A Lei Geral de Proteção de Dados (LGPD) tem o objetivo de proteger os dados pessoais das pessoas. De acordo com o art. 5º da LGPD, o dado pessoal a ser protegido é aquele referente à pessoa natural, identificada ou identificável, não se aplicando, portanto, às pessoas físicas.
Todos aqueles que lidarem com dados pessoais de pessoas naturais, sejam empresas, pessoas físicas ou até mesmo o Estado, devem se ater às disposições da LGPD.
Mas o que são dados pessoais para lei?
Existem duas definições para esses dados na lei. A primeira delas é o dado pessoal, que será qualquer informação relacionada à pessoa natural. Podemos exemplificar com dados como seu nome, número de CPF, e-mail, número de telefone, etc.
A segunda definição é a de dado pessoal sensível, que é aquele dado que refere-se à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dado referente a saúde ou à vida sexual, dado genético ou biométrico, sempre vinculado a uma pessoa natural.
Se você é pessoa física, deve se atentar aos direitos que trazidos no bojo da LGPD. São eles:
- A LGPD dá direito aos cidadãos de saber exatamente como os dados estão sendo tratados, quais os dados coletados e o porquê e com quem eles são compartilhados.
Se você é pessoa física, deve se atentar aos direitos que trazidos no bojo da LGPD. São eles:
Isso significa que você pode ligar para uma empresa que possui os dados que você, por exemplo, preencheu para fins de cadastro e requisitar que a mesma proceda à eliminação desses dados.
- Organizações, sejam públicas ou privadas, devem disponibilizar informações claras que ajudem a pessoa a compreender os termos de consentimento e as bases legais que apoiam o tratamento dos seus dados.
Sempre que for necessário a uma instituição coletar seus dados, a mesma deve explicar, de forma clara e que não deixe dúvidas, para que e porque está coletando aqueles dados, em que eles serão utilizados.
- Caso a instituição responsável pelo tratamento de dados pessoais não atenda a qualquer dos direitos estabelecidos no art. 18 da LGPD, o titular pode peticionar junto à Autoridade Nacional de Proteção de Dados, órgão regulatório encarregado de fiscalizar a correta aplicação da legislação, através do site: https://www.gov.br/anpd/pt-br/canais_atendimento
Eis o teor do art. 18 da LPG:
Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:
I – confirmação da existência de tratamento;
II – acesso aos dados;
III – correção de dados incompletos, inexatos ou desatualizados;
IV – anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
VI – eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
VII – informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
VIII – informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
IX – revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.
§ 1º O titular dos dados pessoais tem o direito de peticionar em relação aos seus dados contra o controlador perante a autoridade nacional.
§ 2º O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei.
§ 3º Os direitos previstos neste artigo serão exercidos mediante requerimento expresso do titular ou de representante legalmente constituído, a agente de tratamento.
§ 4º Em caso de impossibilidade de adoção imediata da providência de que trata o § 3º deste artigo, o controlador enviará ao titular resposta em que poderá:
I – comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, o agente; ou
II – indicar as razões de fato ou de direito que impedem a adoção imediata da providência.
§ 5º O requerimento referido no § 3º deste artigo será atendido sem custos para o titular, nos prazos e nos termos previstos em regulamento.
§ 6º O responsável deverá informar, de maneira imediata, aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional.
§ 7º A portabilidade dos dados pessoais a que se refere o inciso V do caput deste artigo não inclui dados que já tenham sido anonimizados pelo controlador.
§ 8º O direito a que se refere o § 1º deste artigo também poderá ser exercido perante os organismos de defesa do consumidor.
Nesse ponto, insta fazer um parêntese para tratar acerca do que significa a expressão “tratamento” de dados. Basicamente, quando a lei fala em tratamento de dados, faz menção a qualquer tipo de operação realizada com aqueles dados, seja coletar, armazenar, utilizar ou acessar dados.
Agora, se você possui uma empresa, é ainda mais importante que se atente às disposições da Lei Geral de Proteção de Dados, não importando se a sua empresa é de pequeno porte ou não.
Isso porque se a atividade que está fazendo o uso dos dados pessoais tiver fins econômicos, a LGPD será aplicável, independentemente do porte da empresa.
Assim, listamos abaixo exatamente o que você deverá se atentar ao lidar com dados pessoais durante as atividades da empresa:
- Sempre informe ao consumidor, de forma clara e que não deixe dúvidas, quais os propósitos da coleta daqueles dados.
Por exemplo, se você precisa das informações de CPF e RG de um cliente para realizar o cadastro dele junto à empresa, é necessário que informe ao mesmo essa finalidade.
- Mantenha um registro das operações de tratamento que realizarem.
Esse dever está insculpido no art. 37 da LGPD e é de extrema importância manter esse registro porque a ANPD (Autoridade Nacional de Proteção de Dados) pode exigir, a qualquer momento, a elaboração de relatório de impacto à proteção de dados pessoais
A forma de exigência desse relatório ainda será regulamentada pela ANPD, porém, é recomendado que desde já sejam implementadas medidas que conservação e segurança dos dados pessoais com os quais a empresa lidar.
Esse registro também protegerá a empresa de futuras demandas judiciais ajuizadas com base na LGPD, principalmente porque, nesses casos, pode ser decretada a inversão do ônus da prova.
A inversão do ônus da prova significa, em apertada síntese, que será dever da empresa comprovar que não fez o tratamento daqueles dados ou, se o fez, que não violou as regras da LGPD, ou, ainda, que o dano causado foi decorrente de culpa exclusiva do titular ou de terceiro.
- Elaborar uma Política de Segurança da Informação e Privacidade.
Essa política é um documento no qual a empresa delineará quais suas políticas e medidas referente a segurança de dados.
Aconselhamos que a política seja elaborada com o auxílio de um advogado especialista, para garantir a segurança jurídica da empresa de forma mais otimizada, bem como minimizar riscos.
- Capacitar os funcionários e parceiros nas práticas de segurança adotadas pela empresa.
- Elaborar constantes relatórios e auditorias sobre as práticas de segurança da informação.
Esses relatórios irão salvaguardar a empresa em eventuais visitas da ANPD, bem como em possíveis ações judiciais acionadas em desfavor da empresa.
- Ter um grupo de resposta à incidente envolvendo a segurança de dados e remediação de possíveis danos a clientes.
Se houver incidente de segurança que possa acarretar risco ou dano relevante (ex: vazamento de dados), devem ser comunicados os titulares dos dados e a autoridade nacional.
- Utilizar ferramentas de tecnologia capazes de assegurar segurança na transmissão e armazenamento de dados, a exemplo de criptografia, certificação digital, blockchain, antivírus, firewall, backups, cyber seguros.
É essencial estar sempre verificando a eficácia dessas tecnologias e medidas e substituí-las quando se tornarem ineficazes ou desatualizadas.
Por fim, cumpre tratar um pouco sobre as sanções administrativas trazidas na lei, isso porque, além da possibilidade de ação judicial ser acionada em face da empresa, é possível que a ANPD sancione de forma administrativa a instituição que desrespeitar as regulações da LGPD.
Eis as sanções administrativas previstas pela lei:
Ø Advertência, com indicação de prazo para adoção de medidas corretivas
Ø Multa simples, ou até mesmo diária, de 2% do faturamento da empresa ou até o limite de cinquenta milhões de reais por infração.
Ø A publicização da infração – ou seja, tornar público o cometimento da infração
Ø Bloqueio de dados pessoais a que se refere a infração até a sua regularização
Ø Eliminação dos dados pessoais a que se refere a infração.
Desse modo, é possível concluir que a LGPD tenciona trazer mais segurança no que concerne ao tratamento de dados pessoais de pessoas físicas e, por isso, sua observância pelas empresas é inquestionável, em nome da segurança jurídica.
Tatyane Barbosa C. Melo
OAB/SE 13.242
Advogada do Amadeus & Santos