LGPD 13.709/2018 - Lei Geral de Proteção de Dados

LGPD 13.709/2018 - Lei Geral de Proteção de Dados

LGPD 13.709/2018 - Lei Geral de Proteção de Dados

LGPD 13.709/2018 - Lei Geral de Proteção de Dados

6 Jan 2019 Claudio Hernandez

A coleta e análise de dados representam diferenciais competitivos para as empresas que sabem capitalizar esse know-how. Entretanto, este cenário oferece espaço para o mau uso de dados pessoais para finalidades abusivas ou mesmo ilícitas. É nesse cenário que a Lei Geral de Proteção de Dados (LGPD 13.709/2018) oportunamente aparece. Ela está apenas regulando esta realidade. Está, como se diz, ditando as regras do jogo.
São impactados pela LGPD a coleta e o tratamento de dados como: formulários impressos ou em websites ao contratar serviços, informações já contidas ou futuramente cadastradas em sistemas das empresas (sem exceção), dados pessoais coletados em eventos abertos ao público ou não, entre outros. A Lei se aplica apenas a pessoas naturais, ou seja, não se aplica a pessoas jurídicas. Há outras exceções, que são tratadas adiante neste post.

Índice deste conteúdo:
Histórico e início de vigência
Objetivos
Definições
Tratamento de dados
Consentimento do titular quanto ao tratamento dos dados
Acesso às informações
Prazo para prestar as informações requisitadas pelo Titular
Transferência de dados de Controlador para Controlador
Aplicabilidade a empresa estrangeiras
A Responsabilidade e o Ressarcimento de Danos
Segurança e Sigilo de Dados
Comunicação de Incidentes
Sanções Administrativas (multas, ...)
A Autoridade Nacional de Proteção de Dados (ANPD)
Quando a Lei não se aplica
Conclusão

 
Histórico e início de vigência
De certa forma, boa parte da LGPD "já existia" na forma do Marco Civil da Internet, do Código de Defesa do Consumidor, da Lei do Cadastro Positivo, entre outros. Agora com a Autoridade Nacional de Proteção de Dados (ANPD), instituída em 27/12/2018, essa lei ganha uma entidade que de fato zela por seu cumprimento, inclusive aplicando sanções.
A Lei Geral de Proteção de Dados (Lei 13.709/2018) dispõe sobre a proteção de dados pessoais, e altera o Marco Civil da Internet (Lei 12.965/2014).

Essa Lei sofreu uma grande influência do texto europeu da "General Data Protection Regulation" (GDPR, efetiva desde 25 de maio de 2018), ambas baseadas nos direitos fundamentais de liberdade e de privacidade, como a livre iniciativa e o desenvolvimento econômico e tecnológico.
Com a Medida Provisória 869/18, a lei está vigente desde 28/12/2018 no que se refere à criação da ANPD e estará vigente a partir de agosto de 2020 em relação aos seus demais aspectos. Ou seja, as empresas brasileiras ou estrangeiras com unidades no Brasil terão até agosto de 2020 para se adequarem.

 
Objetivos
Os objetivos principais da Lei são:
• Garantir a proteção à privacidade de dados pessoais;
• Assegurar a transparência no uso de dados pessoais por empresas e órgãos públicos;
• Conferir segurança jurídica;
• Concorrência leal e desenvolvimento empresarial sem riscos aos direitos de privacidade dos cidadãos.


 
Definições
Para seu completo entendimento, é preciso definir alguns conceitos (contidos em seu artigo 5º):

- Dados pessoais: qualquer informação relacionada à pessoa que o detém. Ex: nome, cpf, data de nascimento, endereço residencial, endereço de e-mail, endereço web de seu perfil em redes sociais, outros dados relacionados à pessoa;
- Dado pessoal sensível: origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico;
- Titular: dono dos dados, ou seja, pessoa única a quem os dados se referem;
- Tratamento de dados: operações ou procedimentos realizados com os dados. Até o momento, a Lei considera como tratamento de dados essas operações:
• coleta
• produção
• recepção
• classificação
• utilização
• acesso
• reprodução
• transmissão
• distribuição
• processamento
• arquivamento
• armazenamento
• eliminação
• avaliação ou controle
• modificação
• comunicação
• transferência
• difusão
• extração
- Dado anonimizado: dado com informações que não sejam suficientes para atrelá-lo ou associá-lo a um indivíduo. Ex: endereço comercial não é suficiente para especificar um indivíduo exclusivamente. Já o CPF é um dado não anonimizado, pois especifica o indivíduo exclusivamente;
- Anonimização: procedimento durante o tratamento onde um dado perde a possibilidade de associação a um indivíduo. Ex: excluindo-se algumas informações que antes especificavam o indivíduo exclusivamente;
- Controlador: pessoa ou empresa a quem competem as decisões referentes ao tratamento de dados, ou seja, é quem decide quais operações de tratamento devem ser realizadas com os dados;
- Operador: pessoa ou empresa que, de fato, realiza o tratamento de dados em nome do Controlador, descrito acima;
- Encarregado: pessoa indicada pelo Controlador para atuar como canal de comunicação entre o Controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), ou seja, um interlocutor entre o Controlador e o dono dos dados;
- Consentimento: manifestação feita pelo Titular (dono dos dados) concordando com o tratamento de seus dados para uma finalidade determinada;
- Bloqueio: suspensão temporária de qualquer operação de tratamento;
- Eliminação: exclusão de dado ou de conjunto de dados armazenados;


 
Tratamento de dados
São as operações realizadas com dados pessoais listadas acima.
Elas deverão observar seguintes princípios:
- Os propósitos do tratamento devem ser legítimos e bem específicos, informados ao titular, e com seu consentimento. Veja como o consentimento deve ser dado aqui (obs: o consentimento pode ser revogado pelo titular a qualquer momento).
Importante: o tratamento deve contemplar o mínimo necessário de dados e não exceder às suas finalidades, ou seja, não devem ser tratados mais dados do que a finalidade o requer. Ex: para o envio de uma newsletter, não é necessário obter-se dados de endereço físico, ou CPF, etc. A rigor, apenas o endereço de e-mail é mínimo e suficiente para a finalidade em questão.
- Os dados pessoais serão eliminados após o término de seu tratamento, salvo para cumprimento de obrigação legal, estudo por órgão de pesquisa, transferência a terceiro ou uso exclusivo do Controlador (desde que anonimizados. Art. 16).
- O Controlador e o Operador devem manter registro das operações de tratamento de dados pessoais que realizarem (Art. 37).
- O Controlador deverá indicar encarregado pelo tratamento de dados pessoais (Art. 41). A identidade e as informações de contato do Encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no site do Controlador.

A qualquer momento, o titular tem direito ao acesso às informações sobre o tratamento de seus dados (Art. 9º). Isso inclui:
- A finalidade específica do tratamento;
- A forma e duração do tratamento;
- A identificação do Controlador, incluindo informações de contato.

Quando o tratamento de dados pessoais for condição para o fornecimento de produto ou de serviço prestado (ex: procedimentos médicos, seguros pessoais, abertura de conta bancária pessoal, ...), o titular deverá ser informado sobre os meios pelos quais poderá exercer seus direitos (listados abaixo).


 
Consentimento do titular quanto ao tratamento dos dados
O consentimento do tratamento deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular (Art. 8º), e poderá ser revogado a qualquer momento.
Em caso de alteração dos dados pelo Controlador, esse deverá informar ao titular, sendo que este poderá revogá-lo caso discorde da alteração.

O consentimento do titular não é necessário nas hipóteses em que o tratamento de dados for indispensável para (Art. 11):
- o cumprimento de obrigação legal ou regulatória pelo Controlador;
- pela administração pública para a execução de políticas públicas previstas em leis ou regulamentos;
- para a realização de estudos por órgão de pesquisa;
- exercício regular de direitos, inclusive em contrato e em processo judicial;
- para a proteção da vida ou do bem estar físico do titular ou de terceiro;
- para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
- garantia da prevenção à fraude e à segurança do titular;
- Se os dados são tornados públicos pelo próprio titular.


 
Acesso às informações
O titular dos dados tem direito a obter do Controlador (Art. 18):
- A confirmação da existência de tratamento com seus dados;
- O acesso aos dados tratados;
- A correção de dados incompletos, inexatos ou desatualizados;
- A anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou em desconformidade com a Lei;
- A portabilidade dos dados a outro fornecedor de serviço ou produto (como na transferência de dados para uma empresa concorrente à do Controlador atual);
- A eliminação dos dados pessoais tratados (com algumas exceções);
- A informação das entidades públicas e privadas com as quais o Controlador realizou uso compartilhado de dados;
- A informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
- A revogação do consentimento.


 
Prazo para prestar as informações requisitadas pelo Titular
Até 15 (quinze) dias, contados da data do requerimento do titular.
As informações e os dados poderão ser fornecidos, a critério do titular, por meio eletrônico ou sob forma impressa.


 
Transferência de dados de Controlador para Controlador
O Controlador que necessitar comunicar ou compartilhar dados pessoais com outros Controladores deverá obter consentimento específico do titular para esse fim. Ex: se uma empresa precisar compartilhar os dados de um cliente com outra empresa do mesmo grupo, para outra finalidade de tratamento, isso deverá ser informado e pedido consentimento ao Titular.
A transferência internacional de dados pessoais é permitida nos seguintes casos (Art. 33):
- o país de destino dos dados proporciona grau de proteção de dados adequado ao previsto na Lei;
- quando o Controlador oferecer e comprovar garantias de cumprimento da Lei;
- quando a transferência for necessária para a cooperação jurídica internacional;
- quando a autoridade nacional autorizar a transferência;
- quando a transferência resultar em compromisso assumido em acordo de cooperação internacional.


 
Aplicabilidade a empresa estrangeiras
A lei será aplicada às empresas com sedes estrangeiras desde que os dados sejam tratados em território nacional. Adicionalmente, dados tratados em outros países também estão sujeitos à lei caso tenham sido coletados no Brasil.


 
A Responsabilidade e o Ressarcimento de Danos
O Controlador ou o Operador que causar ao titular dano patrimonial, moral, individual ou coletivo, em violação a essa Lei, é obrigado a repará-lo (Art. 42).
O Operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da Lei ou quando não tiver seguido as instruções do Controlador, salvo quando provarem que (Art. 43):
I - não realizaram o tratamento de dados pessoais que lhes é atribuído;
II - embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou
III - o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.


 
Segurança e Sigilo de Dados
Os agentes de tratamento (Controladores e Operadores) devem adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas (Art. 46).


 
Comunicação de Incidentes
O Controlador deverá comunicar à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares (Art. 48).
A comunicação será feita em prazo definido pela autoridade nacional, e deverá mencionar, no mínimo:
I - a descrição da natureza dos dados pessoais afetados;
II - as informações sobre os titulares envolvidos;
III - as medidas técnicas e de segurança utilizadas para a proteção dos dados;
IV - os riscos relacionados ao incidente;
V - os motivos da demora, no caso de a comunicação não ter sido imediata; e
VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

A ANPD verificará a gravidade do incidente e poderá determinar ao Controlador a adoção de providências, tais como:
I - ampla divulgação do fato em meios de comunicação; e
II - medidas para reverter ou mitigar os efeitos do incidente.


 
Sanções Administrativas
O descumprimento da LGPD incorre nas seguintes sanções administrativas (Art. 52):
I - advertência, com indicação de prazo para adoção de medidas corretivas;
II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III - multa diária, observado o limite total a que se refere o inciso II;
IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI - eliminação dos dados pessoais a que se refere a infração;

Há a oportunidade da ampla defesa, considerados os seguintes critérios:
I - a gravidade e a natureza das infrações e dos direitos pessoais afetados;
II - a boa-fé do infrator;
III - a vantagem auferida ou pretendida pelo infrator;
IV - a condição econômica do infrator;
V - a reincidência;
VI - o grau do dano;
VII - a cooperação do infrator;
VIII - a adoção de mecanismos e procedimentos internos que minimizem o dano;
IX - a adoção de política de boas práticas e governança;
X - a pronta adoção de medidas corretivas; e
XI - a proporcionalidade entre a gravidade da falta e a intensidade da sanção.


 
A Autoridade Nacional de Proteção de Dados (ANPD)
Em 27 de dezembro de 2018, o ex-presidente Michel Temer, em um dos últimos despachos de seu governo, oficializou a criação da Autoridade Nacional de Proteção de Dados (ANPD), através da Medida Provisória nro. 869 (MP 869/2018). A criação da ANPD tem vigência imediata.

O órgão fica vinculado à Presidência da República, e não mais ao Ministério da Justiça, de Sérgio Moro. Além disso, o órgão terá uma corregedoria, uma ouvidoria e uma assessoria jurídica própria.

Entre as funções da ANPD, estão:
- Editar normas e procedimentos sobre a proteção de dados pessoais
- Requisitar informações, a qualquer momento, aos Controladores e Operadores de dados pessoais;
- Implementar mecanismos para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade;
- Fiscalizar e aplicar sanções na hipótese de tratamento de dados realizado em descumprimento à legislação;
- Difundir na sociedade o conhecimento sobre as normas e as políticas públicas de proteção de dados pessoais e sobre as medidas de segurança;
- Estimular as empresas a adotarem padrões para serviços e produtos que facilitem o exercício de controle e proteção dos titulares sobre seus dados pessoais;
- Elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;
- Promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional.

O Conselho Diretor da ANPD será composto por 5 diretores, incluído o Diretor-Presidente. Já o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade será composto por 23 representantes, titulares suplentes, dos seguintes órgãos e nas respectiva quantidades:
   
 Entidade Qtd
 Poder Executivo federal 6
 Senado Federal 1
 Câmara dos Deputados 1
 Conselho Nacional de Justiça 1
 Conselho Nacional do Ministério Público 1
 Comitê Gestor da Internet no Brasil 1
 Entidades da sociedade civil com atuação comprovada em proteção de dados pessoais 4
Instituições científicas, tecnológicas e de inovação 4
 Entidades representativas do setor empresarial relacionado à área de tratamento de dados pessoais 4
(VII, VIII e IX: não poderão ser membros do Comitê Gestor da Internet no Brasil)

A participação no Conselho Nacional de Proteção de Dados Pessoais e da Privacidade será considerada prestação de serviço público relevante, não remunerada.

A ANPD poderá determinar ao Controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados (Art. 38). O relatório deverá conter, no mínimo:
A descrição dos tipos de dados coletados;
A metodologia utilizada para a coleta e para a garantia da segurança das informações;
A análise do Controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.


 
Quando a Lei não se aplica
A Lei não se aplica a:
- Tratamento feito por pessoas para fins particulares (sem finalidade econômica);
- Finalidades jornalísticas ou artísticas ou acadêmicas;
- Realizado para fins exclusivos de:
a) segurança pública;
b) defesa nacional;
c) segurança do Estado; ou
d) atividades de investigação e repressão de infrações penais.

Os dados anonimizados não serão considerados dados pessoais e, nesse caso, a Lei não se aplica (Art. 12), salvo quando o processo de anonimização ao qual foram submetidos for revertido, tornando então o dado não anonimizado.


 
Conclusão
Dentre os princípios que regem a concepção da LGPD, destaca-se o da transparência e a respectiva responsabilização no uso inadequado dos dados.
A compatibilização do uso dos dados pessoais com as finalidades informadas por quem os coleta também tem destaque, além do princípio da necessidade, que limita o uso dos dados ao mínimo necessário para a finalidade pretendida. O direito ao esquecimento também está preservado, quando o Titular solicita a revogação do consentimento anteriormente concedido.

Durante todo o texto da Lei, verificamos a ressalva de que os segredos comercial e industrial da organização do Controlador devem sempre ser respeitados, principalmente no atendimento a requisições dos dados pelos titulares, bem como na portabilidade dos dados a outro fornecedor de serviço ou produto (ex: na transferência dos dados para um concorrente). Isso ilustra um objetivo pouco considerado da Lei, que é a manutenção e garantia da competitividade lícita, legítima e sadia entre as empresas.

Obs: este texto não se presta a ser utilizado em casos de disputa judicial, estudos ou teses jurídicas.