Lei de Proteção de Dados (LGPD): Como preparar sua empresa

No post de hoje vamos nos aprofundar um pouco mais na Lei Geral de Proteção de Dados, que está prestes a entrar em vigor.

Na terminologia jurídica, a proteção de dados possui um significado genérico e bastante amplo, referindo-se em geral à proteção de dados pessoais. 

Essa ideia de estabelecer uma proteção autônoma aos dados pessoais é o desenvolvimento mais recente da proteção da privacidade e do próprio direito à privacidade, consolidadas basicamente como uma garantia para evitar a intromissão alheia em assuntos privados.

Sendo assim, convidamos você a continuar a leitura deste texto para tirar todas as suas dúvidas. 

O que é a proteção de dados pessoais?

É possível compreender como proteção de dados pessoais a possibilidade de cada cidadão possui a capacidade controlar e determinar de forma autônoma a utilização que é feita de seus próprios dados pessoais, em conjunto com o estabelecimento de uma série de garantias para evitar que estes sejam utilizados de forma a causar discriminação ou danos de qualquer espécie, ao cidadão ou à coletividade.

Devido ao amplo desenvolvimento das tecnologias da informação, o perfil desta garantia também foi se alterando à medida que as informações pessoais passaram a representar a própria pessoa em inúmeras situações. 

Dessa maneira, tornou-se necessário o desenvolvimento de um instrumento para o controle efetivo destas informações a fim de proteger a própria pessoa em questão, mas este é um instrumento jurídico que além de exigir a adequação legal está promovendo uma alteração na cultura organizacional das empresas.

Para que fique claro, os dados pessoais são as diversas informações de uma pessoa viva, identificada ou identificável, ou seja qualquer conjunto de informações que possa levar a identificação de uma pessoa. 

Para evitar interpretações evasivas, é considerado dado pessoal qualquer tipo de informação relacionada a um indivíduo que possa, de forma isolada ou em conjunto com outros dados, definir sua identidade.

Alguns exemplos que se enquadram nessa definição são: nome, endereço, email, dados de cadastro, números de documentos e telefone de contato. Dessa maneira, com a regulamentação da LGPD ficam proibidas a coleta e a utilização de informações pessoais em campanhas de marketing sem a autorização prévia do consumidor. E também fica proibida a venda de dados para terceiros sem que exista um acordo bilateral de consentimento.

De uma maneira quase oposta à ideia de identificação, os dados anônimos são dados que não permitem a identificação de uma pessoa. Ainda que seja referente a uma pessoa (ou grupos de pessoas, o chamado profiling), um dado anônimo não permite a identificação de seu titular. 

Existe ainda os dados sensíveis, que são dados cujo tratamento pode ensejar a discriminação do seu titular, por se referirem, por exemplo, à opção sexual, convicções religiosas, filosóficas ou morais, ou então opiniões políticas. A caracterização de um dado pessoal como sensível, exige das empresas uma série de medidas para que possam tratar tal dado de forma correta. 

Quando entra em vigor a Lei Geral de Proteção de Dados?

Após cerca de oito anos de debate político, em 25 de julho de 2018 o Senado encaminhou para sanção presidencial o Projeto de Lei 53/2018. E no último dia do prazo de 15 dias para sanção, em 14 de agosto de 2018 o então Presidente Michel Temer sancionou com vetos, a Lei Geral de Proteção de Dados (LGPD). 

Esta Lei representa um importante marco legal de proteção, tratamento e uso de dados pessoais. Ela determina a forma como as informações pessoais devem ser tratadas por empresas, sejam elas do setor público ou do setor privado.

Ainda em 2018, em 28 de dezembro de 2018, o ainda Presidente Michel Temer editou a Medida Provisória 869/2018, que alterou a LGPD em alguns pontos sensíveis, como a questão da criação da Autoridade Nacional de Proteção de Dados (ANPD), os requisitos do DPO (encarregado de proteção de dados), revisão humana de decisões automatizadas, e principalmente prorrogou por mais 180 dias o período de vacância da norma, de modo que em Agosto de 2020 a Lei estará em vigor.

O que é a Autoridade Nacional de Dados Pessoais – ANPD?

Editada no dia 27 de dezembro de 2018, a MP 869/18 cria no Brasil a Autoridade Nacional de Proteção de Dados (ANPD). Dessa forma, é alterada a lei 13.709/18, a lei geral de proteção de dados (LGPD), e ampliando para agosto de 2020 (em vez de fevereiro de 2020) o prazo das empresas para a adequação.

Vale lembrar que a ANPD havia sido vetada para evitar o aumento de custos para o Poder Executivo. Entretanto, a MP previu a criação da Autoridade Nacional de Proteção de Dados sem aumento de despesas. Sendo assim, no âmbito da administração pública federal, o órgão passa a integrar a presidência da República, com organização e competência previstas nas adições introduzidas no artigo 55 da LGPD.

Podemos citar entre as atribuições da ANPD:

• A elaboração de diretrizes para uma Política Nacional de Proteção de Dados Pessoais e Privacidade; 
• A fiscalização e a aplicação de sanções;
• A difusão das normas e das políticas públicas sobre proteção de dados pessoais e sobre medidas de segurança;
• A promoção de ações de cooperação com autoridades de proteção de dados pessoais de outros países, sejam de natureza internacional ou transacional.

O que muda na prática com a Lei Geral de Proteção de Dados?

A Lei Geral de Proteção de Dados traz para a realidade brasileira muitos dos pontos levantados na lei europeia (que falaremos mais adiante) e embasa denúncias que podem ser feitas por órgãos de proteção ao consumidor.

Abaixo, vamos falar um pouco sobre os principais pontos da LGPD e como você pode começar a adequar a sua empresa.

Oficialmente, a lei 13.709/2018 estabelece diretrizes sobre como os dados dos cidadãos brasileiros podem ser coletados e tratados, tanto pelas empresas quanto pelo poder público. Uma informação importante é que as empresas só poderão coletar dados pessoais dos usuários com explícito consentimento do titular. 

Sendo assim, podemos dizer que no geral, a lei geral de proteção de dados faz com que o usuário tenha completo controle de como as suas informações são tratadas e coletadas. Ele tem direito de:

• Acessar as informações sobre o tratamento de seus dados. A empresa deve informar a finalidade específica da coleta e tratamento;
• Ser anonimizado, caso queira, ou até mesmo bloquear ou eliminar dados desnecessários, excessivos ou tratados em desconformidade com a lei;
• Pedir portabilidade dos dados a outro fornecedor de serviço ou produto;
• Revogar o consentimento de suas informações de forma gratuita;
• Pedir para a empresa eliminar seus dados pessoais mesmo que antes tenha consentido o uso;
• Ser informado sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.

Quando a empresa terminar de tratar os dados do usuário ou tiver seu uso revogado, ela deve eliminá-los por completo, exceto em algumas situações: 

• Se a empresa for obrigada a armazenar esses dados por outra lei;
• Se as informações são usadas para estudo ou pesquisa, garantida sempre que possível a anonimização dos dados;
• Se as informações serão transferidas para outras empresas a pedido do usuário;
• Se as informações são usadas exclusivamente pela empresa, vedado o acesso por terceiros.

A lei geral de proteção de dados ainda faz uma distinção sobre dados pessoais e dados sensíveis, estes devem ser tratados de forma diferente e sua coleta precisa ser informada com destaque, uma vez que pode ser feita apenas para finalidades específicas, como para estudos e pesquisa ou tutela da saúde.

Entre os dados sensíveis podemos incluir: origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual e dado genético ou biométrico.

É importante ressaltar que nenhuma organização poderá fazer uso desses dados para fins discriminatórios e também será necessário garantir que os dados serão devidamente protegidos.

Já no caso do tratamento de dados de crianças e adolescentes (menores de 18 anos), este deverá ser realizado com o consentimento específico e em destaque por um dos pais ou pelo responsável legal. 

Outro ponto importante está relacionado ao vazamento desses dados. Sendo assim, a empresa deve redobrar sua preocupação com segurança, pois pode ser penalizada caso os dados pessoais de seus usuários vazem na internet.

Entretanto, quando algum vazamento acontecer, as autoridades e o titular devem ser comunicados em tempo hábil. Além disso, deve-se informar prontamente: quais dados pessoais foram afetados, as informações sobre os titulares envolvidos, os riscos relacionados ao incidente, as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo, entre outros. 

Ainda vale destacar a questão do tratamento de pessoais que, de acordo com o Art. 7º da Lei da LGPD poderá ser realizado nas seguintes hipóteses:

I – mediante o fornecimento de consentimento pelo titular;

II – para o cumprimento de obrigação legal ou regulatória pelo controlador;

III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;

IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;

VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;

VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; (Redação dada pela Lei nº 13.853, de 2019)

IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou

X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Já no que diz respeito ao legítimo interesse do controlador, este somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a apoio e promoção de atividades do controlador e proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.

Quais cuidados as empresas devem tomar após a Lei Geral de Proteção de Dados entrar em vigor?

É importante que as empresas cumpram todas as cláusulas previstas na LGPD, pois caso realizem a coleta ou tratamento de dados indevidamente elas podem sofrer graves penas.

As sanções podem ocorrer em diversas instâncias, de acordo com a gravidade da infração: São elas:

• Advertência: com indicação de prazo para adoção de medidas corretivas;
• Multa simples: de até 2% do faturamento da empresa no seu último exercício e limitada a R$ 50 milhões por infração;
• Multa diária: com limite de R$ 50 milhões por infração ou 2% do faturamento da empresa;
• Publicização da infração: tornar pública à sociedade, após devidamente apurada e confirmada a sua ocorrência;
• Bloqueio dos dados pessoais dos usuários: daqueles a que se refere a infração até a sua regularização;
• Eliminação dos dados pessoais dos usuários: daqueles a que se refere a infração.

A Lei Geral de Proteção de Dados é aplicável ao Contrato de Trabalho?

A LGPD não se destina às relações de trabalho, mas sim às relações jurídicas em geral que envolvem qualquer manuseio de dados ou informações entre as pessoas naturais detentoras desses dados e pessoas naturais ou jurídicas que de alguma forma têm ou obtêm acesso a esses dados. 

Entretanto, as relações de trabalho implicam, também, no trânsito de informações entre o contratante e o empregado. Sendo assim, o empregado é o titular dos dados que, por força do contrato de trabalho, fornece informações suas ao empregador, que vem a ser por sua vez o controlador desses dados.

Existe ainda uma troca de informações entre o empregador e terceiros, como por exemplo,  convênios médicos, vales-refeição, vales-alimentação, E-Social e consultorias contratadas. 

O fato é que mesmo antes da LGPD, o empregador sempre deteve responsabilidade jurídica em relação a esses dados fornecidos pelo empregado e sempre foi obrigado a utilizá-los para finalidades compatíveis com as do contrato de trabalho, de boa-fé, sujeitando-se, porventura, a uma eventual reparação por dano moral ou material no caso de desvios ou abusos de sua parte.

Porém, com o advento da Lei Geral de Proteção de Dados, o que antes era apenas uma “Ficha de Registro” passa a ser um conjunto de “Dados Pessoais”, alguns deles, inclusive, “Dados Pessoais Sensíveis”.

E, sabendo do risco de multas, diante dessa nova realidade, os empregadores devem buscar se adequar da melhor maneira possível, o que envolve desenvolver rotinas novas e compliance para todos os aspectos que possam envolver dados pessoais de empregados, ou até mesmo dos não empregados como autônomos ou empregados de empresas contratadas.

Como funciona a Lei Geral de Proteção de Dados na Europa e qual a diferença com a Brasileira?

A Lei Geral de Proteção de Dados (LGPD), nº 13.709/2018, é um importante marco legal para a proteção de dados no Brasil e tem grande influência do regulamento europeu sobre a matéria, o General Data Protection Regulation (GDPR).

Mais do que uma mudança legislativa, a LGPD se propõe a gerar uma grande mudança cultural na proteção de dados no país, o que já está consolidada da Europa, fazendo com que as pessoas tenham instrumentos mais claros para zelar pelas informações que lhe dizem respeito.

Podemos dizer que a LGPD e o GDPR têm muito mais pontos em comum do que diferentes. A título ilustrativo, ambos apresentam disposições semelhantes em relação ao consentimento dos titulares dos dados pessoais, ônus da comprovação da obtenção do consentimento, direito de informação dos titulares, portabilidade de dados, responsabilidade dos agentes, indicação do encarregado pelo tratamento dos dados e previsão de parâmetros de segurança para o seu tratamento, guarda e manuseio.

Entretanto, é possível reconhecer diferenças sensíveis entre as legislações. Assim como o faz a lei brasileira, o GDPR define dados pessoais como “informações relativas a uma pessoa singular identificada ou identificável”. No entanto, o GDPR vai além, trazendo também parâmetros para se determinar quando uma pessoa pode ser considerada como identificável, o que não acontece na LGPD.

Além disso, o regulamento europeu define termos como “dados de saúde”,”dados biométricos” e “dados genéticos”, que consistem em categorias especiais de dados pessoais. A LGPD é mais concisa e se limita a mencionar tais dados como espécies de dados sensíveis, conforme se depreende da definição prevista pelo inciso II do seu artigo 5º. 

Existem ainda outras diferenças que merecem destaque. Confira o quadro abaixo:

	GDPR	LGPD
Política de proteção de dados	Atribui aos controladores de dados a obrigação de adotar medidas técnicas e organizativas que forem adequadas para assegurar que o tratamento de dados é realizado em conformidade com a legislação.	Trata a implementação de programa de governança em privacidade como faculdade dos controladores de dados.
Tratamento de dados sensíveis	Proíbe o tratamento de dados sensíveis estabelecendo, por outro lado, algumas exceções. Duas delas não foram contempladas pela lei brasileira, são elas: dados tornados públicos pelo seu titular e dados relativos a atuais ou ex-membros de fundação, associação ou organização sem fins lucrativos tratados para fins legítimos e com medidas de segurança apropriadas.	Estabelece proteção especial aos dados sensíveis, cujo tratamento apenas poderá ocorrer nas hipóteses expressamente previstas na lei. Estes dados poderão ser tratados, independentemente de consentimento do seu titular, nas hipóteses em que for indispensável para a execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos ou ainda em garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.
Tratamento de dados de menores	Aceita o consentimento dado por crianças para o tratamento de dados pessoais, desde que elas tenham pelo menos 16 anos. Caso tenham menos de 16 anos, o GPDR exige que o consentimento seja dado ou autorizado pelos responsáveis legais da criança.	Para todos os menores de 18 anos, a LGPD requer o consentimento dos pais ou responsável legal para o tratamento de dados pessoais das crianças e adolescentes.

É importante ressaltar que essas são apenas algumas das diferenças entre o GPDR e a LGPD.

Conclusão

A partir de agosto de 2020, entra em vigor a Lei Geral de Proteção de Dados, que  estabelece diretrizes sobre como os dados dos cidadãos brasileiros podem ser coletados e tratados, tanto pelas empresas quanto pelo poder público. 

Essa lei, no âmbito geral, faz com que o usuário tenha completo controle de como as suas informações são utilizadas. 

Sendo assim, é importante que as empresas cumpram todas as cláusulas previstas na LGPD, pois caso realizem a coleta ou tratamento de dados indevidamente elas podem sofrer graves consequências, conforme explicamos no texto.

Se você ainda tem dúvida sobre a Lei Geral de Proteção de Dados ou está em busca de um profissional para esclarecer todos os pontos, entre em contato com o Manucci Advogados.

Por