O que é LGPD? Sua empresa está preparada?

O que é LGPD

Sumário

Milton Guido Manzato
Milton Guido Manzato
OAB/SP 146.467 FIA – MBA em Gestão de Riscos, Fraude e Compliance – 2020. Especialização em Direito Tributário – PUC/SP – 2002. Graduação em Direito – Universidade Presbiteriana Mackenzie – 1997 Inglês e Espanhol. Curso Privacidade e Proteção de Dados: Teoria e Prática – Data Privacy Brasil

O que é LGPD

A LGPD- Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018, com a redação dada pela Lei nº 13.853/2019), como o próprio nome indica, estabelece como deve ser a coleta, a utilização e a eliminação de dados pelas empresas, ou eventualmente pessoas físicas que explorem os dados de outras pessoas físicas com fins de oferecimento de produtos ou serviços.

A LGPD proíbe o uso de dados pessoais? Não, na verdade o que a LGPD fez foi trazer segurança jurídica para o uso de dados pessoais, nesse sentido, mais do que pensar pelo lado punitivo da LGPD, ao regulamentar o uso ela abre a possibilidade de novos produtos, negócios, e usos ao permitir as empresas revisitarem seus processos quando da implementação da LGPD.

Também os dados que as empresas possuem internamente (de seus funcionários, prestadores de serviços e outros) estão submetidos as obrigações e possibilidades previstas na lei em questão, mesmo que sua atividade principal não tenha nenhuma relação com a obtenção desses dados.

Mas o que são dados pessoais? A própria LGPD define dados pessoais como sendo a informação relacionada a pessoa natural (pessoa física) identificada ou identificável. A expressão identificável aqui significa que ainda que não expressamente identificada, se por dados indiretos o titular dos dados puder ser identificado, então esses dados indiretos devem ser considerados como dados pessoais.

Dados anonimizados (quando não for possível identificar o titular) não são considerados dados pessoais, salvo se a anonimização for revertida utilizando meios próprios, ou quando com esforço razoável puder ser revertido, ou seja, se necessários esforços além do razoável em termos de custo e tempo se pode considerar que mantida a anonimização. A Autoridade Nacional de Proteção de Dados – ANPD poderá estabelecer eventuais critérios e padrões técnicos para a anonimização, assim como verificar a segurança dos mesmos.

Existem dois tipos de dados pessoais: os dados sensíveis e os demais. Dados sensíveis são dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.

Para os dados sensíveis, a LGPD é mais rigorosa (não cabendo por exemplo, o uso da base legal do legítimo interesse), sendo a regra geral a obtenção do consentimento, salvo nas hipóteses previstas na própria LGPD, quando o consentimento é desnecessário (por exemplo, no caso de risco á incolumidade física do titular ou de terceiros).

Outros conceitos importantes, especialmente para fins de responsabilização, são os de controlador e operador. Controlador pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais, e operador pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

Assim, podemos dizer que a responsabilidade por tratamento incorreto será do controlador, salvo no caso de o operador descumprir ordem deste. Existem situações comuns no mercado em que o operador também pode tomar decisões quanto ao tratamento de dados (co-controlador), quando a responsabilidade deverá então ser apurada no caso prático.

Quais são os princípios da LGPD? Como eles impactam na minha atividade?

Quando da implementação da LGPD, como veremos adiante, uma das perguntas que as empresas devem fazer olhando seus processos, produtos e negócios é se os dados pessoais possuídos por elas estão além do necessário ou se existe razão para tal quantidade de informações.

O primeiro passo nessa análise, antes de se discutir os documentos necessários (políticas, avisos, procedimentos etc.) é olhar para seu processo e ver se os princípios previstos na LGPD estão sendo obedecidos, ou se algum ajuste é necessário logo de início.

A LGPD prevê como obrigatórios os princípios da boa-fé e os seguintes princípios:

I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular,

de acordo com o contexto do tratamento;

III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Os 3 primeiros princípios mencionados (finalidade, adequação e necessidade) podem ser traduzidos na necessidade de minimização dos dados, ou seja, o controlador sempre deve se perguntar se os dados que coleta são o mínimo necessário para sua atividade, e se não está coletando dados desnecessários em demasia.

Feita essa avaliação, deve sempre considerar que uma vez informado ao titular a finalidade da coleta dos dados, essa finalidade não pode ser alterada utilizando-se os dados para outro fim, sem que isso seja devidamente informado ao titular, inclusive em respeito ao princípio da boa-fé.

Cabe, por fim, ao titular dos dados conforme a LGPD, mas salvo eventual segredo comercial ou industrial, saber quais são os dados detidos pelo controlador, solicitar eventual correção ou mesmo o descarte desses dados, desde que obedecidos os demais princípios e isso não ocasione problemas legais ou regulatórios ao controlador, como por exemplo, se o titular exigir a exclusão de dados de emissão de NF ou de entrega de determinado produto, quando o controlador ficaria desfalcado dessa comprovação, inclusive se o titular agir com má-fé.

Como preparar minha empresa para a LGPD?

A implementação da LGPD obviamente é uma atividade complexa que além de depender do tipo de dado (se sensível ou não) e da quantidade desses dados, envolve praticamente todas as áreas da empresa, indo além do aspecto jurídico, com a necessidade de profissionais de TI especializados em segurança da informação.

Em linhas gerais um programa de implementação possui seis fases:

Formação de equipe interna e conscientização da empresa como um todo para o tema;

Mapeamento (data mapping) em que através de entrevistas (por isso a importância da conscientização), questionários ou mesmo programas de data discovery serão levantados os dados, seu volume, tipo, localização, e outros aspectos que abordaremos na sequência com destaque para a análise da base legal aplicável;

Gap analysis: quando serão avaliadas as eventuais não conformidades com a lei (ausência da figura do DPO ou encarregado, por exemplo), os riscos envolvidos com a elaboração de uma matriz de risco e por fim, o relatório de diagnóstico elencando quais os maiores riscos considerando impacto x probabilidade, podendo ainda serem divididos em riscos legais, técnicos, éticos (imagem) e residuais;

Planejamento: aqui contando com o forte apoio da área de segurança da informação da empresa, e eventualmente de consultoria contratada para esse fim deverão ser decididas quais as prioridades (considerando inclusive orçamento), tempo de implementação e quais são os responsáveis por qual atividade através da elaboração de uma matriz de responsabilidade RACI (responsável, aprovador, consultado e informado);

Implementação: quando serão adotados os melhores critérios de governança e segurança da informação com a elaboração das políticas, nomeação de um DPO (que pode ser externo) caso ainda não tenha sido feito, revisão dos contratos vigentes ou elaboração de novos instrumentos, tudo em conformidade com os sistemas de segurança de informação cuja instalação for considerada imprescindível;

Monitoramento: não basta obviamente apenas implementar, é preciso garantir que haja efetividade quando confrontado o programa com a LGPD, bem como que este esteja atualizado com as últimas determinação da ANPD (Autoridade Nacional de Proteção de Dados), e as melhores práticas do mercado. Pode-se mesmo dizer que esta etapa é permanente.

E quais são as políticas que a empresa deve possuir (que resultarão em termos práticos dessa implementação)? Sugere-se as seguintes políticas: segurança da informação; notificação de incidente de segurança da informação; retenção de dados; transferência internacional de dados (quando aplicável); due diligence de verificação do programa de proteção de dados dos parceiros; privacidade interna e externa; em relação aos titulares dos dados em caso de questionamento, solicitações e outras interações; de realização do relatório de impacto a proteção de dados (DPIA) e modelos dos mesmos; modelos de teste de legítimo interesse (LIA); de treinamento e comunicação sobre a LGPD; de revisão periódica do programa em si, e por fim, em relação aos órgãos públicos e mídia em caso de vazamento.

Além dessas políticas é necessário também considerar a necessidade de alteração dos contratos vigentes, a adequação dos novos contratos aos termos da LGPD, já pensando não apenas em termos contratuais, mas de processos e produtos no conceito de Privacy by Design orientando sua origem.

Quando efetivamente a LGPD poderá aplicar as sanções?

Essa é uma pergunta recorrente por parte dos nossos clientes, e a resposta é que em termos de sanções não se pode pensar apenas no que diz a lei da LGPD, em que a multa pode chegar a 2% do faturamento limitada ao valor de R$ 50.000.000,00 (cinquenta milhões), e cuja vigência ficou para 1º de agosto deste ano.

Mas longe de subestimar essa sanção, assim como as demais sanções previstas (como advertência, por exemplo, que traz dano importante a imagem da empresa), o fato é que além da própria Autoridade Nacional de Proteção de Dados (ANPD), existem outros órgãos especialmente ligados ao Sistema de Defesa do Consumidor, como o SENACON e Procons que também possuem legitimidade para punir as empresas por eventuais vazamentos e outras condutas que causam repercussões negativas diretas ao consumir.

Nesse sentido inclusive o Ministério Público do Distrito Federal e Territórios de forma pioneira criou a Unidade Especial de Proteção de Dados e Inteligência Artificial com atribuição de, por exemplo, receber denúncias quanto a ocorrência de segurança que possam representar risco aos titulares de dados (data breach notification).

Mas indo além da mera questão punitiva, o fato é que acreditamos que o próprio mercado passará a se auto-regular e exigir de seus fornecedores e parceiros que estejam adequados a LGPD em todos os sentidos, especialmente empresas que mantém entre si relações de controlador, co-controlador ou operador, porque as repercussões podem ser (a depender do caso concreto) para ambos, ou seja, em breve não estar adequado à LGPD implicará na prática em perda de negócios.

Sem contar os danos à imagem da empresa que sofrer qualquer tipo de vazamento, e não conseguir comprovar perante a ANPD a tomada de todas as medidas preventivas adequadas, ficando assim sua reputação abalada, e abrindo oportunidade aos titulares de dados de ingressarem com ações individuais de responsabilidade civil perante essa empresa, reclamando indenização que, a depender do volume de processos, poderá ser bastante significativo.

Como podemos ajudar?

Nosso escritório está preparado não apenas para realizar a adequação da sua empresa ou negócio para a LGPD, contando para isso com profissionais altamente especializados no tema (inclusive com mestrado nessa matéria), e com parceria estratégica com consultoria de segurança da informação.

Além disso, estamos aptos a exercer o papel de DPO da sua organização, com ganhos evidentes não apenas quanto a custo e responsabilidade inerente ao cargo, mas igualmente pela vantagem de atualização constante dos nossos profissionais sempre desafiados a buscar as melhores soluções considerando a base de clientes dos mais diversos setores econômicos, o que nos garante o contato com diferentes soluções e perspectivas aplicáveis ao seu negócio.

Leia também: LGPD – Como preparar sua empresa

Siga nosso Instagram: @aphoffmannadv

LGPD
Compartilhe:
Compartilhar no facebook
Facebook
Compartilhar no twitter
Twitter
Compartilhar no linkedin
LinkedIn

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Rolar para cima

E-Book Gratuito

Manual prático de como adequar uma empresa à LGPD

A LGPD está em vigor. Você sabe qual a importância de adequar sua empresa para que não receba uma multa?