Conheça o passo a passo para adequar sua empresa às regras da LGPD
Um guia completo da Lei Geral de Proteção de Dados, incluindo cuidados especiais e o que a lei diz sobre fiscalização e punição
Assuntos
A Lei Geral de Proteção de Dados (LGPD) é uma legislação brasileira que estabelece regras detalhadas para a coleta, uso, tratamento e armazenamento de dados pessoais, e afetando todos os setores da economia.
Sobre a LGPD
A lei, que entrou em vigor em setembro de 2020, impacta todos os setores da economia, inclusive as relações entre clientes e fornecedores de produtos e serviços, empregado e empregador, relações comerciais transnacionais e nacionais, além de outras relações nas quais dados pessoais sejam coletados.
Qualquer empresa que realizar o armazenamento, compartilhamento ou tratamento de dados pessoais, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que a operação de tratamento seja realizada no território brasileiro, está sujeita à aplicação da lei.
O Mattos Filho preparou um guia completo que aborda detalhes dos principais pontos abordados pela LGPD.
O que é a LGPD?
A Lei Geral de Proteção de Dados (LGPD) é a legislação brasileira aprovada em agosto de 2018, que aborda o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado. É uma lei que que afeta todos os setores da economia, inclusive as relações entre clientes e fornecedores de produtos e serviços, empregado e empregador, relações comerciais transnacionais e nacionais, além de outras relações nas quais dados pessoais sejam coletados.
Quando a LGPD entrará em vigor?
A LGPD entrou em vigor no dia 18 de setembro de 2020. Entretanto, sanções só podem ser aplicadas a partir de 1º de agosto de 2021.
Qual o objetivo da LGPD?
O objetivo da LGPD é regulamentar o tratamento de dados de pessoas físicas por parte de empresas públicas e privadas, bem como pela administração pública, de modo a garantir o exercício de determinados direitos, bem como proteger o titular dos dados na hipótese de incidentes de vazamentos.
Diante disso, entidades que tratam dados pessoais (ou, conforme definido pela LGPD, os controladores) precisam rever e ajustar diferentes procedimentos internos e políticas que envolvam o tratamento de dados pessoais.
Também é necessário implementar tecnologias para garantir a segurança de usuários e negócios e desenvolver internamente a cultura da privacidade em seus produtos, serviços e na gestão de seus colaboradores internos e externos.
Como funciona a lei de proteção de dados na Europa e quais suas diferenças para o Brasil?
O Regulamento Geral sobre a Proteção de Dados (GDPR) se aplica a toda a União Europeia (EU), mas cada país tem a capacidade de fazer suas próprias alterações de acordo com a sua necessidade. A LGPD foi basicamente inspirada na GDPR e muitos de seus dispositivos são coincidentes, porém temos algumas diferenças.
Enquanto na LGPD a sanção máxima é de 2% do faturamento do grupo no Brasil, limitado a R$ 50 milhões, na Europa, a pena pode ser entre 4% do faturamento ou até € 20 milhões. Além disso, a LGPD comporta mais hipóteses que autorizam o tratamento de dados pessoais, como a proteção do crédito, a prevenção à fraude, a tutela da saúde, dentre outros. Outra diferença é que enquanto, para a LGPD, a figura do encarregado de dados é obrigatória para todas as empresas, na Europa o Data Protection Officer é obrigatório apenas em empresas com certas características e deve ter papel independente em relação aos administradores e gestores de TI das empresas.
Que tipo de dados são impactados pela LGPD?
São objeto da LGPD os dados pessoais, ou seja, qualquer informação com a capacidade de identificar uma pessoa, por exemplo, nome, telefone e endereço. A lei também traz consigo a definição de dados pessoais sensíveis, estes que são a respeito da origem racial ou étnica, convicção religiosa, opinião pública, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico quando vinculado a uma pessoa natural.
A LGPD trata apenas de dados coletados na internet?
Não. A Lei Geral de Proteção de Dados (LGPD) também inclui o tratamento de dados em outros meios além da internet.
Quais os setores mais expostos?
Qualquer empresa que lide com dados pessoais de pessoas físicas será afetada. Dessa forma, pode-se dizer que a LGPD afeta a todos os setores. Entretanto, pode-se citar os setores bancário e varejo (físico e digital), que, devido à natureza de seus serviços, coletam diversos dados de seus clientes. Ademais, as áreas de seguros e planos de saúde, por exemplo, deverão demandar atenção adicional à proteção dos dados sensíveis.
Dentro das empresas, as áreas que deverão receber mais atenção para se adequarem à LGPD, por terem maior contato com os dados tratados, quando aplicável, serão os departamentos jurídico, financeiro, TI, marketing e Recursos Humanos – nesse último caso, é importante notar que os dados de funcionários e candidatos à vagas também deverão ser protegidos.
Aplicação da LGPD
Quais empresas estão sujeitas a aplicação da LGPD?
Qualquer empresa que realizar o armazenamento, compartilhamento ou tratamento de dados pessoais, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que a operação de tratamento seja realizada no território brasileiro, bem como se a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou tratamento de dados de indivíduos localizados no território nacional ou caso os dados pessoais objeto do tratamento tenham sido coletados no Brasil.
Qual o passo a passo para se adequar à LGPD?
A contratação de consultoria técnica e jurídica especializada para realizar o diagnóstico é uma medida aconselhável, além de verificar se há outras normas setoriais de proteção de dados aplicáveis à sua atividade.
Para começar a adaptação à LGPD, normalmente deve-se iniciar um mapeamento dos dados, registrando como são os atuais fluxos de tratamento de dados pessoais da empresa e quais são as bases legais aplicáveis para tal. Além disso, nesse primeiro momento, é necessário identificar todos os processos que precisam de ajustes à nova lei.
O próximo passo a ser feito é a revisão e adequação de políticas (internas e externas), contratos, procedimentos e todas as demais atividades que envolvam o tratamento de dados pessoais. Vale ressaltar que, nesse caso, a empresa deve considerar os dados de seus clientes, fornecedores, parceiros de negócio e empregados.
Além disso, as organizações devem implementar mecanismos para gerar maior transparência quanto ao uso dos dados pessoais, para que os titulares dos dados estejam cientes dos seus direitos respaldados na LGPD. Por isso, a empresa necessita tornar mais clara possível a linguagem utilizada no conteúdo informativo referente aos dados pessoais.
O que fazer com os dados já coletados antes da aplicação da LGPD?
Adequar as políticas de uso dos dados coletados antes da entrada em vigor da LGPD em conformidade com a lei. A Lei se aplica a dados coletados anteriormente também, uma vez que tratamento de dados continuarão a ocorrer.
Quanto custa para se adequar à LGPD?
Não existe uma estimativa. Cada empresa deve fazer um levantamento de suas necessidades e partir para soluções adequadas à sua realidade.
Quanto tempo leva para uma empresa se adequar as regras da LGPD?
Não há um tempo determinado para que ocorra uma adequação completa à LGPD. O tempo de realização do projeto vai depender de alguns fatores como o tamanho da empresa e da quantidade de dados pessoais que realiza o tratamento. No caso de grandes empresas, estima-se pelo menos um ano.
Como se preparar para gerenciar eventuais crises?
Além das atividades indicadas no passo a passo, é essencial que as empresas tenham o seu próprio Plano de Resposta a Incidentes, que irá nortear o procedimento em caso de vazamento de dados. Também é importante que as empresas também criem comitês de gestão de crises, contando com a participação de profissionais da área jurídica, T.I., segurança da informação, e comunicação.
Como proceder em casos de vazamento de dados?
O primeiro passo é identificar a natureza dos dados objeto do incidente e a gravidade. Se forem dados criptografados ou anonimizados, por exemplo, os riscos serão menores. Em seguida a empresa deverá estabelecer um grupo de trabalho e tomar as medidas imediatas para conter o incidente.
O incidente deve ser integralmente documentado desde o momento de sua descoberta, dependendo do caso deve se considerar acionar uma consultoria forense e/ou um escritório de advocacia. Após a adoção dessas estratégias é importante definir as estratégias de comunicação à Autoridade Nacional de Proteção de Dados (ANPD) e ao titular dos dados.
Dependendo da gravidade do incidente, a ANPD poderá determinar a adoção de determinadas providências e eventual comunicação a outros órgãos reguladores.
Fiscalização da LGPD
Quem irá fiscalizar a aplicação da LGPD?
Autoridade Nacional de Proteção de Dados (ANPD).
Qual será o papel da ANPD?
A ANPD é o órgão da administração pública com autonomia técnica e decisória, responsável por editar normas, zelar, implementar, fiscalizar e promover ações de cooperação incentivado o cumprimento da legislação.
Quais são as consequências do descumprimento da LGPD?
A empresa que descumprir a LGPD arcará com a responsabilidade de indenizar o titular dos dados, assim como também poderá sofrer sanções de caráter administrativo, tais como:
- Advertência, com indicação de prazo para adoção de medidas corretivas;
- Multa de até 2% do faturamento da empresa ou do grupo, no total, a R$ 50 milhões por infração;
- Publicização da infração após devidamente apurada e confirmada sua ocorrência;
- Bloqueio dos dados pessoais correspondentes à infração até a sua regularização;
- Eliminação dos dados pessoais correspondentes à infração.
- Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
- Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período;
- Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
As sanções podem ser aplicadas cumulativamente, por dia e infração, mas sempre com base na gravidade e extensão da violação. Todas as sanções serão precedidas de um procedimento administrativo que garanta a ampla defesa do infrator.
A particularidade de cada caso será levada em conta no momento da aplicação das sanções, assim como serão considerados os seguintes parâmetros e critérios:
- gravidade e a natureza das infrações e dos direitos pessoais afetados;
- boa-fé do infrator;
- vantagem auferida ou pretendida pelo infrator;
- condição econômica do infrator;
- reincidência;
- grau do dano;
- cooperação do infrator;
- adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano;
- adoção de política de boas práticas e governança;
- pronta adoção de medidas corretivas;
- proporcionalidade entre a gravidade da falta e a intensidade e da sanção.
Em caso de mau uso dos dados por parte de um funcionário, quem é responsabilizado? O funcionário ou a empresa?
As empresas são responsáveis pelos atos de seus funcionários, sem prejuízo do direito de regresso das empresas contra seus executivos e funcionários nos termos da legislação aplicável.
Quem pode acionar a lei e como?
É possível que qualquer titular de dados pessoais que tenha seus direitos violados no âmbito do tratamento de dados pessoais, acione a lei por intermédio de instâncias de defesa ao consumidor ou pela a própria justiça por meio das instâncias competentes ou ainda pela própria ANPD que deverá ter seus sistemas de denúncia diante do não cumprimento da Lei.
Como será comprovado que a empresa garante a proteção dos dados?
A empresa precisa estar atenta aos mecanismos de tratamento dos dados, de clientes e funcionários. Estabelecer um setor de segurança/tecnologia da informação, se não houver. A organização necessita possuir procedimentos de transparência do uso dos dados, de forma que os titulares estejam cientes do tratamento dos dados.
É possível recorrer no caso de punição?
A LGPD determina que somente serão aplicadas sanções após procedimento administrativo que possibilite ampla defesa às partes. Considerando que a LGPD não determinou expressamente qual será o rito do processo administrativo, entendemos que é possível que os prazos a serem aplicados sejam os que foram estabelecidos na lei que regula o processo administrativo no âmbito da Administração Pública Federal indireta (Lei nº 9.784/99), o que incluiria todos os processos de agências nacionais – e da ANPD, portanto. Das decisões da ANPD cabem recursos ao Poder Judiciário.
Cuidados especiais
O que são dados pessoais sensíveis?
É o dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião pública, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico quando vinculado a uma pessoa natural.
Sobre os dados pessoais sensíveis, a LGPD se preocupou em diminuir as hipóteses para tratamento desses dados. A LGPD não permite o tratamento de dados pessoais sensíveis para atender ao interesse legítimo do controlador ou de terceiros ou proteção do crédito. Por outro lado, permanece a possibilidade de tratar os dados pessoais sensíveis quando for indispensável para o cumprimento de obrigação legal ou regulatória pelo controlador dos dados, para o exercício regular de direitos em processo judicial, administrativo ou arbitral ou necessário para a execução de contrato.
O que a LGPD diz sobre dados de crianças e adolescentes?
Os dados de crianças e adolescentes merecem atenção especial.
O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse, com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal. As empresas deverão realizar todos os esforços razoáveis para verificar que o consentimento foi realmente fornecido pelo responsável pela criança.
O que a LGPD diz sobre uso de dados internacionais?
É permitida a transferência internacional de dados, desde que as condições previstas na LGPD sejam atendidas. Em linhas gerais, a LGPD somente permite a transferência internacional se os mesmos padrões previstos na lei para a proteção ao titular de dados forem mantidos.
Para receber os dados, o país ou organismo internacional deve oferecer um grau adequado de proteção de dados, o que ainda será avaliado pela ANPD.
Para mais informações sobre a LGPD, conheça a prática de Proteção de Dados do Mattos Filho.