É uma lei que foi sancionada em agosto de 2018, mas, só entrou em vigor em setembro de 2020. Esta lei estipula uma série de obrigações para empresas e organizações sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, tanto online quanto offline.

Com a LGPD, o Brasil entra para o rol de mais de 120 países que possuem lei específica para a proteção de dados pessoais. A lei prevê multas e penalidades consideráveis no caso de não cumprimento dos requisitos impostos na lei.

Mas a quem se aplica?

A LGPD possui aplicação chamada extraterritorial. Isso significa que a LGPD se aplica independentemente da localização da sede, ou a localização em que os dados são processados.

 

Nesse caso é aplicável para empresas e organizações que processam dados pessoais de cidadãos brasileiros, independentemente da localização física da empresa, ou seja, se os dados pertencem a indivíduos localizados no Brasil, ou se os dados foram coletados no Brasil (casos em que o titular dos dados estava no Brasil no momento da coleta).

Desde compras on-line a redes sociais, de hospital a bancos, de escolas a teatros, de hotéis a órgãos públicos, da publicidade a tecnologia. Pode ter certeza, a LGPD afeta todos os tipos de serviços, e a todos nós, seja no papel de indivíduo, empresa ou governo.   

 

Quais os principais conceitos da LGPD?

 

É importante conhecer os conceitos básicos que norteiam as especificações da LGPD.

​

Dado Pessoal – O que é?

Qualquer dado, isolado ou em conjunto com outros dados, que possa identificar uma pessoa, ou que possa sujeitar uma pessoa a determinado comportamento, pode vir a ser considerado um “dado pessoal”.

 

Dado pessoal sensível – O que é?

Aqueles sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, ou a organização de carácter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

 

O que pode ser considerado um tratamento de dados?

 

Tratamento é qualquer operação realizada com um dado, da coleta ao descarte. A LGPD estipula normas para qualquer ação de tratamento de dados pessoais: como a coleta, classificação, utilização, compartilhamento, reprodução, processamento, arquivamento, armazenamento etc.

 

Você sabia que existem dois principais agentes, com papéis e responsabilidades específicas?

De acordo com a LGPD são: O Controlador e o Operador

Controlador - Toma as decisões sobre o tratamento

Operador – Realiza o tratamento em nome do controlador

 

E tem mais...

Para lei “pegar” o país contará com a Autoridade Nacional de Proteção de Dados Pessoais – ANPD. Esta instituição vai fiscalizar e, se a LGPD for descumprida vai penalizar. Além é claro, de ter as tarefas de regular e orientar de maneira preventiva, sobre como aplicar a lei.

 

E você sabia que empresas que utilizarem dados pessoais sem uma base legal adequada, tratarão estes dados de forma ilegal?

 

LGPD prevê dez bases legais que autorizam o tratamento de dados pessoais. As bases legais não têm dependência ou predominância entre si, e para todo caso de tratamento de dados, existe uma base legal mais apropriada.

​

Vamos detalhar as 3 principais bases legais previstas na LGPD com alguns exemplos práticos.

Consentimento - É o caso em que a pessoa concorda com o uso dos seus dados para as finalidades propostas pela empresa. Um exemplo prático da base legal do consentimento, no contexto do Marketing Digital, é o checkbox (opt-in) em campos de formulário, para pedir autorização para o envio de comunicações:

• O consentimento deve ser livre, informado, inequívoco e para fins específicos.

      Gostaria de receber e-mails da empresa.

 

Legítimo Interesse – é o mais flexível das bases legais, porém, sua aplicação não é tão simples. Permite o uso de dados, sem a necessidade de consentimento, contudo, é necessário tomar alguns cuidados para entender em quais casos o legítimo interesse pode ser aplicado.

A LGPD ainda não possui as diretrizes específicas sobre a utilização dessa base legal, isso tende a ocorrer quando for estabelecida todas as aplicabilidades da ANPD. Por hora, é sabido que a base legal do legítimo interesse pode ser utilizada em situações que:

• O consentimento do usuário foi muito difícil de ser obtido;

• O consentimento do usuário pode ser considerado desnecessário;

• Quando houver um impacto mínimo no indivíduo ou uma justificativa convincente para sua utilização.

​

Contratos – No caos da base legal contratos, os dados de uma pessoa podem ser processados em dois casos:

• O primeiro é para que seja cumprida uma obrigação prevista em contrato;

• O segundo quando o tratamento de dados serve para validação e início de vigência de um acordo. Exemplo: para contratar um colaborador é preciso fornecer várias informações pessoais.

 

Além destas 3 bases legais mencionadas, existem outras 7 bases legais que autorizam o tratamento dos dados pessoais, como:

• Obrigação legal;

• Execução de Políticas Públicas;

• Estudos por órgão de Pesquisa;

• Processo Judicial;

• Proteção de Vida;

• Tutela de Saúde;

• Proteção de Crédito.

*Em resumo, as bases legais são o ponto de partida para empresas criarem relações mais justas. Quando a empresa for pensar em bases legais é importante repensar a ética por trás das formas que estes dados são coletados e utilizados.

 

E quais serão os impactos sobre as empresas?

 

A LGPD terá grande impacto nas relações comerciais e de consumo que demandam coleta de dados, sobretudo diante da crescente tendência de tratamento de dados pessoais de clientes/consumidores com a finalidade de traçar seu perfil, identificando diversas informações, em especial hábitos de consumo e condições financeiras e de crédito.

Transferência de dados

A utilização dos dados pessoais deve estar relacionada ao negócio jurídico subjacente. Salvo em caso de comprovado interesse público, fica vedada a troca de informações entre varejistas e empresas especializadas em bancos de dados.

A regulação de dados pessoais trazida pela LGPD exige adequações por parte das empresas que coletam dados dos usuários, principalmente no que tange em relação ao consentimento expresso dos usuários sobre a coleta, tratamento de dados, finalidade e eventual transferência de seus dados para terceiros.

Relações Trabalhistas

Nas relações de trabalho e emprego, como o empregador é detentor de informações pessoais de seus empregados, ele deve observar a LGPD, sob pena de responsabilização civil.

Embora a LGPD autorize as empresas a usar os dados pessoais dos seus empregados e prestadores de serviços (art. 7°, V e IX) para a legítima execução dos contratos, em benefício do próprio trabalhador, é necessário cautela e observância às regras da LGPD em todas as suas fases, nos atos praticados antes da contratação, durante a vigência do contrato, nas terceirizações e após a rescisão dos contratos.

Na terceirização de serviços, é preciso obter consentimento dos empregados por escrito para que a empresa faça o tratamento dos seus dados, sobretudo quando for transmiti-los a terceiros (tomadores de serviço), em decorrência da atividade realizada, ou mesmo por exigências legais e contratuais, especificando de maneira clara quais dados serão repassados e para qual finalidade.

Além do consentimento do empregado, é recomendável que as empresas criem obrigações específicas em seus contratos comerciais, de acordo com as exigências impostas pela LGPD no tratamento de dados.

Sanções e Multas

Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional (Art. 52 da Lei 13.709/18):

 

I – advertência, com indicação de prazo para adoção de medidas corretivas;

II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

III – multa diária, observado o limite total a que se refere o inciso II;

IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;

V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

VI – eliminação dos dados pessoais a que se refere a infração;

VII – (VETADO);

VIII – (VETADO);

IX – (VETADO).

X – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;  (Incluído pela Lei nº 13.853, de 2019);   

XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;  (Incluído pela Lei nº 13.853, de 2019);

XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.  (Incluído pela Lei nº 13.853, de 2019).   

 

E quando as punições passarão a valer?

Além da adequação pelas empresas, a novela da LGPD ainda tem outros capítulos previstos antes de acabar. Isso porque punições em caso de desrespeito à lei não estão valendo ainda e o órgão responsável por fiscalizar as regras não foi plenamente estabelecido.

Como forma de atender aos pedidos das empresas, as punições por desobediência à LGPD só serão aplicadas a partir de agosto de 2021. Até lá, espera-se que a Autoridade Nacional de Proteção de Dados (ANPD) já esteja estruturada.

Depois de muita expectativa, o presidente Jair Bolsonaro editou em agosto um decreto que estabelece a estrutura e os cargos do órgão. Agora, além de indicar cinco conselheiros, que terão de ser aprovados pelo Senado, o governo precisa responder ainda a outras questões: onde a ANPD será sediada, como será seu expediente e quem serão seus servidores. Também não se sabe até o momento qual será o orçamento da ANPD - algo que deve ser definido no Orçamento Geral da União.

 

O que vimos neste artigo?

 

Que LGPD é:

 

Uma regra para todos – criando cenário de segurança jurídica válido para todo país;

Mais para o cidadão – consentimento é a base que dados possam ser tratados;

Definição do conceito – estabelece de maneira clara o que são dados pessoais;

As exceções – sem consentimento, só se for indispensável para cumprir com critérios legais;

Abrangência extraterritorial – não importa se a organização ou centro de dados estão dentro ou fora do Brasil;

Fiscal centralizado – ficará a cargo da ANPD;

Responsabilidade – define os agentes de tratamento de dados e suas funções (Controlador e Operador);

Transparência – Se ocorrer vazamento de dados, ANPD e indivíduos afetados devem ser avisados;

Penalidades rígidas – falhas de segurança podem gerar multas pesadas.

 

Segue uma lista de filmes e séries sobre proteção de dados para que você possa entender um pouco melhor como a LGPD poderá impactar no seu dia a dia.

 

• Privacidade Hackeada – esse é um dos filmes mais icônicos sobre proteção de dados e obrigatório para quem quer trabalhar na área, pois relata o caso da Cambridge Analytica. Ele está disponível na Netflix.

• A Era dos Dados – série da Netflix que traz um tom de diversão para mostrar como os dados são importantes e como tudo está conectado nos dias de hoje.

• Snowden - esse documentário relata a história de Edward Snowden e como ele revelou ao mundo o esquema de espionagem dos EUA. Esse caso é muito importante, uma vez que foi um dos fatores principais para o Brasil perceber a importância de ter uma Lei sobre proteção de dados.

• Jexi – para quem gosta de comédia essa é uma boa dica! Jexi aborda de forma engraçada a questão da dependência do celular na atualidade e como nossos passos são controlados o tempo todo. O filme está disponível na Amazon Prime.

• O dilema das redes – esse filme da Netflix está entre os mais assistidos do momento e busca demonstrar o papel das redes sociais na sociedade e os danos que elas geram e claro demonstram como tudo que fazemos nas redes é controlado através de dados.