A Lei 13.709, de 2018, conta com mais de 60 artigos, que colocam deveres para empresas públicas e privadas que coletam dados pessoais, direitos que os titulares das informações coletadas e tratadas têm, sanções previstas para infrações e princípios a serem seguidos.
Por isso, para o empresário pode ficar difícil entender o texto da Lei Geral de Proteção de Dados (LGPD). Então, pegamos os principais pontos do texto legal de interesse das empresas para explicá-los de maneira mais simples. Acompanhe.
Principais fundamentos
O Artigo 2° lista os sete fundamentos que basearam a criação da LGPD. Para as rotinas empresariais e objetivos de negócios, os principais são:
- respeito à privacidade dos titulares dos dados;
- autodeterminação informativa dos titulares;
- desenvolvimento econômico e tecnológico e inovação;
- livre concorrência em paralelo à defesa do consumidor.
Tipos de dados
Primeiramente, a legislação tem como objeto somente dados coletados dentro do território nacional e para tratamento efetuado também no Brasil, para atividades cujos objetivos sejam oferta e/ou fornecimento de bens ou serviços.
Dentro desse volume geral, as informações são divididas em alguns tipos. Veja:
- dado pessoal: informação de pessoa física identificável;
- dado pessoal sensível: informação cuja vinculação a uma pessoa pode gerar constrangimento por ação de outros ou algum tipo de discriminação. Exemplos de dados sensíveis são os relacionados a cor, etnia, religião, orientação sexual, filosofia política e saúde e genética;
- dado anonimizado: é a informação do titular que não pode ser identificado com os recursos disponíveis à empresa que fez a coleta.
Tratamento de dados
Tratamento é uma nomenclatura generalizada que a LGPD dá ao trabalho feito junto às informações. Individualmente, uma série de trabalhos podem ser realizados a partir da coleta e da autorização dos proprietários dos dados.
No texto legal, os que estão expressamente citados no Artigo 5° são:
- coleta ou recepção;
- produção de informação;
- classificação;
- acesso aos dados;
- reprodução;
- transmissão;
- distribuição;
- processamento;
- arquivamento;
- modificação;
- exclusão;
- controle;
- avaliação;
- difusão;
- extração.
Seja uma dessas ações praticadas ou todas elas, na coleta o titular deve ser informado das atividades de tratamento que serão feitas, incluindo alguma prática derivada da lista e não citada no artigo diretamente.
Depois, o Artigo 7° lista as hipóteses nas quais o tratamento pode ser feito. No âmbito empresarial, os principais critérios a serem observados são:
- mediante o consentimento dos titulares;
- para cumprimento de obrigação legal ou regulatória do controlador;
- para execução de contrato incluindo o titular;
- quando necessário para atingimento de objetivos do controlador, guardados os limites de finalidade e com consentimento dos titulares;
- para proteção do crédito.
Agentes de tratamento
A empresa que coleta e trata os dados é denominada controladora, que oficialmente é a responsável pelas decisões acerca das informações e das variadas ações de tratamento.
O operador é aquele que, em nome e sob ordem da controladora, coleta e/ou trabalha com os dados coletados. Por isso, pode haver vários controladores dentro de um mesmo negócio, como uma agência de publicidade, que lida com dados de prospects e clientes, um escritório de contabilidade responsável pela folha de pagamentos da controladora, entre outros.
Por fim, o encarregado é a pessoa indicada pela controladora para ser a responsável pela estratégia de tratamento e também é o canal de comunicação entre a empresa e a Agência Nacional de Proteção de Dados (ANPD), órgão fiscalizador da lei. Na prática empresarial, esse profissional é o Data Protection Officer (DPO), ou diretor de proteção de dados.
Princípios a serem seguidos
Em qualquer atividade de tratamento, a empresa deve respeitar 10 princípios colocados no Artigo 6°:
- finalidades e necessidade: o tratamento deve ter objetivos específicos, sempre informados aos titulares, e precisa se limitar a tais finalidades;
- adequação entre as finalidades e o tratamento dispensado;
- acesso dos titulares: eles devem poder a qualquer momento e gratuitamente acessar o conjunto de dados fornecidos e terem a possibilidade de saber a duração do tratamento;
- qualidade: a empresa deve garantir que os dados coletados estejam claros, exatos e atualizados;
- transparência: as informações sobre o tratamento dispensado aos dados têm de ser facilmente acessadas pelos titulares, estando claras para facilitar a compreensão;
- segurança: a controladora deve adotar processos e tecnologia para garantir a segurança das informações e a privacidade dos titulares;
- prevenção: definição de processos e recursos para evitar danos aos titulares durante o tratamento;
- não discriminação e não cometimento de práticas abusivas;
- responsabilização e prestação de contas: a empresa deve adotar as medidas necessárias para cumprir com as obrigações impostas pela LGPD e ter condições de comprovar a eficácia dos processos estabelecidos e dos recursos tecnológicos implementados.
Dispensa de consentimento
Não é necessário obter consentimento para coleta e tratamento de dados tornados públicos pelos titulares. Mesmo assim, a empresa não fica dispensada de outras obrigações, como manter o sigilo e a segurança das obrigações.
Conforme o mesmo artigo que cita a regra anterior, o Artigo 7°, também existe a dispensa de consentimento para o tratamento em hipótese de legítimo interesse da controladora, desde que isso não configure violações de direitos fundamentais e liberdades fundamentais dos titulares. Algumas hipóteses que configuram legítimo interesse são:
- apoio à promoção de atividades da controladora;
- proteção de direitos da empresa em relação aos titulares, como um processo de análise de crédito;
- entrega de serviços que beneficiem os titulares.
Penas previstas
O Artigo 52 prevê penalidades que a ANPD pode aplicar diante de violações da LGPD. São elas:
- advertência acompanhada de prazo para as devidas correções;
- multa de até 2% do faturamento, limitada a R$ 50 milhões por infração;
- multa diária, observando o limite citado acima;
- publicização da infração;
- bloqueio do uso dos dados envolvidos nas infrações identificadas;
- eliminação dos dados envolvidos nas infrações;
- suspensão parcial do banco de dados envolvido nas infrações por até seis meses e prorrogável pelo mesmo período;
- proibição parcial ou total das atividades de tratamento de dados da empresa.
Quaisquer dessas penalidades apenas serão aplicadas após processo administrativo que possibilite a defesa do suposto infrator e mediante decisão que ratifique as infrações avaliadas investigadas. Com isso, a pena efetivada é dada de acordo com critérios como gravidade dos atos, natureza das ações, condição econômica do controlador, reincidência ou não e grau de cooperação do infrator.
Para ter a empresa adequada à LGPD e evitar as sanções que citamos, é necessário contar com um programa de compliance que compreenda também essa adequação. Entenda neste post a relação entre compliance e LGPD e como o programa trabalha no âmbito do tratamento de dados.