a qualquer momento, seu consentimento;

• Oferecer fácil acesso às informações e tratamento dos dados do titular;

É importante deixar claro, também, que o consentimento deverá ser “renovado” sempre que houver alteração de finalidade.

TRATAMENTO DE DADOS SENSÍVEIS 

Para o tratamento de dados sensíveis, o consentimento deve ser específico, sendo vedada a comunicação desse tipo de dado entre empresas com o objetivo de obter vantagem econômica, exceto se expressamente autorizado pelo titular.

TRATAMENTO DE DADOS DE CRIANÇAS E ADOLECENTES

Os dados de crianças e adolescentes só podem ser tratados se houver consentimento específico e em destaque dado por pelo menos um dos pais ou responsável legal.

FIM DOS TRATAMENTOS

A empresa deve encerrar o tratamento dos dados pessoais quando:

• A finalidade do uso dos dados for alcançada;
• Encerrar o período de tratamento;
• For solicitado pelo titular;
• For determinado pela autoridade pública.

Após o término do tratamento, os dados pessoais devem ser eliminados, exceto se autorizada a conservação para cumprimento de obrigação legal da empresa, realização de pesquisa, transferência (desde que com consentimento); ou para uso exclusivo da empresa (vedado o acesso por terceiros). 

DIREITO DOS TITULARES

Importante destacar, por completo, o art. 18 da LGPD:

“Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:

I – confirmação da existência de tratamento; II – acesso aos dados;

• – correção de dados incompletos, inexatos ou desatualizados;

• – anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;

• – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador;
  

• – eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;

• – informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

• – informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

• – revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.”

PRAZOS PARA OBTENÇÃO DE INFORMAÇÕES PELIOS TITULARES

Mediante solicitação, o titular deve receber confirmação da existência ou liberação do acesso aos dados pessoais:

• Em formato simplificado, imediatamente (ou seja, tão logo o titular solicite);
• Por declaração clara e completa, no prazo de 15 dias contados do requerimento do titular.

TRANSFERÊNCIA INTERNACIONAL DE DADOS

A transferência internacional de dados será possibilitada para países que proporcionem o mesmo grau de proteção.

Quando o país em questão não contar com legislação, os dados somente poderão ser fornecidos se comprovada a proteção dos dados do titular, seja na forma de cláusulas contratuais, normas coorporativas, código de condutas ou qualquer outro meio capaz de proteger a privacidade do titular.

AGENTES DE TRATAMENTO DE DADOS

O controlador deve manter registro das operações de tratamento de dados pessoais que realizar e indicar encarregado pelo tratamento.

O encarregado é a pessoa responsável basicamente por aceitar reclamações e comunicações dos titulares, prestar esclarecimentos, adotar providências, bem como receber comunicados da autoridade nacional para adoção de providências.

RESPONSABILIDADE E RESSARCIMENTO DE DANOS

Como regra geral, qualquer um (controlador, encarregado, operador) que, em razão do tratamento de dados cause dano patrimonial, moral, individual ou coletivo à outrem, é obrigado a repara-lo.

A infração à LGPD pode gerar as seguintes penalidades (art. 52):

1. – advertência, com indicação de prazo para adoção de medidas corretivas;
2. – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
3. – multa diária, observado o limite total a que se refere o inciso II;
4. – publicização da infração após devidamente apurada e confirmada a sua ocorrência;
5. – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
6. – eliminação dos dados pessoais a que se refere a infração.

A adaptação das empresas à nova regulamentação é fundamental, não apenas para mitigar riscos, mas também para criar oportunidades de investimentos. Isto por que, cada vez mais a segurança dos dados é valorizada e as empresas que demonstrarem respeito à esses preceitos, estarão à frente na fidelização de clientes. 

E por tais motivos, é importante que as empresas façam diagnóstico de adequação  à LGPD, de forte que, com base nas informações coletadas, mapeiem quais mudanças serão necessárias face ao risco apresentado, tais como: adoção de novos sistemas, identificação de terceiros que tratam dados em nome da empresa, revisão de políticas de privacidade e/ou criação de políticas específicas, alteração de novos processos, restrição de acesso de informações e outras que forem pertinentes à área.