Siga-nos nas redes sociais

  • White Facebook Icon
  • White Twitter Icon
  • White LinkedIn Icon

© 2019 por Conformidados

 
CONSIDERAÇÕES  -  LGPD
Lei geral de proteção de dados - LGPD
Medida Provisória - Autoridade Nacional de Proteção de Dados 
 

Introdução

No dia 14 de agosto de 2018, foi sancionada a Lei Geral de Proteção de Dados (“LGPD”, Lei n° 13.709/2018), a qual inicialmente entraria em vigor em fevereiro de 2020, após um período de 18 meses para adaptação (“vacatio legis”), data esta que foi postergada na medida provisória editada pelo governo para a criação da ANPR – Autoridade Nacional de Proteção de Dados, ao apagar das luzes de 2018.

 

A LGPD traz consigo uma série de mudanças que deverão ser implementadas pelos indivíduos e pelas empresas das esferas privada e pública, INDEPENDENTE DOS SETORES NOS QUAIS ATUEM BEM COMO DOS SEUS FATURAMENTOS, a fim de que seja alcançada a conformidade com a Lei.

 

O desafio de conformidade com a lei envolverá a criação de uma cultura interna de proteção de dados e privacidade pelas empresas, sendo este um dos maiores desafios a serem enfrentados pelas mesmas, em um período de tempo exíguo, com final previsto para Agosto de 2020, quando se encerra o período de adaptação da Lei.

 

Todos os departamentos das empresas que tratam dados pessoais deverão se envolver diretamente com o processo de criação da cultura interna das empresas, pela natureza das suas operações com dados pessoais nas suas operações diárias, internamente à empresa ou no relacionamento com empresas terceiras.

                                                                                                                                                                    Início

Para que serve a LGPD?

Normatizar a forma de tratamento de dados pessoais

  • Realizado por pessoa física ou jurídica

  • Das esferas pública ou privada

  • Independentemente do meio (digital inclusive)

 

Proteger os direitos humanos fundamentais dos titulares

  • Liberdade

  • Privacidade

  • Livre desenvolvimento da personalidade

 

Reorganizar a maneira como companhias lidam com dados privados

                                                                                                                                                                    Início

Harmonização Necessária - outras Leis

A LGPD não torna inativos outras leis anteriores, as quais deverão ser harmonizadas. Exemplos de diplomas jurídicos que tratam de forma setorial a proteção de dados pessoais:

  • Código Civil (Lei 10.406/02);

  • Código de Defesa do Consumidor (Lei 8.078/90); 

  • Lei do Sigilo Bancário (Lei Complementar 105/01);​ 

  • Lei de Interceptação Telefônica (Lei 9.296/96; 

  • Lei de Acesso à Informação (Lei 12.527/11) e Decreto 7.724/12;  

  • Marco Civil da Internet (Lei 12.965/14) e Decreto 8.771/16; 

  • Política de Segurança Cibernética (Resolução 4.658/2018)

                                                                                                                                                                    Início

 

Desafios a serem enfrentados pelas corporações

A LGPD é bastante moderna e autoexplicativa. Porém, uma dos maiores desafios a serem enfrentados pelas empresas é a sua interpretação e entendimento.

 

As empresas deverão analisa-la segundo as suas realidades e modelos de negócio, e, neste momento é que surgem as dúvidas, muitas vezes em função da falta de parâmetros comparativos, uma vez que o Brasil nunca teve preocupações anteriores com a criação de uma cultura que primasse pela privacidade e proteção dos dados pessoais, e, sim, infelizmente, muito pelo contrário. Comercialização de bancos de dados com dados pessoais são verdadeiros negócios a céu aberto em grandes centros comerciais de grandes cidades.

 

Bases legais para o tratamento de dados pessoais devem ser identificadas, segundo os padrões definidos na Lei, para cada tipo de dado pessoal, bem como devem ser escolhidos os princípios que guiarão tais tratamentos, a fim de que estes possam ser realizados segundo os preceitos legais.

 

Atores responsáveis pelo tratamento de dados devem ser definidos internamente às empresas, os quais possuem claras atribuições também definidas pela Lei.

 

Salvaguardas devem ser criadas em todas as fases de tratamento de dados, a fim de proteger as empresas no caso de necessidade de apresentações de provas que ratifiquem a seriedade e a regularidade dos tratamentos de dados realizados pela mesma.

TEMPO: Eis aqui a maior questão a ser observada, pois, certamente será escasso para todas as ações a serem realizadas pelas empresas, a depender dos seus tamanhos, claro. Ao final do período de adaptação, as empresas deverão estar prontas, seguindo de forma integral todas as orientações legais definidas pela Lei, algumas delas exemplificadas acima.

IMPORTANTE: As empresas deverão definir imediatamente as suas estratégias referentes ao tratamento de dados pessoais e privacidade, a fim de que possam ter tempo hábil para executar as tarefas necessárias para buscarem a conformidade com a Lei.  Estratégias erradas resultarão, inevitavelmente, em perda de tempo e recursos, que poderão comprometer os resultados esperados.

 

Após serem implementadas as políticas de proteção de dados pessoais, é importante que sejam previstas intersecções destas com as políticas de "compliance" da empresa, as quais deverão abraçar requisitos referentes à proteção de dados pessoais.

                                                                                                                                                                    Início

 

Riscos

Diferentemente do que se pensa no tocante ao vazamento de informações e dados pessoais, elas ocorrem devido a três fatores básicos, e não apenas àqueles maliciosos (roubo de informações), feitos por hackers. Tal causa de vazamentos, é a que representa o maior percentual dentre as demais causas, representando 46% dos casos.

 

Além destes, existem outras duas causas raízes de tais vazamentos, ambas com a mesma participação percentual, de 27%, referentes a falhas sistêmicas e imperícia na lide com as informações.

 

Por isso é que pode afirmar que um caso de vazamento de informações em todas as empresas irá acontecer, e a questão é de se saber quando, e não se irá acontecer.

 

                                                                                                                                                                    Início

Aplicações - LGPD

A LGPD terá aplicação transversal, a todos os setores da economia, tanto no âmbito público quanto no privado, online e offline, independentemente do faturamento e tamanho das empresas.

Aplica-se a:

  • Dados pessoais coletados de indivíduos localizados no Brasil

  • Tratamentos realizados no Brasil

  • Oferta de Bens e Serviços para indivíduos situados no Brasil

  • Terá também aplicação extraterritorial

A quem NÃO se aplica? Para os seguintes tipos de tratamento de dados:

- Realizado por pessoa natural para fins particulares;

- Realizado para fins jornalísticos ou artísticos ou acadêmicos;

- Realizado para fins de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais (que será objeto de lei específica);

-  Provenientes de fora do território nacional e que não seja objeto de comunicação, uso compartilhado com agentes de tratamento brasileiros ou objeto de transferência de dados com outro país que não o de proveniência, desde que este país de proveniência proporcione grau de proteção adequado aos da lei brasileira.

                                                                                                                                                                    Início

Dado Pessoal: Definições e Caracterização

  • Insumo principal da atividade econômica em todos os setores possíveis da sociedade 

  • “Novo petróleo”

  • “Commodities, que tem valor a partir do momento que são tratados”

  • “Informação qualificada”

  • Processados e valorados economicamente... para alguém que não é você, e o pior, as vezes, contrário aos seus interesses!

  • DADO PESSOAL: “informação relacionada à pessoa natural identificada ou identificável”.

  • Ou seja, qualquer informação que, isolada ou associada a outras, permite identificação de uma pessoa natural.

Tratamento de Dados Pessoais

• coleta                 • produção                 • recepção                 • classificação                 • utilização  

• acesso                • reprodução              • transmissão              • distribuição                   • processamento              

• arquivamento      • armazenamento        • eliminação               • avaliação ou controle da informação   

• modificação        • comunicação            • transferência            • difusão                         • extração

                                                                                                                                                                   

             OBSERVAÇÃO: Descritos na lei como EXEMPLOS!               CUIDADO!

A lei foi bastante clara no tocante à definição do que significa o tratamento de dados pessoais, englobando 20 significados para a ação como exemplos, porém sendo bem clara que toda operação realizada com dados pessoais é considerada como tratamento de dados pessoais.

                                                                                                                                                                    Início

Sanções

A LGPD prevê uma série de sanções administrativas, que devem ser aplicadas pela ANPD (Autoridade Nacional de Proteção de Dados), a saber:

 

“I – advertência, com indicação de prazo para adoção de medidas corretivas;

 

II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

 

III – multa diária, observado o limite total a que se refere o inciso II;

 

IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;

 

V – bloqueio dos dados pessoais a que se refere a infração até a regularização da atividade de tratamento pelo controlador;

 

VI – eliminação dos dados pessoais a que se refere a infração;”

 

CUIDADO: Tais sanções não levam em conta questões como danos à reputação da empresa, bem como a migração de clientes para a concorrência após os episódios de vazamentos de dados.

                                                                                                                                                                                                 Início

Ônus da Prova - Vazamentos de Dados

Segundo a lei, o ônus da prova poderá pertencer ao CONTROLADOR dos dados, o que fica claro nos seus artigos 42 e 48, o que requer muita atenção e controle por parte de quem trata os dados pessoais.

 

Art 42 § 2º : O juiz, no processo civil, poderá inverter o ônus da prova a favor do titular dos dados quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa.

Art 48 § 3º:  No juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los.

 

                                                                                                                                                                                                 Início

.

 
 
 
 
 
 
 
 
.