Breves esclarecimentos sobre a Lei Geral de Proteção de Dados do Brasil (LGPD)

A LGPD prevê regras para captura, armazenamento, tratamento e compartilhamento de dados pessoais, impondo maior proteção aos usuários e também penalidades por seu não cumprimento, as empresas precisam se adequar.

Fonte: Gisele Leite

Comentários: (0)




LGPD[1] - Lei Geral de Proteção de Dados do Brasil que fora sancionada em agosto de 2018 e estabelece as regras sobre captura, armazenamento, tratamento e compartilhamento de dados pessoais, impondo mais proteção e penalidades para o não cumprimento. A referida lei entrou em vigência em 14 de setembro de 2020, possibilitando às empresas e organizações ter um período de dezoito meses para prover a necessária adaptação[2].

Com a referida legislação, nosso país passa a integrar a lista de cento e vinte países que possuem específica lei para proteção de dados pessoais. Percebe-se que a referida lei irá colmatar lacunas vindo substituir e/ou complementar os mais de quarenta diplomas legais que, de forma esparsa, regulamentam o uso de dados no país atualmente.

A principal influência para a criação a LGPD foi a GDPR (General Data Protection Regulation) que entrou em vigor em 2019 e regulamentou a questão na Europa. E, passou a servir de modelo para muitos outros países para que adotem semelhantes regras ou até reforcem políticas protetivas anteriores.

A referida lei entende por dados pessoais, qualquer informação relacionada à pessoa natural identificada ou identificável e, por tratamento de dados, toda operação realizada com dados pessoais, bem como os referentes à coleta, classificação, utilização, acesso, reprodução, processamento, armazenamento, eliminação, controle da informação, entre outros.

Assim, a coleta e processamento de danos deverá atender às bases legais onde se prevê nove hipóteses que tornam lícitos os tratamentos de danos, com destaque a duas, especialmente, a saber: o fornecimento de consentimento e, ainda, o legítimo interesse. O consentimento deverá ser explícito pelo titular dos dados, ou seja, deve ser informado e dado livremente, para os consumidores que optem ativamente por aderir ou não[3].

Quanto ao legítimo interesse do controlador que poderá promover tratamento de dados pessoais para atender finalidades legítimas, sendo consideradas a partir de situações concretas particulares.

A nova lei elencou dez princípios que deverão ser obedecidos pelas organizações quanto ao tratamento de dados pessoais com grande destaque ao princípio da finalidade, adequação, da necessidade e da transparência. Devem nortear tanto a atuação de organizações públicas como as privadas que possuem cultura de acumular dados, antes mesmo de saber o que farão com o acervo.

De sorte que pela lei, a coleta de dados deve se limitar ao que seja diretamente útil para imediata interação com consumidores. Assim, limitada ao mínimo necessário em relação às finalidades visadas. Há quatro diferentes agentes envolvidos, a saber: o titular, o controlador, o operador e o encarregado.

O titular dos dados é a pessoa a quem se referem os dados pessoais. O controlador é a empresa ou pessoa física que captura os dados pessoais e decide em relação sobre a forma e finalidade de tratamento dos dados. É responsável pela forma de coleta, pela finalidade e por quanto tempo estarão armazenados. É uma extensa e complexa responsabilidade.

O operador, por sua vez, é a empresa ou pessoa física que realiza o tratamento e processamento de dados pessoais sob as diretrizes do controlador. E, o encarregado é a pessoa física indicada pelo controlador e que atua como canal de comunicação entre as partes, além de orientar os funcionários do controlador sobre as práticas de tratamento dos dados pessoais.

Já se fazem sentir os fortes impactos para o marketing empresarial pois, a tendência a se firmar é a busca de métodos mais idôneos e limpos para alcançar as pessoas. As empresas terão que ficar mais atentas para ganhar leads[4] e aplicar o pensamento big data aos grupos menores de dados, mas potencialmente mais ricos.

A nova dinâmica da regulamentação pode ser encarada como uma oportunidade positiva, para um posicionamento mais estratégico e repensar suas táticas e gerar maior valor para a clientela através de reconhecimento de preferências, interações mais significativas, além de mais honestas.

Um dos pilares é o princípio da necessidade, assim, os dados devem ser usados para realização de suas finalidades, e não excessivos. Portanto, o limite a coleta de dados ao que é necessário para finalidade comercial idônea.

O que acontece com quem descumprir a LGPD? O capítulo VIII da LGPD traz disposições sobre a fiscalização e as sanções administrativas que incidem sobre quem não cumprir a lei.

De acordo com o artigo 52, as possíveis sanções são as seguintes: advertência, com indicação de prazo para adoção de medidas corretivas;  multa simples, de até 2% do faturamento no seu último exercício, excluídos os tributos, limitada a R$ 50 (cinquenta) milhões por infração;  multa diária; publicização da infração após devidamente apurada e confirmada a sua ocorrência;  bloqueio dos dados pessoais a que se refere a infração até a sua regularização; eliminação dos dados pessoais a que se refere a infração.

O parágrafo primeiro do artigo explica que as sanções[5] são aplicadas após instaurado um procedimento administrativo, que deve prever a possibilidade de ampla defesa ao acusado.

Para a definição da sanção, serão analisados critérios como a gravidade da infração, a boa-fé do infrator, possível reincidência e outros elementos listados na lei.

Segundo o artigo 55-J da LGPD, compete à Autoridade Nacional de Proteção de Dados (ANPD)[6] a incumbência de fiscalizar e aplicar as sanções.

De acordo com a Lei nº 13.853, de 8 julho de 2019, no art. 55-J, cabe à ANPD, a saber:

I.         Zelar pela proteção dos dados pessoais, nos termos da legislação;

II.       Zelar pela observância dos segredos comercial e industrial, observada a proteção de dados pessoais e do sigilo das informações quando protegido por lei;

III.       Elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade[7];

IV.          Fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;

V.            Apreciar petições de titular contra controlador após comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação;

VI.          Promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança

VII.         Promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;

VIII.        Estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis;

IX.          Promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;

X.            Dispor sobre as formas de publicidade das operações de tratamento de dados pessoais, respeitados os segredos comercial e industrial;

XI.          Solicitar, a qualquer momento, às entidades do poder público que realizem operações de tratamento de dados pessoais informe específico sobre o âmbito, a natureza dos dados e os demais detalhes do tratamento realizado, com a possibilidade de emitir parecer técnico complementar para garantir o cumprimento da LGPD;

XII.         Elaborar relatórios de gestão anuais acerca de suas atividades;

XIII.        Editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos nesta Lei;

XIV.       Ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e planejamento;

XV.        Arrecadar e aplicar suas receitas e publicar, no relatório de gestão a que se refere o inciso XII do caput deste artigo, o detalhamento de suas receitas e despesas;

XVI.       Realizar auditorias, ou determinar sua realização, no âmbito da atividade de fiscalização de que trata o inciso IV e com a devida observância do disposto no inciso II do caput deste artigo, sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento, incluído o poder público;

XVII.      Celebrar, a qualquer momento, compromisso com agentes de tratamento para eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito de processos administrativos, de acordo com o previsto no Decreto-Lei nº 4.657, de 4 de setembro de 1942;

XVIII.    Editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei;

XIX.       Garantir que o tratamento de dados de idosos seja efetuado de maneira simples, clara, acessível e adequada ao seu entendimento, nos termos da LGPD e da Lei nº 10.741, de 1º de outubro de 2003 (Estatuto do Idoso);

XX.        Deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação da LGPD, as suas competências e os casos omissos;

XXI.       Comunicar às autoridades competentes as infrações penais das quais tiver conhecimento;

XXII.      Comunicar aos órgãos de controle interno o descumprimento do disposto nesta Lei por órgãos e entidades da administração pública federal;

XXIII.    Articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação;

XXIV.    Implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei.

XXV.     A Lei estabelece ainda que o órgão deverá articular sua atuação com o Sistema Nacional de Defesa do Consumidor, do Ministério da Justiça, e outros órgãos.

Com essa nova lei, o Facebook terá maior facilidade de descobrirem quais as informações pessoais são armazenadas sobre as pessoas, além de tornar necessário o pedido de permissão expressa aos usuários das redes sociais para operar qualquer coleta de seus dados. Os usuários também terão o poder de recusar a utilização de dados, caso desejarem.

Merece atenção especial é que o conjunto de particularidades quanto às obrigações e responsabilidades do Facebook e do anunciante. Pois a depender das circunstâncias da campanha, o Facebook assumirá tanto o papel de controlador de dados quanto o de operador de dados.

No caso de controladora de dados na criação de campanhas publicitárias, terá a responsabilidade da organizar a informação de modo transparente ao usuário, informando o que está acontecendo com seus dados.

A técnica de remarketing[8] que visa trabalhar com a publicidade online dirigida aos usuários que já realizaram alguma interação com você na internet, também merece atenção. Pois, quando um usuário acessou o site para visualizar certo produto ou serviço, e, a partir de uma ação de remarketing, você exibirá um anúncio exclusivo sobre o mesmo produto, você estará salvando os cookies[9] do seu site e enviando tais informações pessoais no Facebook.

Com a lei o cliente ou usuário passou a ter maior controle sobre o uso de seus dados e, tem ainda, o direito de solicitar à empresa o acesso ou remoção de todas as informações mantidas dessa pessoa específica em toda organização. O acesso aos dados pessoais do consumidor deve ser fornecido de forma clara e completa até quinze dias da data de solicitação.

É certo que isso pode vir a ser problemático para as empresas que mantêm seus dados em lugares diferentes e para finalidades diferentes. E, a solução possível é ter uma única plataforma que seja capaz de hospedar o registro de consentimento de cada usuário.

E, ter a centralização de dados em uma única plataforma, ou até em plataformas integras, além auxiliar o acompanhamento, a alteração e atualização de todos os seus dados e permissões, é também modo de facilitar a comprovação de cumprimento estrito da norma estabelecida.

Quais são os direitos do titular dos dados pessoais? No seu artigo 2º, a Lei Geral de Proteção de Dados apresenta os fundamentos das disciplinas, que nada mais são que os direitos a serem respeitados no tratamento dos dados.

A seguir, arrolamos estes: respeito à privacidade;  Autodeterminação informativa;  liberdade de expressão, de informação, de comunicação e de opinião; inviolabilidade da intimidade, da honra e da imagem; desenvolvimento econômico e tecnológico e a inovação livre iniciativa, a livre concorrência e a defesa do consumidor; direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Cabe destacar, por derradeiro, que a LGPD apresenta somente reflexos indiretos no processo eleitoral municipal, posto que o foco principal seja a proteção dos dados pessoais de pessoas físicas.

Nas ocasiões que tratem de mero aperfeiçoamento do processo eleitoral e, não de alteração propriamente dita neste, o princípio da anualidade não é afetado conforme já decidiu o ministro do Supremo Tribunal Federal Ricardo Lewandowski na APDF 738[10]. Conclui-se que então a referida lei não interfere diretamente no presente processo eleitoral, no máximo o aperfeiçoa.

É curial informar que todas as empresas, sejam pequenas e médias, ou ainda, de grande porte, terão que atender às exigências da LGPD. E, uma das mais relevantes mudanças é a previsão do expresso consentimento dos clientes para o uso de informações. Assim, tais empresas terão de deixar evidente para qual finalidade as informações serão utilizadas.

E, normalmente, os formulários nas páginas de internet e avisos eletrônicos de empresas públicas e privadas perguntam sobre o consentimento dos usuários. De sorte que doravante tais termos deverão ser mais transparentes e honestos. Fica proibido o uso dos dados para outras finalidades que não sejam as que foram acordadas e o armazenamento de informações das quais as empresas não possa comprovar a necessidade.

Com a comentada lei será indispensável mudar a cultura no que tange à gestão de arquivos, contratação de especialistas e investimento em segurança da informação. Infelizmente, a lei não especificou a formação[11], porém deve ser alguém dotado de conhecimentos em leis e na área de Tecnologia da Informação (TI). Sendo que uma das atribuições desse profissional será prestar contas diretamente à ANPD com envio de relatórios periódicos sobre os impactos da proteção dos dados.

Referências:

BIONI, Bruno Ricardo. Proteção de Dados: a função e os limites do consentimento. Rio de Janeiro: Forense, 2019.

Direito Digital & LGPD E-book Disponível em: https://opiceblumacademy.com.br/ São Paulo: Instituto de Direito Contemporâneo. OpiceBlum Academy, 2020.

GROSSI, Bernardo Menicucci (Org.) Lei Geral de Proteção de Dados Porto Alegre, RS: Editora Fi, 2020.

PINHEIRO, Patrícia Peck. Proteção de dados pessoais: Comentários à Lei 123.709/20019(LGPD). São Paulo: Saraiva Educação, 2018.

Notas:

[1] A LGPD foi aprovada ainda em 2018, no governo Michel Temer, e modificada em 2019. Esta define direitos de indivíduos em relação às suas informações pessoais e regras para quem coleta e trata esses registros.

[2] As normas entraram em vigor em agosto deste ano e, agora, passam a valer apenas em maio de 2021.O Projeto de Lei 5762/19 prorroga por dois anos, de agosto de 2020 para agosto de 2022, a vigência da maior parte da Lei Geral de Proteção de Dados Pessoais (LGPD). Os itens entrariam em vigor em janeiro, mas esse prazo já havia sido adiado pela Lei 13.853/19, oriunda da Medida Provisória 869/18. Fonte: Agência Câmara de Notícias

[3] As empresas em cumprimento do LGPD deverão manter uma estrutura de governança de dados, isto é, certificar de que existem na organização pessoas responsáveis por zelar pela privacidade e gestão dos dados e procedimentos para reportar eventuais incidentes; preservar inventário de dados pessoais e mecanismos de transferência de dados, atestando a existência e manutenção de inventário da localização do armazenamento de dados pessoais ou fluxo de dados, com suas classes devidamente definidas; implementar uma política de privacidade de danos, assim deverá redigir e executar normas relacionadas à privacidade de dados desde que atenda a todos requisitos legais e mitigue os riscos operacionais e de danos aos titulares dos dados pessoais; incorporar a privacidade de dados às suas operações; cumprir cronograma interno de treinamento e comunicação; gerenciar os riscos relacionados à segurança da informação, isto é, manter um sistema de segurança da informação baseado nos requisitos legais e nos riscos a que a organização está submetida; administrar riscos de terceiros e parceiros de negócio estão de acordo com as normas internas e externas de privacidade de dados e dentro dos limites de tolerância ao riscos estabelecidos previamente; prover avisos legais aos usuários em conformidade com a política de privacidade de dados, os requisitos legais e análise prévia de riscos; responder tempestivamente às solicitações e reclamações de usuários. monitorar novas práticas operacionais; conduzir de forma estruturada a apuração e correção de violações de privacidade; mensurar a efetividade dos processos e controles internos; acompanhar a edição de novas regulamentações e as melhores práticas de mercado.

[4] Leads são oportunidades de negócio que forneceu suas informações de contato, tais como seu nome, e-mail, em troca de uma oferta da empresa (como por exemplo, conteúdo educativo ou de entretenimento). Lead é um potencial consumidor que representa uma oportunidade de negócio, pois já demonstrou interesse na sua empresa de alguma forma. O conceito de lead ficou mais evidente com o crescimento do Inbound Marketing nos últimos anos. Nessa perspectiva do marketing, as empresas não vão atrás de clientes — são os clientes que chegam até as empresas, por meio de estratégias de atração, como SEO e Marketing de Conteúdo.

[5] É relevante que a empresa se resguarde procurando ter sempre o consentimento do titular dos dados, seja este empregado, prestador de serviço, terceirizado ou consumidor ou cliente para evitar de sofrer as penalidades que são previstas e que podem atingir até dois por cento do faturamento empresarial podendo chegar até cinquenta milhões de reais.

[6] O governo federal brasileiro aprovou a estrutura regimental e quadro de cargos para a criação da Autoridade Nacional de Proteção de Dados (ANPD). O órgão está subordinado à Presidência da República e tem a função de fiscalizar e editar normas sobre o tratamento de dados pessoais por pessoas físicas e jurídicas. Há um descompasso, entretanto, já que a nomeação do Conselho Diretor e do diretor-presidente, órgão máximo de direção da ANPD, deve passar pela aprovação do Senado Federal. Mas as atividades das comissões permanentes da Casa estão suspensas em razão da pandemia de covid-19.

[7] Ataque consiste na ação que constitui uma tentativa deliberada e não autorizada para acessar/manipular informações, ou tornar um sistema inacessível, não íntegro, ou indisponível. (In: Assis Mendes Advogados, #Dicionário LGPD -Lei Geral de Proteção de Dados Pessoais, junho de 2020).

[8] Remarketing é uma poderosa ferramenta, criada pelo Google Adwords, para divulgar anúncios à pessoas que tenham se interessado por um produto/serviço. Estes anúncios são veiculados em blogs, redes sociais, sites de conteúdo e jornais online, sites que sejam vinculados à rede de display do Google, os chamados parceiros. No comércio eletrônico o uso desta estratégia se tornou algo tão comum que é praticamente impossível de falar em marketing online voltado para o e-commerce sem abordar a questão do Remarketing ou Retargeting, como também é conhecido.

[9] Um cookie, no âmbito do protocolo de comunicação HTTP usado na Internet, é um pequeno arquivo de computador ou pacote de dados enviados por um site de Internet para o navegador do usuário, quando o utilizador visita o site. Para que isso seja possível, o navegador utiliza arquivos de textos chamados Cookies, os quais possuem como principal função armazenar as preferências dos usuários sobre um determinado site na Internet. Cada Cookie em seu PC armazena dados para um endereço web específico.

[10] O ministro Ricardo Lewandowski, do Supremo Tribunal Federal (STF), complementou a decisão proferida na Arguição de Descumprimento de Preceito Fundamental (ADPF) 738, ajuizada pelo Partido Socialismo e Liberdade (PSOL), em que determinou a aplicação, já nas eleições deste ano, de incentivos às candidaturas de pessoas negras no formato definido pelo Tribunal Superior Eleitoral (TSE), para esclarecer como tais incentivos devem ser aplicados.


Gisele Leite

Gisele Leite

Professora Universitária. Pedagoga e advogada. Mestre em Direito. Mestre em Filosofia. Doutora em Direito. Conselheira do INPJ. Instituto Nacional de Pesquisas Jurídicas. Consultora Jurídica.


Palavras-chave: LGPD Proteção de Dados Digitais E-mail Marketing Consentimento Expresso

Deixe o seu comentário. Participe!

colunas/gisele-leite/breves-esclarecimentos-sobre-a-lei-geral-de-protecao-de-dados-do-brasil-lgpd

0 Comentários

Conheça os produtos da Jurid