Na atual sociedade globalizada, o trâmite, armazenamento e tratamento dos dados pessoais por meios físicos e virtuais ocorre em grande volume, expondo os cidadãos a riscos que podem prejudicar sua imagem e patrimônio. As empresas devem se adequar às normas e regulamentos expostos na Lei Geral de Proteção de dados para garantir a segurança de suas informações, evitando multas e sanções. Confira nesse post o como funciona a LGPD e como ela afeta a sua empresa.

O que é a LGPD?

Sancionada em 2018, lei Nº 13.709/18 visa garantir a segurança dos dados de qualquer pessoa, natural ou não, que esteja em território nacional nas relações institucionais e comerciais, em todos os aspectos: coleta, armazenamento, tratamento e eliminação.

Foi criada devido às exigências do mercado internacional, considerando que muitos países, em especial a União Europeia, já possuem dispositivos com essa finalidade (o GDPR) e exigem postura semelhante de seus parceiros comerciais.

No Brasil os conceitos inerentes à proteção de dados desenvolveram-se ao longo do tempo, com citações em leis específicas, sendo ampliados e reforçados com o Marco civil da internet até se concretizar na LGPD.

Fundamentos e conceitos

A LGPD é uma lei principiológica apresenta sete fundamentos em seu artigo 2º:

1. Respeito à privacidade;
2. Autodeterminação informativa;
3. Liberdade de expressão, informação e opinião;
4. Inviolabilidade da intimidade, honra e imagem;
5. Desenvolvimento econômico, tecnológico e inovação;
6. Livre iniciativa, livre concorrência e defesa do consumidor;
7. Direitos humanos, livre desenvolvimento da personalidade, dignidade e exercício da cidadania.

Um dos grandes avanços foi o estabelecimento de direitos aos titulares de dados, que agora detêm total poder sobre eles. As empresas só podem usar os dados após o consentimento do titular, devem especificar qual será a finalidade de uso e garantir a segurança do dado que estiver tratando, respondendo por qualquer dano ao titular pelo tratamento inadequado ou vazamento dos dados. O titular também pode solicitar a exclusão de seus dados da base da empresa quando desejar.

As empresas que não se adequarem sofrerão sanções administrativas e legais, aumentadas se a infração estiver relacionada a dados pessoais sensíveis, aqueles que podem identificar uma pessoa e tratam de assuntos delicados e discriminatórios como raça, classificação etária, orientação sexual, classe social, religião, entre outros.

Princípios

A legislação estabelece que as atividades de tratamento de dados devam se pautar pela boa fé e os princípios de:

1. Finalidade: o tratamento deve ser legítimo e informado ao titular.
2. Adequação: tratamento adequado às finalidades informadas ao titular.
3. Necessidade: solicitar e tratar apenas o mínimo necessário.
4. Livre acesso: disponibilizar acesso facilitado e gratuito ao titular sobre o uso e cumprimento da finalidade.
5. Qualidade dos dados: deve-se garantir a exatidão das e precisão dos dados coletados.
6. Transparência: garantir informações claras e precisas ao titular sobre o tratamento dos dados.
7. Segurança: garantir a segurança e prevenir acessos não autorizados.
8. Prevenção: prevenir a ocorrência de danos em virtude do tratamento.
9. Não discriminação: não utilizar as informações para fins discriminatórios ou abusivos.
10. Responsabilização e prestação de contas: comprovar a adoção de medidas e procedimentos que garantam a execução do disposto na lei.

Aplicação

As normas são aplicáveis a todas as pessoas físicas ou jurídicas de direito público ou privado que utilizam dados para realização de atividades normativas ou econômicas. A lei não se aplica quando se tratar de uso de dados para fins exclusivamente particulares (lista de convidados para uma festa de casamento, por exemplo), acadêmico, jornalístico ou artístico (com ressalvas), ou para defesa do Estado.

Fiscalização e sanções

A legislação a ANPD – Autoridade Nacional de Proteção de Dados como órgão regulamentador e fiscalizador sobre o cumprimento das normas de proteção de dados pessoais e aplicação das sanções cabíveis em caso de descumprimento.

Implantando um programa de gestão de dados pessoais

A LGPD estabelece os seguintes conceitos em relação ao tratamento de dados e implantação do programa de gestão nas organizações:

1. Titular: pessoa natural a quem se referem os dados tratados.
2. Controlador: pessoa física ou jurídica que detém os dados dos titulares e tomam as decisões de tratamento sobre eles.
3. Operador: pessoa ou empresa que realiza a operação dos dados em nome do controlador.
4. Encarregado: pessoa responsável pela comunicação entre as partes envolvidas: controlador, operador, titular e ANPD.
5. Agentes de tratamento: o controlador e o operador.

Toda empresa ou pessoa física que exerce atividade comercial ou pública e realiza o tratamento de dados deve garantir a execução dos princípios previstos na lei, utilizando todos os métodos administrativos e técnicas necessárias ao seu cumprimento. Para tanto, a empresa deve criar políticas internas, manuais, realizar treinamentos e garantir que seus funcionários saibam da existência das normas e aplique-as no dia-a-dia.

Cada segmento exige uma especificidade, em especial as empresas digitais ou que utilizam a internet, onde o contato não é feito diretamente com o cliente e possui muitas ramificações com leis e códigos de ética adicionais que devem ser consultadas e seguidas, como o marco civil da internet e o código de ética da ABEMD – Associação Brasileira de Marketing de Dados, para estratégias de marketing.

Multas e Sanções

As empresas que não se adequarem ou infringirem a legislação, estão sujeitas às seguintes sanções:

1. Advertência;
2. Multa de 2% sobre o faturamento do grupo, limitada a R$ 50.000.000,00 (cinquenta milhões de reais), por infração.
3. Multa diária;
4. Publicização da infração;
5. Bloqueio ou eliminação dos dados pessoais.

As sanções são aplicadas de modo gradativo, considerando fatores como má fé, reincidência, gravidade e natureza da infração, grau do dano, bem como as atitudes do infrator mediante o ocorrido (medidas adotadas para prevenção e correção, cooperação, entre outros).

As empresas podem contratar consultorias específicas para a implantação da política de tratamento de dados, com especial atenção aos contratos e determinação de responsabilidades, em virtude das muitas relações de tratamento que podem ocorrer.

A ANPD também disponibiliza um guia orientativo para implantação do manual em empresas de pequeno porte.