LGPD
CONCEITOS DA LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LGPD)
Com a aprovação em 2018 da Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709/2018) brasileira e o funcionamento da Autoridade Nacional de Proteção de Dados (ANPD), fica ainda mais clara a relevância do tema e a necessidade de atenção da sociedade para o tratamento de dados pessoais coletados no dia a dia. É neste mesmo sentido que houve a promulgação, em fevereiro de 2022, da Emenda Constitucional no 115, de maneira a consolidar este entendimento a partir da inclusão na Constituição Federal brasileira da garantia à proteção dos dados pessoais entre os direitos e garantias fundamentais do indivíduo, bem como do estabelecimento da competência privativa da União para legislar sobre o tema.
A lei possui 10 capítulos e 65 artigos e estão distribuídos da seguinte forma: Capítulo I apresenta as disposições gerais e traz no art. 2º os princípios que fundamentam a proteção de dados pessoais, no art. 3º a territorialidade de aplicação da lei, no art. 4º é trazido a inaplicabilidade da lei, e no art. 5º temos os conceitos gerais.
O capítulo II nos traz os requisitos para o tratamento de dados pessoais, dados pessoais sensíveis, dados pessoais de criança e adolescente, e as hipóteses de término do tratamento de dados.
O capítulo III apresenta os direitos dos titulares e os prazos e formas para atendimento de requisições dos titulares.
O Poder Público tem um capítulo específico, o capítulo IV. Ele nos traz as regras de tratamento de dados pessoais pelo Poder Público e a suas responsabilidades.
O capítulo V trata da transferência internacional de dados.
O capítulo VI apresenta os agentes de tratamento de dados pessoais, que são o controlador, o operador e o encarregado pelo tratamento de dados pessoais, e ainda, aborda a responsabilidade dos agentes e o ressarcimento de danos.
O capítulo VII discorre sobre a segurança e das boas práticas a serem adotadas quando do tratamento de dados pessoais.
O capítulo VIII trata da fiscalização acerca da proteção de dados pessoais, inclusive abordando as sanções administrativas a que estão sujeitos, os controladores e operadores, e que podem ser aplicadas pela ANPD.
O capítulo IX trata da Autoridade Nacional de Proteção de Dados – ANPD, órgão da administração pública federal, integrante da Presidência da República, e do Conselho Nacional de Proteção de Dados Pessoais e da.
Por fim, temos o capítulo X que trata das disposições finais e transitórias.
De maneira geral, a Lei preza que os dados pessoais deverão ser utilizados apenas para as finalidades específicas para as quais foram coletados e devidamente informadas aos titulares, e, desta forma, somente devem ser coletados os dados mínimos necessários para que se possa atingir a respectiva finalidade, e, após atingida a finalidade pela qual eles foram coletados, a LGPD determina a imediata exclusão dos dados – excetuando casos em que a conservação é necessária para o cumprimento de obrigações legais ou regulatórias, por exemplo.
Em se considerando a complexidade da LGPD e, consequentemente, de um projeto de adequação, foi determinado um prazo de carência de 2 anos (2018-2020), conforme seu artigo 65, para que a lei pudesse ser efetivamente aplicada, de modo que as organizações pudessem, assim, adaptar-se às novas normas.
A LGPD é uma realidade para as empresas brasileiras sejam elas públicas ou privadas e, agir neste contexto, com a segurança jurídica necessária será determinante para uma sólida adequação e conformidade à norma, bem como resguardará a organização contra aplicação de sanções que, muitas vezes poderão se traduzir em multas de alto vulto conforme previsão no artigo 52 da LGPD.
Assim, é de extrema relevância que as organizações se apoiem em profissionais especializados com conhecimento multidisciplinar para apoiar a aplicação de boas práticas, planejar, executar e acompanhar todo o processo de adequação à Lei Geral de Proteção de Dados Pessoais.
É importante que as organizações visualizem o processo de adequação à LGPD, não como “mais uma lei a ser cumprida”, mas sim, como uma forma de agregar valor aos seus negócios e produtos, pois, ainda que a cultura de privacidade e proteção de dados no Brasil esteja iniciando, a crescente conscientização da população sobre a necessidade de se ter controle sobre seus dados pessoais é uma tendência mundial, que fará cada vez mais parte da realidade de todos nós. Entender esse cenário de proteção de dados como um elemento de confiança é, com certeza, um diferencial competitivo junto ao mercado e à sociedade.
COMO A LEGISLAÇÃO DE PROTEÇÃO DE DADOS PESSOAIS PODE AJUDAR O BRASIL?
A LGPD tem por objetivo proteger os direitos fundamentais relacionados à esfera informacional do cidadão. Assim, a Lei introduz uma série de novos direitos que asseguram maior transparência quanto ao tratamento dos dados e conferem protagonismo ao titular quanto ao seu uso.
A aprovação da LGPD e a criação da Autoridade Nacional de Proteção de Dados – ANPD representam também importantes passos para colocar o Brasil no mesmo patamar de muitos outros países que já aprovaram leis e estruturas institucionais dessa natureza.
A constituição de um ambiente jurídico voltado à proteção de dados pessoais corresponde também ao alinhamento com diretrizes da Organização para a Cooperação e Desenvolvimento Econômico – OCDE, que há décadas vem desempenhando um relevante papel na promoção do respeito à privacidade como um valor fundamental e como um pressuposto para o livre fluxo de dados.
Por fim, do ponto de vista dos agentes de tratamento de dados, sejam empresas ou o próprio poder público, a LGPD traz a oportunidade de aperfeiçoamento das políticas de governança de dados, com adoção de regras de boas práticas e incorporação de medidas técnicas e administrativas que mitiguem os riscos e aumentem a confiança dos titulares dos dados na organização.
A doutora Patrícia Peck, nos traz que:
“A Lei nº 13.709/2018 é um novo marco legal brasileiro de grande impacto, tanto para as instituições privadas como para as públicas, por tratar da proteção dos dados pessoais dos indivíduos em qualquer relação que envolva o tratamento de informações classificadas como dados pessoais, por qualquer meio, seja por pessoa natural, seja por pessoa jurídica. É uma regulamentação que traz princípios, direitos e obrigações relacionados ao uso de um dos ativos mais valiosos da sociedade digital, que são as bases de dados relacionados às pessoas.
O espírito da lei foi proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, trazendo a premissa da boa-fé para todo o tipo de tratamento de dados pessoais, que passa a ter que cumprir uma série de princípios, de um lado, e de itens de controles técnicos para a governança da segurança das informações, de outro lado, dentro do ciclo de vida do uso da informação que identifique ou passa identificar uma pessoa e esteja relacionada a ela, incluindo a categoria de dados sensíveis.
O motivo que inspirou o surgimento de regulamentações de proteção de dados pessoais de forma mais consistente e consolidada a partir dos anos 1990 está diretamente relacionado ao próprio desenvolvimento do modelo de negócios da economia digital, que passou a ter uma dependência muito maior dos fluxos internacionais de bases de dados, especialmente os relacionados às pessoas, viabilizados pelos avanços tecnológicos e pela globalização. Desse modo, houve a necessidade de resgatar e repactuar o compromisso das instituições com os indivíduos, cidadãos desta atual sociedade digital, no tocante à proteção e à garantia dos direitos humanos fundamentais, como o da privacidade, já celebrados desde a Declaração Universal dos Direitos Humanos (DUDH) de 1948.
A base desse pacto é a liberdade, mas o fiel da balança é a transparência. Sendo assim, as leis sobre proteção de dados pessoais têm uma característica muito peculiar de redação principiológica e de amarração com indicadores mais assertivos, de ordem técnica, que permitam auferir de forma auditável se o compromisso está sendo cumprido, por meio da análise de trilhas de auditoria e da implementação de uma série de itens de controle para uma melhor governança dos dados pessoais”.
Fonte: PECK, Patrícia. Proteção de Dados Pessoais. Comentários à Lei nº 13.709/2018 LGPD. São Paulo: Saraiva, 2018.
QUEM SÃO OS ATORES DA LGPD?
A LGPD é instrumentalizada por cinco atores:
(i) o principal deles, o titular dos dados pessoais;
(ii) o controlador;
(iii) o operador de dados;
(iv) o encarregado; e,
(v) a Autoridade Nacional de Proteção de Dados (ANPD).
O controlador e o operador, em conjunto, são considerados os “agentes de tratamento”. Esses atores vão, de alguma forma, interagir nas diversas etapas do tratamento de dados pessoais.
Esta ilustração tem por objetivo identificar e trazer as principais características de cada um dos 5 atores da LGPD, sem a pretensão de esgotar o assunto.
AS ORGANIZAÇÕES TEM A OBRIGAÇÃO DE INDICAR UM ENCARREGADO DE PROTEÇÃO DE DADOS PESSOAIS (DPO)
Muitas organizações ainda não se sensibilizaram para a necessidade de indicar o seu Encarregado de Proteção de Dados Pessoais, também conhecido como DPO (Data Protection Officer).
Indicar o DPO é uma obrigação legal com previsão no artigo 41 da LGPD, que determina que o Controlador (Alternativa Contabilidade e Assessoria) divulgue publicamente a identidade e as informações de contato do Encarregado, de forma clara e objetiva, preferencialmente no seu sítio eletrônico.
A Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução CD/ANPD n° 18/2024, em 17 de julho de 2024, que aprova o Regulamento sobre a atuação do Encarregado pelo tratamento de dados pessoais. A norma estabelece regras sobre a indicação, definição, atribuições e atuação do Encarregado.
A LGPD SE APLICA A QUEM?
A LGPD é aplicável aos dados de pessoas naturais e deve ser cumprida por pessoa natural e entidades públicas ou privadas, independentemente do país de sua sede ou de onde os dados estejam localizados, que realizem qualquer operação de tratamento de dados pessoais, tais como a coleta, armazenamento e compartilhamento de dados com terceiros, desde que esse tratamento (i) seja realizado no território nacional, (ii) tenha por objeto a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional, ou, ainda, (iii) quando os dados pessoais tiverem sido coletados em território nacional.
Capitaneados pela Autoridade Nacional de Proteção de Dados (ANPD), o Procon, a Defensoria Pública e o Ministério Público são os órgãos de fiscalização de conformidade e cumprimento da LGPD.
O titular de dados pessoais (pessoa física) poderá a qualquer momento exercer seus direitos, previstos no artigo 18 da LGPD, e o Controlador ou o Operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
O QUE SIGNIFICA TRATAR UM DADO PESSOAL?
É essencial que a empresa saiba bem quais dados estão em sua posse, quais são os dados coletados e em que hipóteses esta coleta ocorre, quem são os titulares de dados, quais são as bases legais para a coleta e tratamento destes dados, como e quando estes dados são eliminados, etc.
O tratamento de dados pessoais pode ser realizado quando se verificar a ocorrência de qualquer uma das hipóteses previstas em seu artigo 7º ou, no caso de dados pessoais sensíveis, de uma das hipóteses previstas no artigo 11. Existem dez bases legais distintas para o tratamento de dados pessoais e oito bases legais que legitimam o tratamento de dados pessoais sensíveis.
Vale notar que a LGPD é aplicável também aos dados cujo acesso é público e àqueles tornados manifestamente públicos pelos titulares, resguardando-se a observância dos princípios gerais e dos direitos dos titulares previstos na Lei.
É importante que a empresa tenha todas estas informações documentadas por meio de um mapeamento de dados pessoais, que ajudará na organização interna da empresa e consequentemente nas respostas às requisições externas, sejam elas das autoridades, titulares ou de parceiros comerciais.
Tendo em mãos o mapeamento de dados, e consequentemente tendo consciência e organização sobre o ciclo de vida dos dados em sua empresa, a gestão dos direitos dos titulares se torna muito mais fácil. A desorganização, por outro lado, é o maior obstáculo para um bom sistema de gestão de direitos, especialmente considerando que a LGPD e a ANPD estabelecem prazos e cronogramas para as respostas aos pedidos dos titulares.
Um dado pessoal à luz da LGPD, constitui, dessa maneira, qualquer informação relacionada à pessoa natural que possa ser identificada ou identificável, ou seja, qualquer Dado que possa permitir a identificação de uma pessoa física de forma individualizada.
Portanto, podemos entender o tratamento de dados como sendo toda operação realizada com dados pessoais (Art. 5º, X, da LGPD).
QUAIS AS HIPÓTESES LEGAIS PARA O TRATAMENTO DE DADOS PESSOAIS E DADOS PESSOAIS SENSÍVEIS?
A Lei Geral de Proteção de Dados Pessoais prevê 10 hipóteses legais para que a organização possa realizar o tratamento de dados pessoais.
O tratamento de dados pessoais (não sensíveis) poderá ser realizado em qualquer uma das seguintes hipóteses, previstas no art. 7º da LGPD.
Art. 7º da LGPD – O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I – mediante o fornecimento de consentimento pelo titular;
II – para o cumprimento de obrigação legal ou regulatória pelo controlador;
III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII – para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Já os dados pessoais sensíveis são aqueles aos quais a LGPD conferiu uma proteção ainda maior, por estarem diretamente relacionamentos aos aspectos mais íntimos da personalidade de um indivíduo.
Assim, são dados pessoais sensíveis aqueles relativos à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a um indivíduo.
A seguir podemos observar, de forma ilustrativa, os tipos de dados pessoais sensíveis descritos de forma taxativa no artigo 11 da LGPD.
QUAIS PRINCÍPIOS A SEREM OBSERVADOS NO TRATAMENTO DE DADOS PESSOAIS?
A Lei Geral de Proteção de Dados Pessoais prevê 10 princípios, que são a espinha dorsal do tratamento de dados pessoais e que devem ser respeitados pelas organizações e levados em consideração em qualquer atividade que envolva o tratamento.
Art. 6º da LGPD – As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
QUAL O ENVOLVIMENTO DA ÁREA DE TI NO PROCESSO DE ADEQUAÇÃO À LGPD?
A participação da área de TIC é muito importante no processo de busca por conformidade à LGPD, pois ela está envolvida diretamente em prover o apoio e a disponibilização da infraestrutura e dos sistemas que sustentam as demandas de privacidade no ambiente organizacional, além de assegurar que as ferramentas, processos e boas práticas da segurança da informação e privacidade estão a postos e em conformidade legal.
Essa área tem uma participação ampla e abrangente já que a Lei deixa claro que as empresas devem adotar medidas técnicas e administrativas para assegurar a proteção dos seus dados pessoais. Porém, o envolvimento de todas as áreas é fundamental, principalmente do jurídico, compliance e negócio.
O processo para entrar em conformidade com a LGPD deve passar por pessoas, áreas, processos, sistemas, parceiros jurídicos e de tecnologia. Por conta de todas estas variáveis envolvidas, entendemos que a tecnologia faz grande diferença no enfrentamento dessa jornada, pois, dependendo do porte e nível de complexidade do ambiente de uma organização, gerenciar todas essas entidades de acordo com os requisitos da lei sem uma ferramenta de gestão que consiga agregar, registrar e controlar todas essas demandas pode se tornar um projeto extremamente difícil.
Segundo o Art. 49 da Lei, os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na LGPD e nas demais normas regulamentares.
