Blog da WSI: Dicas, truques e práticas recomendadas de marketing digital | WSI

Lei Geral de Proteção de Dados e entrevista na TV Educadora

Escrito por Caio Cunha | 19/01/2022 14:00:00

A Lei Geral de Proteção de Dados Pessoais (LGPD) já está em vigor desde 2019. A sua regulamentação está disponível em muitas fontes e as empresas deveriam já estar aderindo a essa lei. 

Recentemente fomos convidados pela TV Educativa para uma conversa sobre a LGPD pois ainda temos visto muitas situações onde o público não conhece seus direitos e obrigações que as empresas precisam atender ao manusear seus dados confidenciais. Assista ao vídeo no final desse blog.

Com a pandemia, os hábitos de consumo e de trabalho vêm mudando de forma acelerada o uso do digital, e por isso o controle dos seus dados é mais importante do que nunca.

Com o intuito de relembrar os aspectos mais importantes dessa Lei, relaciono abaixo um sumário do manual sobre a LGPD da WSI Brasil, elaborado em conjunto com um de nossos parceiros de serviços, que disponibilizamos para as nossas unidades de Consultores de Marketing Digital para assessorá-las em seus projetos de consultoria digital.

A Lei tem o propósito de regulamentar o tratamento de dados pessoais pelas organizações, uma vez que esses dados ganharam grande notabilidade na economia moderna, pois permitem fazer previsões, analisar hábitos de consumo, opinião, e muito mais.

Muitos países desenvolveram leis para a proteção de dados, tendo como objetivo à regulamentação do tratamento de dados pelas empresas, impedindo o mau uso destas informações, bem como a responsabilização das corporações pelo uso, bem como por eventualidades e acidentes com as informações pessoais.

 

Os principais objetivos dessa lei visam:

  • Proteção à privacidade;
  • Liberdade de expressão, informação, comunicação e opinião;
  • Inviolabilidade da intimidade, honra e da imagem;
  • Desenvolvimento econômico, tecnológico e inovação;
  • Livre iniciativa, livre concorrência e a defesa do consumidor;
  • Direitos humanos, livre desenvolvimento da personalidade, dignidade e exercício da cidadania.

A lei se aplica:

  • Aos dados pessoais de indivíduos localizados no Brasil;
  • Quando o tratamento se dá no Brasil;
  • Quando houver oferta de bens e serviços para indivíduos no Brasil.

A lei não se aplica:

  • Para dados provenientes e destinados a outros países, que apenas transitem pelo território nacional;
  • Uso pessoal;
  • Uso não comercial;
  • Fins jornalísticos;
  • Acadêmicos;
  • Segurança pública.

O que são os dados pessoais cobertos nessa lei?

São informações que possibilita a identificação de uma pessoa ou a torna identificável. Veja abaixo os exemplos de dados pessoais:

  • Nome
  • Perfis de consumo e cultural
  • Números únicos identificáveis como RG, CPF e CNH
  • Endereço
  • Geolocalização
  • Exames médicos e dados referentes à saúde
  • Biometria

Dados Pessoais Sensíveis

Esta subcategoria é nomeada de dados pessoais sensíveis, devido a sua importância e dimensão, exige mais proteção do que um dado pessoal comum.

  • Dado pessoal sobre origem racial ou étnica
  • Convicção religiosa
  • Opinião política
  • Filiação a sindicato ou a organização de caráter religioso, filosófico ou político
  • Dados referente à saúde ou à vida sexual
  • Dados genético ou biométrico, quando vinculado a uma pessoa natural.

Dado anonimizado

 

Dado anonimizado são informações relativas ao titular que não consiga ser identificado, motivando a utilização de meios técnicos razoáveis e disponíveis no momento do seu tratamento.

Deste modo, a anonimização de dados é compreendida como a aplicação de meios técnicos razoáveis e disponíveis no instante do tratamento, por meio dos quais um dado perde a capacidade de associação, direta ou indireta, a um indivíduo.

Toda pessoa natural a quem se referem os dados pessoais que são motivo de tratamento é considerada titular dos dados pessoais.

Trata-se de toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Agentes de Tratamento

 

Segundo a lei, são o controlador e o operador dos dados pessoais. O controlador é a pessoa jurídica ou natural, de direito privado ou público, a quem pertencem as decisões relacionadas ao tratamento de dados pessoais.

O operador é pessoa jurídica ou natural, de direito privado ou público, que exerce o tratamento de dados pessoais em nome do controlador.

Em caso de ato contrário aos termos da LGPD, tanto o operador quanto o controlador podem responder diretamente, de forma subjetiva, e solidária com a organização para quem atuam sobre o incidente de dados pessoais.

A Lei Geral de Proteção de Dados prevê a criação do cargo de encarregado ou de data protection officer (DPO), no qual poderá ser pessoa jurídica ou física. Suas atividades serão receber reclamações, prestar esclarecimentos aos titulares e às autoridades, orientar a empresa e cumprir as diretrizes do diretor.

A identidade do DPO será disponibilizada aos titulares e autoridades e seu contato terá que ser disponibilizado de forma simples e de fácil acesso.

Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais (Ciclo dos Dados) que podem gerar riscos (Risk Assessment) às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco, tais como mapeamentos, treinamentos, auditorias, alterações de contrato e criação de políticas de proteção de dados.
 

Princípios da Lei Geral de Proteção de Dados

A privacidade desde a concepção (Privacy by design)

Este princípio de governança está previsto no art. 46 da LGPD determina que todas as empresas devem introduzir a privacidade de dados a todos os estágios (modelagem, operação e gerenciamento e encerramento) de um determinado negócio, sistema ou projeto.

Outros princípios da Lei Geral de Proteção de Dados são os seguintes: 

Qualidade de dados


É dever garantir aos titulares de dados a clareza, relevância, exatidão e atualização dos dados, sempre em conformidade com a necessidade e finalidade do tratamento.

Segurança

Sempre utilizar determinações administrativas e técnicas para proteção dos dados pessoais de acessos não autorizados e de eventualidades que levem à quebra da integridade das informações (difusão, perda, alteração, entre outros.)

 

Responsabilidade e prestação de contas (Accountability)

Os agentes de tratamento devem demonstrar responsabilidade a adoção de medidas eficientes e capazes de fundamentar a prática do cumprimento das normas de proteção de dados pessoais, inclusive as de segurança da informação, comprovando a sua efetividade.

Necessidade

Apenas os dados pessoais necessários para aquela finalidade descrita devem ser tratados, rejeitando-se os desnecessários ou excessivos.

Adequação

O intuito é impedir a desvirtuação das finalidades informadas com o real tratamento dispensado.

Prevenção

Os agentes de tratamento devem adotar medidas preventivas contra a ocorrência de incidentes sobre os dados pessoais.

Não discriminação

É proibido o tratamento de dados para fins discriminatórios abusivos ou ilícitos.
 

Livre acesso

É obrigatório que o titular dos dados tenha livre acesso aos seus dados pessoais tratados de forma gratuita e ágil.

Finalidade

O tratamento de dados precisa ter um resultado legítimo, específico e único.

Transparência

É dever garantir sempre informações acessíveis, claras e precisas aos titulares com relação ao tratamento de suas informações pessoais, até mesmo sobre os agentes de tratamento.
 

Bases legais para o tratamento de dados

Para cada finalidade, o tratamento de dados deve justificar-se em uma das bases legais previstas no art. 7º da LGPD:

Consentimento pelo titular

Meio pelo qual o titular de dados pessoais tem para determinar o nível de proteção e garantir a prolongação do fluxo dos seus dados, dando a sua aprovação declarada (art. 8º) para as finalidades descritas nos termos de consentimento.

Cumprimento de obrigação regulatória ou legal pelo controlador

Quando o tratamento é indispensável para acatar o interesse público, justificado pela obrigação regulatória ou legal. Não depende de consentimento do titular dos dados.

 

Exemplos: coleta de dados para emissão de nota fiscal; tratamento de dados pessoais do trabalhador para à Caixa Econômica Federal em alegação da obrigação do FGTS.

Execução de políticas públicas

O tratamento de dados é previsto para execução de políticas públicas tais como epidemia, vacinação, epidemia e apuração de qualidade de ensino.

Estudos por órgão de pesquisa

Tratamento de dados para fins de pesquisa, sendo que, sempre que possível, se deve seguir com a anonimização dos dados pessoais. Exemplo: Censo.

Consumação de contrato

O tratamento de dados é lícito quando necessário para a consumação de um contrato no qual o titular dos dados é parte ou para trâmites preliminares à sua formação.

Exercício regular de direitos em processo arbitral, administrativo ou judicial

O tratamento de dados no percurso do processo é base legal para a elaboração de provas e uso para o requerido processo legal.

Proteção da integridade física ou da vida

Os dados podem ser tratados para a proteção da vida ou integridade física pelos agentes de saúde (médicos, enfermeiros, agentes sanitários, entre outros).

Assistência da saúde

Os dados tratados em âmbito da saúde devem servir para certificar a qualidade de vida da sociedade e a contenção de riscos ao adoecimento.

Interesse legítimo

Concebido nas situações em que se tem uma relação relevante e apropriada entre o titular dos dados e o responsável pelo tratamento, na qual a finalidade do tratamento é tida como razoavelmente esperada pelo titular do tratamento, sem que lhe cause danos, devendo, sempre, ser examinada no caso concreto por meio de um teste de interesse legítimo.

Proteção do crédito

Os dados pessoais podem ser tratados para proteção ao crédito de forma a tornar a economia do país mais segura e conceder mais benefícios e incentivos a quem cumpre com suas obrigações.

Direitos do titular

  • Confirma existência de tratamento de seus dados pessoais;
  • Acessar e corrigir seus dados pessoais;
  • Anonimizar, bloquear ou eliminar dados pessoais;
  • Portabilidade de dados pessoais;
  • Receber informações sobre o compartilhamento de dados pessoais;
  • Anular o consentimento dado.

Tratamento irregular

É classificado como tratamento irregular quando deixar de observar a legislação ou quando não fornecer segurança essencial.

Responde pelos prejuízos resultantes da quebra de segurança dos dados a empresa junto com o controlador ou o operador, mesmo ao final do tratamento.

Governança

As empresas têm que registrar procedimentos entre o controlador e o operador para simplificar a comprovação dos procedimentos à Autoridade Nacional de Proteção de Dados (ANPD).

Além disso, as empresas devem viabilizar treinamentos e ações educativas aos seus membros e funcionários visando à atenuação de riscos e a devida informação aos titulares de dados.

Incidente de segurança

Quando existir um incidente de segurança que provoque risco ou prejuízo relevante aos titulares, caberá à empresa tomar as seguintes providências:

  • Descrever da natureza dos dados pessoais afetados;
  • Apresentar as informações sobre os titulares envolvidos;
  • Indicar medidas técnicas e de segurança aplicadas para a proteção dos dados, observados os segredos comercial e industrial;
  • Os riscos relacionados ao incidente;
  • As razões do atraso, no caso de a comunicação não ter sido instantânea;
  • As providências que foram ou que serão adotadas para reverter ou mitigar os efeitos dos danos causados.

Autoridade Nacional de Proteção de Dados (ANPD)

Órgão de natureza federal vinculada à Presidência da República nos primeiros dois anos de sua implementação, com incumbências de natureza normativo-interpretativa, fiscalizatória e integrativa e com competência para:

  • Editar normas e procedimento sobre a proteção de dados pessoais;
  • Solicitar informações, a qualquer momento, aos controladores e operadores de dados pessoais que efetuem operações de tratamento de dados pessoais;
  • Fiscalizar e aplicar sanções na hipótese de tratamento de dados em descumprimento com a legislação mediante processo administrativo que assegure o contraditório e ampla defesa;
  • Promover ações de cooperação com autoridades de proteção de dados pessoais de outros países;
  • Editar normas e procedimentos diferenciados de modo a facilitar a adequação à LGPD para as empresas de pequeno porte e microempresas

 

A ANPD será composta por um Conselho Diretor (5 membros) indicados pelo Conselho Nacional de Proteção de Dados e Privacidade, composto por 23 membros (art. 58); por uma Corregedoria e uma Ouvidoria. Possuirá, também, órgão de aconselhamento jurídico próprio, podendo servir como órgão consultivo para as empresas adotarem as melhores práticas de cumprimento à lei e prevê unidades administrativas específicas

Sanções

A Autoridade Nacional de Proteção de Dados aplicará as seguintes sanções sobre incidentes de dados:

  • Advertência, com indicação de prazo para adoção de medidas corretivas;
  • Multa de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por violação;
  • Multa diária, observado o limite total a que se refere o inciso II;
  • Divulgação da infração após devidamente apurada e confirmada a sua ocorrência.

 

As empresas deverão atuar diretamente junto aos titulares dos dados quando existir um incidente de vazamento de dados, pois o § 7º do art. 52 prevê que a conciliação direta entre controlador e titular para reparação e, caso não exista acordo, o controlador estará sujeito à aplicação das penalidades de que trata este artigo.

Aplicação do código de defesa do consumidor

A Lei Geral de Proteção de Dados Pessoais está inclusa dentro do Sistema Nacional de Defesa do Consumidor (art. 45) e por tal razão, os direitos dos titulares dos dados, tratados como consumidores by standard, lhes são garantidos tais como: a inversão do ônus da prova, a presunção de hipossuficiência, o direito à informação e explicação entre outros.

No entanto, a Lei Geral de Proteção de Dados Pessoais também poderá ser aplicada em outros contextos jurídicos como nas relações de trabalho.

 

Veja como a sua empresa pode implementar a Lei Geral de Proteção de Dados Pessoais:

 

  • Estudar a Lei Geral de Proteção de Dados e demais leis que regulamentam o seu negócio;
  • Estruturar a entrada e o tratamento dos dados pessoais
  • Mapear os riscos do tratamento
  • Desenvolver o relatório de impacto de proteção de dados
  • Elaborar a política de proteção de dados e adaptar os documentos internos e externos da empresa
  • Administrar os pedidos dos titulares e dos órgãos
  • Treinar as equipes que tratam dados pessoais 
  • Ser compliance com a proteção de dados mediante governança
  • Requisitar o compliance da proteção de dados de seus fornecedores
  • Desenvolvimento de novos produtos com o princípio de privacy by design
  • Nomear um DPO com conhecimentos regulatórios sobre proteção de dados

 

Assista:

Assista ao vídeo da gravação da entrevista do nosso Consultor WSI, Caio Cunha, na TV Educadora: Educadoraonline.com.br

 
Visualizar publicação completa