Lei Geral de Proteção de Dados (LGPD)

 


O Lei Geral de Proteção de Dados (Lei no 13.709/2018) é uma das legislações mais significativas criadas nos últimos anos, conhecida como LGPD. Essa legislação estabeleceu diversos limites e implementações as Empresas que controlam e tratam dados pessoais dos cidadãos, de forma a propiciar uma proteção mais adequada a esses dados, respeitando direitos como privacidade, intimidade e liberdade de expressão.

Essa lei diz respeito aos dados pessoais dos brasileiros, onde quer que estejam armazenados, além de prever exigências na proteção destes dados e penalidades pelo descumprimento.


Como a LGPD tem como finalidade promover a proteção de dados pessoais, o destinatário desta Lei e principal beneficiado por ela é a pessoa natural, titular dos dados. Esse titular está definido no Art. 5º, V da Lei 13.709/2018, como sendo: “titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento”.

A este titular dos dados a Lei confere direitos:

  1. Direito de ser informado: saber quais dados serão coletados, porque, por quem, com que finalidade e para onde os dados serão enviados;
  2. Direito de acesso: poder acessar os dados pessoais mantidos pelas empresas;
  3. Direito à retificação: corrigir os dados se estiverem errados ou imprecisos;
  4. Direito de eliminar: remover dados pessoais quando não forem mais necessários;
  5. Direito de restringir o tratamento: pausar o tratamento dos dados, se houver motivos para fazê-lo;
  6. Direito à portabilidade de dados: obter os dados em um formato transportável e movendo-os para operador alternativo;
  7. Tomada de decisão e perfil automatizados: ter um ser humano envolvido em decisões importantes.

Também estão envolvidos na LGPD os agentes de tratamentos desses dados pessoais, que são:

Controlador: descrito no Inciso VI do Art. 5º da Lei, como sendo: “… pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”. É aquele que toma as decisões operacionais e estratégicas quanto aos dados.

Operador: descrito no Inciso VII do Art. 5º da Lei, como sendo: “… pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”. Ou seja, é aquele que trabalha diretamente com os dados objeto do tratamento.

Por força da Lei da LGPD foi instituído a Autoridade Nacional de Proteção de Dados (ANPD), que será responsável por zelar, implementar e fiscalizar os cumprimentos da LGPD em todo o território nacional, bem como a aplicação das sanções descrita na lei (Art. 5º, XIX e Art. 55-J, IV).


O objeto de proteção da LGPD são os dados pessoais de um indivíduo, coletados e utilizados na atividade econômica.

Esses dados estão definidos no Art. 5º, I e II da Lei 13.709/2018, sendo:

Dado Pessoal, que é qualquer informação relacionada a um indivíduo, uma pessoa natural identificada ou identificável, como o nome e sobrenome; data de nascimento, CPF, RG, CNH, CTPS, passaporte, título de eleitor, sexo, endereço, e-mail, telefone e etc.

Dado Pessoal Sensível, que são aqueles que se refere a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.


Para aqueles que não se adequarem a LGPD ou darem tratamento dos dados em descumprimento a legislação, estarão sujeitos a:

Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
I – advertência, com indicação de prazo para adoção de medidas corretivas;
II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III – multa diária, observado o limite total a que se refere o inciso II;
IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI – eliminação dos dados pessoais a que se refere a infração;
X – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Essas sanções previstas na LGPD não substituem a aplicação de outras sanções na esfera administrativa, civil, penal ou no código de defesa do consumidor, conforme prescreve o Art. 52, § 2º da Lei 13.709/2018.


Primeiramente você não pode mais esperar, precisa urgentemente iniciar esse processo dentro da sua empresa, porque deixar o seu negócio em conformidade com a LGPD pode levar alguns meses.

Abaixo apresentamos uma sugestão de como fazer esse processo de adequação:

  1. Nomear uma pessoa (funcionário) para ser o Oficial de Proteção de Dados ou Encarregado;
  2. Criar um comitê executivo para análise e tomadas de decisões;
  3. Realizar um levantamento das áreas (que tratam de dados pessoais), que deverão ser incluídas no programa.
  4. Mapear e entender o ciclo de vida dos dados dentro da Empresa;
  5. Escrever o programa de privacidade e proteção de dados, que inclua as políticas de uso do site, demais canais da empresa; política de segurança da informação; etc.;
  6. Criar o relatório de impacto a proteção de dados pessoais;
  7. Criar um plano de ação para situações de emergência;
  8. Elaborar um plano de implementação.
Envie uma mensagem WhatsApp Envie uma mensagem de contato