Dúvidas?
Instagram Linkedin Whatsapp

Nosso Artigo

A Lei Geral de Proteção de Dados Pessoais (LGPD)

A Lei Geral de Proteção de Dados entrou em vigor em 18 de setembro de 2020. Aprovada em 2018 depois de uma batalha de anos, a LGPD coloca o Brasil ao lado de mais de 100 países onde há normas específicas para definir limites e condições para coleta, guarda e tratamento de informações pessoais.

A LGPD (Lei No 13.709) disciplina um conjunto de aspectos: define categorias de dados, circunscreve para quem valem seus ditames, fixa as hipóteses de coleta e tratamento de dados, traz os direitos dos titulares de dados, detalha condições especiais para dados sensíveis e segmentos (como crianças), estabelece obrigações às empresas, institui um regime diferenciado para o Poder Público, coloca sanções em caso de violações e prevê a criação de uma autoridade nacional.

Mas afinal o que é LGPD?

A Lei Geral de Proteção de Dados Pessoais (LGPD) estabelece diretrizes importantes e obrigatórias para a coleta, processamento e armazenamento de dados pessoais. Ela foi inspirada na GDPR (General Data Protection Regulation), que entrou em vigência em 2018 na União Europeia, trazendo grandes impactos para empresas e consumidores.

No Brasil, a LGPD (Lei nº 13.709, de 14/8/2018) entrou em vigor em 18 de setembro de 2020, como mencionado anteriormente, representando um passo importante para o Brasil. Com isso, passamos a fazer parte de um grupo de países que contam com uma legislação específica para a proteção de dados dos seus cidadãos. Diante dos atuais casos de uso indevido, comercialização e vazamento de dados, as novas regras garantem a privacidade dos brasileiros, além de evitar bloqueios com a Europa, uma vez que a ausência de uma legislação equivalente à GDPR pode gerar entraves comerciais.

A legislação se fundamenta em diversos valores e tem como principais objetivos:

  • Assegurar o direito à privacidade e à proteção de dados pessoais dos usuários, por meio de práticas transparentes e seguras, garantindo direitos fundamentais.
  • Estabelecer regras claras sobre o tratamento de dados pessoais.
  • Fomentar o desenvolvimento econômico e tecnológico.
  • Fortalecer a segurança das relações jurídicas e a confiança do titular no tratamento de dados pessoais, garantindo a livre iniciativa, a livre concorrência e a defesa das relações comerciais e de consumo.
  • Promover a concorrência e a livre atividade econômica, inclusive com portabilidade de dados.

Tratamento

O tratamento de dados é caracterizado na LGPD como “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.

Esse só pode ocorrer em determinadas hipóteses. A principal é por meio da obtenção do consentimento do titular, mas não é a única. A ação é autorizada na lei para cumprimento de obrigação legal, estudos por órgão de pesquisa, proteção da vida do titular ou de terceiro, tutela da saúde por profissionais ou autoridades da área. A administração pública pode coletar e tratar dados para a consecução de políticas públicas previstas em leis e regulamentos ou respaldadas em convênios. Também fica desobrigado do consentimento a prática de “proteção do crédito”, como o cadastro positivo.

Contudo, o Artigo 10 da lei garante a possibilidade de um uso distinto daquele informado na coleta, situação denominada de “legítimo interesse”. É um caso muito usado pelas empresas, no qual a norma exige a adoção de medidas de transparência e que nessa finalidade adicional sejam utilizados os dados estritamente necessários.

Os dados sensíveis têm regras específicas de tratamento. A Autoridade Nacional pode regulamentar ou vetar o emprego destes para vantagem econômica. No caso da saúde, tal finalidade é proibida, mas com diversas exceções, como prestação de serviços, assistência farmacêutica e assistência à saúde.

Obrigações das empresas

Ao coletar dados, as empresas devem informar a finalidade. A lei previu uma série de obrigações para elas, que têm de manter registro sobre as atividades de tratamento, de modo que possam ser conhecidas mediante requerimento pelos titulares ou analisadas em caso de indício de irregularidade pela Autoridade Nacional. Quando receberem um requerimento do titular, a resposta às demandas tem de ser dada em até 15 dias.

Cabe aos controladores indicar um encarregado pelo tratamento. As informações sobre este deverão ser disponibilizadas de forma clara, como nos sites das companhias. Caso a Autoridade determine, a controladora deve elaborar relatório de impacto à proteção de dados pessoais das suas atividades de tratamento.

Esses entes devem adotar medidas para assegurar a segurança das informações e a notificação do titular em caso de um incidente de segurança. Tal exigência vale para todos os agentes da cadeia de tratamento. Se um controlador causar dano a alguém por causa de uma atividade de tratamento, poderá ser responsabilizado e deverá reparar o prejuízo.

As empresas deverão trabalhar com a adoção de procedimentos que tenham a privacidade por padrão, o que pode alterar a forma de coleta dos dados de algumas empresas. Antes da vigência da LGPD era comum que serviços de Internet, por exemplo, coletassem dados indiscriminadamente, para, posteriormente, tratá-los, sem finalidade específica. Agora, o objetivo deve estar bem claro e ser previamente informado ao titular dos dados pessoais, que pode concordar, ou não, em submeter ao procedimento.

Sanções e fiscalização

A LGPD lista um conjunto de sanções para o caso de violação das regras previstas, entre as quais destacam-se advertência, com possibilidade de medidas corretivas; multa de até 2% do faturamento com limite de até R$ 50 milhões; bloqueio ou eliminação dos dados pessoais relacionados à irregularidade, suspensão parcial do funcionamento do banco de dados e proibição parcial ou total da atividade de tratamento.

A fiscalização fica a cargo do Autoridade Nacional de Proteção de Dados (ANPD), órgão criado com vinculação à Presidência da República, com indicação no texto da lei de um estudo para um formato mais autônomo dois anos depois. Até agora, o Palácio do Planalto não instituiu a ANPD. No dia seguinte à derrota do adiamento do início da vigência proposto na Medida Provisória No 959, no fim de setembro, a Presidência editou decreto com a estrutura do órgão, mas, na prática, este ainda não existe. 

Auxiliamos empresas a iniciarem ou ajustarem os seus projetos de adequações a LGPD de forma a atenderem os requisitos exigidos pela lei, para isso desenvolvemos um método único e exclusivo no mercado que busca a adequação das organizações de maneira responsável, segura e eficaz.

O que consiste nossos serviços:

  • Diagnóstico/avaliação da maturidade dos negócios do Cliente em relação à LGPD, sempre levando em consideração as peculiaridades do ramo de atuação do Cliente.
  • Elaboração de Relatório de Impacto à Proteção de Dados Pessoais;
  • Implementação de Programa de Compliance de LGPD, de forma objetiva, adaptada e considerando a escala e volume de operações;
  • Elaboração de Política Interna de Proteção de Dados Pessoais, Política de Descarte de Dados, Procedimento de Registro das Operações de Tratamento, Manual de Crise, dentre outros;
  • Treinamentos e consultas pontuais/elaboração de pareceres acerca da LGPD e temas correlatos.
  • Consultoria jurídica sobre temas relacionadas à Lei Geral de Proteção de Dados;
  • Revisão de políticas e procedimentos, tais como:
  1. Política de Privacidade e Proteção de Dados
  2. Política de Acesso aos Dados Pessoais
  3. Política de Portabilidade dos Dados Pessoais
  4. Política de Retenção e Eliminação de Dados Pessoais
  5. Política de Uso Compartilhado de Dados
  6. Política de Transferência Internacional de Dados
  • Procedimento de Verificação de Privacy by Design, para novos produtos e serviços
  • Revisão de Manual de Crise para casos de incidentes de segurança;
  • Revisão de modelo para notificação de incidente de segurança à ANPD;
  • Revisão de modelo de formulário para registro de novas atividades de tratamento;
  • Elaboração e/ou revisão de modelos de cláusulas contratuais a serem utilizadas em aditamentos e novos contratos, contendo salvaguardas à Contratante em relação ao tratamento de dados pessoais, tanto enquanto controladora quanto operadora dos dados;
  • Orientações para implementação do cargo de DPO (Data Protection Officer) ou Encarregado e da área de Proteção de Dados (se for o caso) e/ou do Comitê de Proteção de Dados;
  • Revisão e/ou elaboração de informativos sintéticos (“cartilhas”) de proteção de dados pessoais aos colaboradores e terceiros, de até 02 (duas) páginas em formato word, sobre proteção de dados pessoais (aplicação e limites) endereçando riscos e especificidades da operação e lei local.

A obtenção do consentimento envolve um conjunto de requisitos, como ocorrer por escrito ou por outro meio que mostre claramente a vontade do titular e ser ofertado em uma cláusula destacada. O consentimento deve ser relacionado a uma finalidade determinada. Ou seja, não se pode solicitar o consentimento para a posse simplesmente de uma informação, mas deve ser indicado para que ela será utilizada.

Equipe JW Quality & Training

(11) 3969-8919 / (11) 9.8789-4370

contato@jwconsultorias.com.br

www.jwconsultorias.com.br

Mais artigos

Facebook Instagram Youtube Linkedin Whatsapp

© Todos os Direitos Reservados – 2023

Whatsapp