Publicada em agosto de 2018, a Lei Geral de Proteção de Dados (LGPD) entrou em vigor em setembro deste ano e traz novas regras para o tratamento de dados pessoais.
A Lei nº 13.709/2018, mais conhecida como a Lei Geral de Proteção de Dados, tem como objetivo proteger os direitos fundamentais de liberdade e privacidade da pessoa natural (denominada titular dos dados sob a lei), independentemente de o meio de tratamento ter ocorrido em meio físico ou digital. Descubra a seguir os desafios da Lei Geral de Proteção de Dados Pessoais.
O QUE MUDA
A Lei traz uma visão mais atual dos dados pessoais, que em sua versão digital podem se espalhar por todo o globo. Logo, para a LGPD é trazida a soberania sobre os dados, onde o que importa é se o tratamento de dados foi realizado em território nacional, independentemente da nacionalidade dos titulares e localização geográfica dos dados.
E, para que este tratamento ocorra, é preciso que o controlador (aquele que tem o poder de decisão sobre o tratamento dos dados) ou o operador (aquele que trata os dados em nome do controlador) o faça sob uma das seguintes hipóteses:
- com o consentimento expresso e inequívoco do titular,
- para cumprimento de obrigação legal ou regulatória,
- para tratamento pela administração pública (sob condições específicas),
- para realização de estudos por órgãos de pesquisa (tomadas as devidas medidas de proteção e sigilo),
- para exercício regular de direitos,
- para a proteção a vida do titular ou terceiro,
- para a tutela da saúde,
- por interesse legítimo (exceto para dados sensíveis ou casos em que prevaleçam o direito dos titulares)
- para a proteção ao crédito.
Além das hipóteses legais acima, o tratamento de dados pessoais deve seguir os princípios da finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e prestação de contas; bem como garantir os direitos dos titulares.
DIREITOS DOS TITULARES
Sendo uma Lei focada nos indivíduos, a LGPD assegura que os titulares possuam direito a:
- confirmação da existência de tratamento;
- acesso aos dados pessoais;
- correção de dados completos ou imprecisos;
- anonimização, bloqueio ou eliminação de dados desnecessários;
- portabilidade dos dados;
- eliminação de dados que tenham sido tratados com base no consentimento;
- informação sobre entidades que tenham usado os seus dados;
- informação sobre a possibilidade de negar o tratamento e as consequências da recusa;
- revogar o consentimento, se esta for a base legal do tratamento.
O titular pode também se opor ao tratamento de seus dados, caso entenda que o tratamento dos dados foi realizado em desacordo com a lei.
FISCALIZAÇÃO
A fiscalização e aplicação de sanções e multas será feita pela Autoridade Nacional de Proteção de Dados (ANPD), que em caso de violação comprovada, poderá aplicar advertência, multa (limitada a 2% do faturamento bruto da empresa, pessoa jurídica ou conglomerado, limitada a 50 milhões de reais), publicização da infração, bloqueio temporário, eliminação dos dados, suspensão parcial ou temporária, bem como proibição parcial ou total da atividade de tratamento de dados que gerou a violação.
As sanções mencionadas entrarão em vigor em agosto de 2021, trazendo urgência de adequação a todas as empresas, independentemente de seu porte.
Critérios como reincidência, boa-fé, gravidade das infrações, proporcionalidade, cooperação e grau de dano, bem como medidas de boas práticas e governança serão levados em consideração no julgamento das violações. Vale lembrar que a LGPD não se aplica a casos de fins exclusivamente particulares e não econômicos, para objetivos jornalísticos e artísticos, acadêmicos (desde que com base nas hipóteses de tratamento), em prol da defesa nacional, pela segurança pública ou estado ou atividades de investigação e repressão de infrações penais, e para dados que sejam considerados anonimizados (onde não é possível identificar, direta ou indiretamente, o titular dos dados).
NOVOS PAPÉIS
Além da criação de uma autoridade supervisora (ANPD), a LGPD trouxe a necessidade de um novo profissional: o encarregado, ou DPO – Data Protection Officer, importado de leis de proteção de dados e privacidade já em vigor em outros países.
O encarregado de dados pessoais tem a função de:
- aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências,
- receber comunicações da autoridade nacional e tomar providências,
- orientar os funcionários e contratados da entidade a respeito de práticas a serem adotadas em relação a proteção de dados pessoais;
- executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
A lei não exige que o encarregado ocupe um cargo dedicado, ou possua certificações específicas para a exercer a função, por delimitar as suas funções às fases de manutenção e melhoria de um projeto de adequação.
Um encarregado ou DPO com os conhecimentos adequados, apoiado por um bom time multidisciplinar, pode também atuar na implementação de medidas técnicas e administrativas que garantam a conformidade com a lei e a mitigação dos riscos à proteção de dados e privacidade.
A GT possui uma equipe dedicada a auxiliar as empresas no processo de adequação, atuando desde a fase de implementação ao suporte nas fases de manutenção e melhoria.
Para saber mais sobre esse e outros temas, acesse o nosso Blog e não perca nenhuma notícia do universo fiscal! Você também pode entrar em contato conosco para que nossa equipe multidisciplinar encaminhe sua empresa para os melhores editais e incentivos fiscais em inovação!
Autor: Camila Cardsoso