icone Linkedinicone Facebookicone Instagramicone youtube

LGPD começa a punir em 1° de agosto


Jurídico 01 de agosto de 2021 | Por: Redação TS
LGPD começa a punir em 1° de agosto

A Lei Geral de Proteção de Dados, LGPD, que entrou em vigor16 de agosto do ano passado, permitiu quase um ano de adaptação das empresas. Agora começa a fiscalização e a punição de quem não se adequou. Acompanhe todos os detalhes e veja se você está preparado para esta fase

Com a Lei Geral de Proteção de Dados (LGPD) e a Autoridade Nacional de Proteção de Dados (ANPD), responsável pela fiscalização, as empresas devem passar por uma adequação estrutural, ou seja, treinamentos relacionados à conscientização e regras acerca dos processos. Diante desse cenário, o Brasil está preparado para as sanções? 

Para a advogada do escritório Bosquê Advocacia, Karina Gutierrez, será um processo contínuo de conformidade, o qual deverá ser revisado constantemente para um funcionamento sem falhas. Ainda assim, não será algo rápido, acrescenta a advogada, o que exigirá cooperação de toda a equipe.

Quando as pessoas pensam em todas as fases da implementação, talvez a primeira constatação seja a de um processo demasiadamente complexo. Entretanto, para que o andamento seja mais assertivo, segundo Karina, é importante nomear um Data Protection Officer (DPO) ou encarregado, ou seja, elencar uma pessoa internamente para ser a responsável, bem como um comitê interno, para auxiliar no desempenho das funções.

Uma alternativa é contratar uma assessoria jurídica. Ainda assim, o alinhamento de toda a equipe, além da responsabilidade envolvida - em caso de violação - dificultam o “start” das empresas na implementação da LGPD. “A alta demanda por soluções, as quais envolvem todas as concepções jurídicas, além do fator tecnológico presente nos processos de mapeamento de dados, obscurecem ainda mais esse processo”, comenta Karina.

“Será um desafio para todas as empresas, desde as micro e pequenas, principalmente, já que há a falsa impressão de que a exposição é menor e que os riscos são baixos perante a lei, até as grandes empresas.”

Há algumas discussões pendentes de aprovação, como os prazos estabelecidos para regulamentar as micro e pequenas empresas, startups e empresas de inovação. A partir de agosto deste ano, as multas previstas na LGPD, que podem chegar a 2% do faturamento da empresa, começarão a ser aplicadas e a expectativa é que a ANPD defina uma regulamentação específica para as micro e pequenas empresas ainda neste primeiro semestre.

Já nos países da União Europeia, as empresas com menos de 250 empregados não precisam manter registro das operações de tratamento de dados pessoais - exceto se o processamento de informações for a atividade regular da empresa. Essas companhias também são eximidas da obrigação de nomear um profissional específico para lidar com o tratamento de dados. “Lembrando que o descaso do cotidiano pode gerar prejuízos irreparáveis à imagem das empresas, sejam elas de grande ou pequeno porte.”

O que acontece com as empresas que não se adequarem?

As punições ficarão sob responsabilidade da Autoridade Nacional de Proteção de Dados (ANPD) e envolvem a interdição parcial ou total de suas atividades, de acordo com a gravidade do caso. Em situações consideradas simples e passíveis de ajustes, poderá ser aplicada advertência, com indicação de prazo para adoção de medidas corretivas. 

Entretanto, os casos mais graves poderão resultar no pagamento de multas de até 2% do faturamento da empresa, grupo ou conglomerado, além de multas diárias e bloqueio parcial ou total do acesso aos dados pessoais a que se refere a infração.

“O remédio é amargo, porém, necessário. E traz benefícios, como organização da empresa e seus dados, otimização de rede, conscientização, responsabilidade de gerir dados importantes, além da construção de relações mais transparentes e com consentimento do consumidor, valorização da segurança cibernética - o que evita abusos, violações ou vazamento de dados. E, por fim, proteção e avanço na transformação digital no país”, afirma Karina.

O que muda com a LGPD*

A LGPD é a Lei nº 13.709, aprovada em agosto de 2018 e com vigência a partir de agosto de 2020. Para entender a importância do assunto, é necessário saber que a nova lei quer criar um cenário de segurança jurídica, com a padronização de normas e práticas, para promover a proteção, de forma igualitária e dentro do país e no mundo, aos dados pessoais de todo cidadão que esteja no Brasil. E, para que não haja confusão, a lei traz logo de cara o que são dados pessoais, define que há alguns desses dados sujeitos a cuidados ainda mais específicos, como os sensíveis e os sobre crianças e adolescentes, e que dados tratados tanto nos meios físicos como nos digitais estão sujeitos à regulação.

A LGPD estabelece ainda que não importa se a sede de uma organização ou o centro de dados dela estão localizados no Brasil ou no exterior: se há o processamento de conteúdo de pessoas, brasileiras ou não, que estão no território nacional, a LGPD deve ser cumprida. Determina também que é permitido compartilhar dados com organismos internacionais e com outros países, desde que isso ocorra a partir de protocolos seguros e/ou para cumprir exigências legais.

  • Consentimento

Outro elemento essencial da LGPD é o consentir. Ou seja, o consentimento do cidadão é a base para que dados pessoais possam ser tratados. Mas há algumas exceções a isso. É possível tratar dados sem consentimento se isso for indispensável para: cumprir uma obrigação legal; executar política pública prevista em lei; realizar estudos via órgão de pesquisa; executar contratos; defender direitos em processo; preservar a vida e a integridade física de uma pessoa; tutelar ações feitas por profissionais das áreas da saúde ou sanitária; prevenir fraudes contra o titular; proteger o crédito; ou atender a um interesse legítimo, que não fira direitos fundamentais do cidadão.

  • Automatização com autorização

Por falar em direitos, é essencial saber que a lei traz várias garantias ao cidadão, que pode solicitar que dados sejam deletados, revogar um consentimento, transferir dados para outro fornecedor de serviços, entre outras ações. E o tratamento dos dados deve ser feito levando em conta alguns quesitos, como finalidade e necessidade, que devem ser previamente acertados e informados ao cidadão. Por exemplo, se a finalidade de um tratamento, feito exclusivamente de modo automatizado, for construir um perfil (pessoal, profissional, de consumo, de crédito), o indivíduo  deve ser informado que pode intervir, pedindo revisão desse procedimento feito por máquinas.

  • ANPD e agentes de tratamento

E tem mais. Para a lei a "pegar", o país contará com a Autoridade Nacional de Proteção de Dados Pessoais, a ANPD. A instituição vai fiscalizar e, se a LGPD for descumprida, penalizar. Além disso, a ANPD terá, é claro, as tarefas de regular e de orientar, preventivamente, sobre como aplicar a lei. Cidadãos e organizações poderão colaborar com a autoridade.

Mas não basta a ANPD - que está em formação - e é por isso que a Lei Geral de Proteção de Dados Pessoais também estipula os agentes de tratamento de dados e suas funções, nas organizações: tem o controlador, que toma as decisões sobre o tratamento; o operador, que realiza o tratamento, em nome do controlador; e o encarregado, que interage com cidadãos e autoridade nacional (e poderá ou não ser exigido, a depender do tipo ou porte da organização e do volume de dados tratados).

  • Gestão em foco

Há um outro item que não poderia ficar de fora: a administração de riscos e falhas. Isso quer dizer que quem gere base de dados pessoais terá que redigir normas de governança; adotar medidas preventivas de segurança; replicar boas práticas e certificações existentes no mercado. Terá ainda que elaborar planos de contingência; fazer auditorias; resolver incidentes com agilidade. Se ocorrer, por exemplo, um vazamento de dados, a ANPD e os indivíduos afetados devem ser imediatamente avisados. Vale lembrar que todos os agentes de tratamento sujeitam-se à lei. Isso significa que as organizações e as subcontratadas para tratar dados respondem em conjunto pelos danos causados. E as falhas de segurança podem gerar multas de até 2% do faturamento anual da organização no Brasil – e no limite de R$ 50 milhões por infração. A autoridade nacional fixará níveis de penalidade segundo a gravidade da falha. E enviará, é claro, alertas e orientações antes de aplicar sanções às organizações.

Glossário: Conheça os termos utilizados na lei

A LGPD trouxe diretrizes importantes e obrigatórias para o tratamento de dados, tanto no meio físico, quanto no digital. Por ser uma lei, é natural que a regulação exija o conhecimento de termos específicos, já que há um vocabulário com terminologias próprias. Pensando nisso, o Grupo DARYUS, empresa referência em consultoria empresarial e educação nas áreas de tecnologia e gestão, desvenda os diversos tipos de dados e apresenta exemplos para cada termo.

“Para começar, precisamos entender que dado é um conjunto de informação. É tudo que pode ser mensurado, coletado e analisado, sendo representado por caracteres numéricos ou palavras”, comenta Daniela Dantas, consultora em Privacidade e Proteção de Dados do grupo Daryus.

Segundo a especialista, os dados são classificados em dois tipos:

  • Estruturados: que são dados formatados e seguem um padrão fixo, são organizados, como linhas e colunas, sendo facilmente processados, tendo como exemplos: nomes, datas, endereços, tabela do Excel etc.
  • Não estruturados: que possuem uma formatação específica e são mais fáceis de serem processados, como por exemplo: e-mail, imagens, vídeos, áudios, mensagem de rede social.

E podem ser denominados como:

  • Dados pessoais: segundo a LGPD, dado pessoal é toda e qualquer informação que identifique ou possa identificar uma pessoa natural, ou seja, um sujeito provido de direitos e obrigações a partir do seu nascimento com vida.

- Nome, sobrenome, nome familiar;

- Endereço residencial;

- Data de Nascimento;

- CPF;

- RG;

- CNH;

- PIS;

- E-mail;

- Telefone (fixo, móvel).

  • Dados identificáveis: são informações que, sozinhas, não identificam ninguém, porém, no momento que são agrupadas com outros dados, permitem identificar uma pessoa. Um bom exemplo para entender o que é um dado identificável é um quebra cabeça, pois somente fará sentido juntando algumas peças, assim funcionam os dados identificáveis. Ou seja, quanto mais informações combinadas de uma pessoa, mais fácil de ser identificado e maior risco associado à proteção de dados:

- Número de cartão de crédito;

- IP do computador;

- Nome da empresa em que você trabalha;

- Placa de Carro;

- Cookies

Exemplo: quando o CPF é solicitado na farmácia pelo caixa, o indivíduo será beneficiado com programa de descontos ou a coleta do CPF serve apenas para mascarar o compartilhamento dos dados com o plano de saúde? Desta forma, é sempre importante questionar para qual finalidade, por qual motivo a solicitação do CPF ou outro dado está sendo requerido.

  • Dados sensíveis: está relacionado com a intimidade do titular do dado, com suas preferências, com aquilo que de fato acredita, desta forma, a lei deixa bem clara a importância de somente utilizar esses dados com consentimento do titular e atendendo as bases legais. Portanto, por conta de sua sensibilidade natural, tem maior probabilidade de discriminação de uma pessoa por expor sua religião, orientação sexual, filiação partidária, orientação política, raça, tipo sanguíneo, dados de saúde, reconhecimento fácil/digital e histórico médico.
  • Dados anonimizados: dado relativo ao titular que não possa ser identificado. Nesse caso, considera-se a utilização de meios técnicos razoáveis e disponíveis no tratamento, perdendo a possibilidade da associação direta ou indireta a um indivíduo, impossibilitando desta forma o poder de aplicação à LGPD.

Exemplo: o salário do CEO de uma determinada empresa, pode variar entre R$ 70 mil a R$ 105 mil por mês. Compreende-se que não há como saber qual o nome do empresário e qual empresa este CEO trabalha. Já no segundo exemplo, um executivo da empresa tem salário mensal de R$ 87 mil, o nome da empresa não foi anonimizado, somente o nome do executivo. Contudo, através de uma busca mais criteriosa por executivos da alta direção da tal empresa, seria possível descobrir o executivo ou executivos com esse salário, ou salário próximo. Portanto, a anonimização é muito importante para descaracterizar o dado pessoal.

Dantas esclarece ainda que dados relacionados a pessoa jurídica, por mais sigilosos que possam ser, não são dados pessoais. São informações das organizações e estão fora do escopo da LGPD, a não ser que estejam vinculados a uma pessoa natural, identificada ou identificável.

Saiba Mais

Acesse o link a seguir e confira a Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709, de 14/08/2018) em sua integralidade: www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm

 

*Fonte: Esta parte do texto foi disponibilizada (assim como a imagem central) pela Serpro, empresa pública de tecnologia da informação. Aqui: www.serpro.gov.br/lgpd/ você encontra diversas informações adicionais, e oficiais, sobre a LGPD.

Notícias relacionadas

Este site usa cookies do Google para fornecer serviços e analisar tráfego.Saiba mais.