Magno Compliance

WordPress Template Site for One Page Design of Website Development, Website Designing Company

LGPD: entenda todos os pontos dessa lei

LGPD
Por adminPostado em Postado em UncategorizedSem comentários em LGPD: entenda todos os pontos dessa lei

A Lei 13.709, de 2018, conta com mais de 60 artigos, que colocam deveres para empresas públicas e privadas que coletam dados pessoais, direitos que os titulares das informações coletadas e tratadas têm, sanções previstas para infrações e princípios a serem seguidos.

Por isso, para o empresário pode ficar difícil entender o texto da Lei Geral de Proteção de Dados (LGPD). Então, pegamos os principais pontos do texto legal de interesse das empresas para explicá-los de maneira mais simples. Acompanhe.

Principais fundamentos

O Artigo 2° lista os sete fundamentos que basearam a criação da LGPD. Para as rotinas empresariais e objetivos de negócios, os principais são:

  • respeito à privacidade dos titulares dos dados;
  • autodeterminação informativa dos titulares;
  • desenvolvimento econômico e tecnológico e inovação;
  • livre concorrência em paralelo à defesa do consumidor.

Tipos de dados

Primeiramente, a legislação tem como objeto somente dados coletados dentro do território nacional e para tratamento efetuado também no Brasil, para atividades cujos objetivos sejam oferta e/ou fornecimento de bens ou serviços.

Dentro desse volume geral, as informações são divididas em alguns tipos. Veja:

  • dado pessoal: informação de pessoa física identificável;
  • dado pessoal sensível: informação cuja vinculação a uma pessoa pode gerar constrangimento por ação de outros ou algum tipo de discriminação. Exemplos de dados sensíveis são os relacionados a cor, etnia, religião, orientação sexual, filosofia política e saúde e genética;
  • dado anonimizado: é a informação do titular que não pode ser identificado com os recursos disponíveis à empresa que fez a coleta.

Tratamento de dados

Tratamento é uma nomenclatura generalizada que a LGPD dá ao trabalho feito junto às informações. Individualmente, uma série de trabalhos podem ser realizados a partir da coleta e da autorização dos proprietários dos dados.

No texto legal, os que estão expressamente citados no Artigo 5° são:

  • coleta ou recepção;
  • produção de informação;
  • classificação;
  • acesso aos dados;
  • reprodução;
  • transmissão;
  • distribuição;
  • processamento;
  • arquivamento;
  • modificação;
  • exclusão;
  • controle;
  • avaliação;
  • difusão;
  • extração.

Seja uma dessas ações praticadas ou todas elas, na coleta o titular deve ser informado das atividades de tratamento que serão feitas, incluindo alguma prática derivada da lista e não citada no artigo diretamente.

Depois, o Artigo 7° lista as hipóteses nas quais o tratamento pode ser feito. No âmbito empresarial, os principais critérios a serem observados são:

  • mediante o consentimento dos titulares;
  • para cumprimento de obrigação legal ou regulatória do controlador;
  • para execução de contrato incluindo o titular;
  • quando necessário para atingimento de objetivos do controlador, guardados os limites de finalidade e com consentimento dos titulares;
  • para proteção do crédito.

Agentes de tratamento

A empresa que coleta e trata os dados é denominada controladora, que oficialmente é a responsável pelas decisões acerca das informações e das variadas ações de tratamento.

O operador é aquele que, em nome e sob ordem da controladora, coleta e/ou trabalha com os dados coletados. Por isso, pode haver vários controladores dentro de um mesmo negócio, como uma agência de publicidade, que lida com dados de prospects e clientes, um escritório de contabilidade responsável pela folha de pagamentos da controladora, entre outros.

Por fim, o encarregado é a pessoa indicada pela controladora para ser a responsável pela estratégia de tratamento e também é o canal de comunicação entre a empresa e a Agência Nacional de Proteção de Dados (ANPD), órgão fiscalizador da lei. Na prática empresarial, esse profissional é o Data Protection Officer (DPO), ou diretor de proteção de dados.

Princípios a serem seguidos

Em qualquer atividade de tratamento, a empresa deve respeitar 10 princípios colocados no Artigo 6°:

  • finalidades e necessidade: o tratamento deve ter objetivos específicos, sempre informados aos titulares, e precisa se limitar a tais finalidades;
  • adequação entre as finalidades e o tratamento dispensado;
  • acesso dos titulares: eles devem poder a qualquer momento e gratuitamente acessar o conjunto de dados fornecidos e terem a possibilidade de saber a duração do tratamento;
  • qualidade: a empresa deve garantir que os dados coletados estejam claros, exatos e atualizados;
  • transparência: as informações sobre o tratamento dispensado aos dados têm de ser facilmente acessadas pelos titulares, estando claras para facilitar a compreensão;
  • segurança: a controladora deve adotar processos e tecnologia para garantir a segurança das informações e a privacidade dos titulares;
  • prevenção: definição de processos e recursos para evitar danos aos titulares durante o tratamento;
  • não discriminação e não cometimento de práticas abusivas;
  • responsabilização e prestação de contas: a empresa deve adotar as medidas necessárias para cumprir com as obrigações impostas pela LGPD e ter condições de comprovar a eficácia dos processos estabelecidos e dos recursos tecnológicos implementados.

 Dispensa de consentimento

Não é necessário obter consentimento para coleta e tratamento de dados tornados públicos pelos titulares. Mesmo assim, a empresa não fica dispensada de outras obrigações, como manter o sigilo e a segurança das obrigações.

Conforme o mesmo artigo que cita a regra anterior, o Artigo 7°, também existe a dispensa de consentimento para o tratamento em hipótese de legítimo interesse da controladora, desde que isso não configure violações de direitos fundamentais e liberdades fundamentais dos titulares. Algumas hipóteses que configuram legítimo interesse são:

  • apoio à promoção de atividades da controladora;
  • proteção de direitos da empresa em relação aos titulares, como um processo de análise de crédito;
  • entrega de serviços que beneficiem os titulares.

Penas previstas

O Artigo 52 prevê penalidades que a ANPD pode aplicar diante de violações da LGPD. São elas:

  • advertência acompanhada de prazo para as devidas correções;
  • multa de até 2% do faturamento, limitada a R$ 50 milhões por infração;
  • multa diária, observando o limite citado acima;
  • publicização da infração;
  • bloqueio do uso dos dados envolvidos nas infrações identificadas;
  • eliminação dos dados envolvidos nas infrações;
  • suspensão parcial do banco de dados envolvido nas infrações por até seis meses e prorrogável pelo mesmo período;
  • proibição parcial ou total das atividades de tratamento de dados da empresa.

Quaisquer dessas penalidades apenas serão aplicadas após processo administrativo que possibilite a defesa do suposto infrator e mediante decisão que ratifique as infrações avaliadas investigadas. Com isso, a pena efetivada é dada de acordo com critérios como gravidade dos atos, natureza das ações, condição econômica do controlador, reincidência ou não e grau de cooperação do infrator.

Para ter a empresa adequada à LGPD e evitar as sanções que citamos, é necessário contar com um programa de compliance que compreenda também essa adequação. Entenda neste post a relação entre compliance e LGPD e como o programa trabalha no âmbito do tratamento de dados.

LGPD: entenda todos os pontos dessa lei

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Rolar para o topo