A Lei Geral de Proteção de Dados (LGPD) é uma legislação brasileira que entrou em vigor em setembro de 2020 com uma vacância de 12 meses, ou seja, até agosto de 2021 para as pessoas naturais e empresas públicas ou privadas se adaptassem a nova Lei, esta que estabelece regras para o tratamento de dados pessoais.

Em fevereiro de 2023 foi aprovada as regras de fiscalização e dosimetria das sanções as empresas que não estiveram respeitando a Lei Geral de Proteção de Dados Pessoais (LGPD).

A fim de que a sua empresa não seja surpreendida pela Agência Nacional de Proteção de Dados (ANPD) que é responsável por fiscalizar o cumprimento da legislação, aplicar sanções em caso de descumprimento e orientar as empresas e organizações sobre as melhores práticas para o tratamento de dados pessoais, vamos descrever abaixo algumas orientações sobre.

Por fim, ressaltamos que quando da entrada em vigor da Lei Geral de Proteção de Dados (LGPD), à época enviamos a orientação de que as empresas que coletam dados de pessoas físicas deveriam se adequar e observar a norma.

 

Aplicação da LGPD:

A LGPD é aplicável a todas as empresas e organizações, ou seja, pessoas jurídicas de direito público ou privado que realizam o tratamento de dados pessoais de pessoa natural/física, inclusive por meios digitais, independentemente do tamanho ou do setor em que atuam. Portanto, a LGPD não se aplica a tratamento de dados entre pessoas jurídicas – empresas.

O tratamento de dados pessoais inclui qualquer operação realizada com os dados, como coleta, armazenamento, uso, compartilhamento e exclusão.

O que são dados pessoais:

De acordo com a Lei Geral de Proteção de Dados (LGPD), dados pessoais são informações relacionadas a uma pessoa natural (física) identificada ou identificável. Isso significa que qualquer informação que possa identificar uma pessoa, direta ou indiretamente, é considerada um dado pessoal.

Alguns exemplos de dados pessoais incluem nome, endereço, número de identificação tais como RG e CPF, mas não se limitando a estes, endereço de e-mail, número de telefone, histórico de navegação na internet, localização por meio de GPS, entre outros.

A LGPD estabelece que a coleta, o armazenamento, o uso e o compartilhamento de dados pessoais devem ser feitos com o consentimento do titular dos dados e com o objetivo de atender a uma finalidade específica e legítima. As empresas e organizações que tratam dados pessoais são responsáveis pela proteção e segurança desses dados, e devem adotar medidas técnicas e organizacionais adequadas para evitar acessos não autorizados, perda ou vazamento.

A LGPD também reconhece a importância da privacidade e dos direitos dos titulares dos dados, garantindo que eles possam exercer seus direitos de acesso, correção, exclusão e portabilidade de seus dados pessoais. Além disso, a lei prevê sanções para as empresas que não cumprirem suas obrigações em relação à proteção de dados pessoais.

A LGPD visa proteger também os dados sensíveis que são um tipo de informação pessoal especialmente protegida pela Lei Geral de Proteção de Dados (LGPD) por seu potencial de causar discriminação ou preconceito a uma pessoa, caso sejam tratados de forma inadequada.

A LGPD define dados sensíveis como informações que se referem a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, saúde, vida sexual, dados genéticos ou biométricos quando relacionados a uma pessoa natural.

O tratamento de dados sensíveis é ainda mais restrito do que o de dados pessoais comuns. Para que uma empresa ou organização possa coletar, armazenar, usar ou compartilhar dados sensíveis, é necessário que o titular dos dados dê um consentimento específico e destacado, informando de forma clara e precisa para que finalidade os dados serão utilizados.

Além disso, a LGPD estabelece que os dados sensíveis devem ser tratados com medidas adicionais de segurança, de forma a evitar seu acesso, uso ou compartilhamento indevido.

É importante destacar que a violação de dados sensíveis pode acarretar sanções mais severas por parte da ANPD (Autoridade Nacional de Proteção de Dados), incluindo multas e outras penalidades. Por isso, as empresas devem estar atentas às disposições da LGPD e implementar medidas adequadas para proteger os dados sensíveis de seus clientes e usuários.

Princípios da LGPD:

A Lei Geral de Proteção de Dados (LGPD) estabelece uma série de princípios que devem ser seguidos por empresas e organizações que coletam, armazenam, usam ou compartilham dados pessoais de seus clientes ou usuários. Esses princípios têm como objetivo garantir que o tratamento de dados pessoais seja realizado de forma responsável, transparente e segura, respeitando os direitos dos titulares dos dados, abaixo alguns princípios trazidos pela Lei:

Finalidade: os dados pessoais devem ser coletados para finalidades específicas, explícitas e legítimas, e não podem ser usados para outras finalidades que não sejam compatíveis com as originalmente informadas ao titular dos dados.

Adequação: os dados pessoais coletados devem ser relevantes e limitados ao mínimo necessário para a finalidade para a qual foram coletados.

Necessidade: a coleta e o tratamento de dados pessoais devem ser necessários para a execução de uma tarefa ou prestação de um serviço contratado pelo titular dos dados.

Livre acesso: o titular dos dados deve ter acesso aos seus dados pessoais e saber como eles estão sendo tratados pelas empresas e organizações.

Qualidade dos dados: os dados pessoais devem ser precisos, atualizados e completos, de forma a garantir a qualidade e a segurança dos dados.

Transparência: as empresas e organizações devem informar claramente aos titulares dos dados sobre a coleta, armazenamento, uso e compartilhamento de seus dados pessoais, de forma clara e objetiva.

Segurança: as empresas e organizações devem adotar medidas técnicas e organizacionais adequadas para garantir a segurança dos dados pessoais, evitando seu acesso, uso ou compartilhamento não autorizado.

Prevenção: as empresas e organizações devem adotar medidas preventivas para evitar a ocorrência de danos aos titulares dos dados, como vazamentos, perda ou acesso não autorizado.

Não discriminação: o tratamento de dados pessoais não pode resultar em discriminação de qualquer natureza aos titulares dos dados.

Responsabilização: as empresas e organizações são responsáveis pela proteção e tratamento adequado dos dados pessoais, devendo ser capazes de comprovar a adoção de medidas de segurança e conformidade com a LGPD.

Conceitos da LGPD:

Titular – pessoa natural (física) a quem se referem os dados pessoais que são coletados e objeto do tratamento legal.

Controlador – pessoa natural ou jurídica, de direito público ou privado, responsável pelas decisões referentes ao tratamento de dados pessoais coletados do Titular.

Operador – pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador, inclui terceiros prestadores de serviços contratados pelo Controlador, que tem acesso as informações coletadas.

Encarregado – pessoa indicada pelo Controlador para atuar como canal de comunicação entre o Controlador, os Titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Tratamento de dados – toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acessos, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração, uso, compartilhamento, eliminação, entre outros.

Consentimento – autorização específica e informada dada pelo titular dos dados para o tratamento dos seus dados pessoais.

Vazamento de dados – incidente de segurança que resulta na divulgação, acesso ou compartilhamento não autorizado de dados pessoais.

É importante que as empresas e organizações que tratam dados pessoais tenham conhecimento desses conceitos e adotem medidas adequadas para garantir a conformidade com a LGPD.

Feito o breve resumo da LGPD acima, vamos descrever abaixo a sua dinâmica, para melhor entendimento.

A Lei Geral de Proteção de Dados (LGPD) estabelece que a coleta de dados pessoais deve ser feita de forma transparente, específica e com a finalidade determinada e legítima. O titular dos dados deve ser informado sobre a coleta, tratamento e armazenamento de seus dados, e ter o direito de consentir ou não com a sua utilização.

Além disso, a LGPD estabelece que os dados coletados devem ser adequados, relevantes e limitados ao mínimo necessário para a finalidade pretendida, e que devem ser adotadas medidas de segurança adequadas para proteger os dados pessoais contra acesso não autorizado, perda ou vazamento.

Por fim, disponibilizar ao Titular um canal de acesso com o Encarregado, para de forma clara e objetiva obter as informações da Política de Privacidade e de Tratamento dos Dados pelo Controlador e Operador.

Principais sanções administravas:

A Lei Geral de Proteção de Dados (LGPD) prevê diversas sanções administrativas para as empresas que não cumprirem as normas de proteção de dados pessoais. As sanções incluem:

Advertência: uma notificação formal da autoridade de proteção de dados para a empresa que não está cumprindo com as obrigações previstas na LGPD.

Multa simples: a empresa pode ser multada em até 2% do seu faturamento, limitado a R$ 50 milhões por infração.

Multa diária: em caso de continuidade da infração, a empresa pode receber uma multa diária, com valor máximo de R$ 50 milhões.

Bloqueio ou eliminação de dados: a autoridade de proteção de dados pode determinar o bloqueio ou eliminação de dados pessoais que estiverem sendo tratados de forma irregular.

Suspensão do tratamento de dados: a empresa pode ter o tratamento de dados pessoais suspenso por até seis meses, prorrogáveis por igual período, pela autoridade de proteção de dados.

Proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados: em casos mais graves, a empresa pode ser proibida de realizar atividades relacionadas ao tratamento de dados pessoais, parcial ou totalmente.

As sanções administrativas previstas na LGPD são aplicáveis tanto para empresas públicas quanto privadas, e visam garantir a proteção dos dados pessoais dos cidadãos e a privacidade dos seus dados.

Do exposto, podemos entender que a LGPD foi feita para proteger as informações dos dados pessoais do indivíduo e dados sensíveis, assim a princípio e sem querer esgotar o tema você nosso cliente, como pessoa e empresa  de início deve se atentar e ter os seguintes cuidados, a fim de se proteger, não obstante executar os processos legais obrigatórios.

- Ao coletar informações, informar seu Tratamento, e manter canal de consulta para dúvidas;

- Não coletar informações pessoais desnecessárias;

- Se for necessário, a coleta de informações em papel, após seu devido uso destruir, não manter arquivo em seu poder seja físico ou digital;

- Manter em arquivo somente o que for estritamente necessário;

- Proteger arquivos de forma segura, seja físico ou digital;

- Nunca disseminar as informações a terceiros, sem consentimento e autorização expressa;

Finalizando, a Lei Geral de Proteção de Dados (LGPD) pertence à área do Direito Digital ou Direito da Tecnologia da Informação (DTI), que é um ramo relativamente novo do Direito que lida com questões legais relacionadas ao uso da tecnologia da informação e da comunicação.

Assim, aconselhamos a procurar profissionais do Direito habilitados em conhecimento da LGPD para fazer os processos legais obrigatórios de implantação, adequação, acompanhamento e orientações.

Esperamos com essas breves e objetivas orientações, tenhamos levado a você a compreensão, os impactos, obrigações e sanções que a LGPD pode gerar para o seu negócio.

Fonte: Lei Geral de Proteção dos Dados Pessoais - LGPD