A Lei n. 13.709/2018, mais conhecida como Lei Geral de Proteção de Dados ou simplesmente, LGPD, é um dispositivo legal que regula a proteção de dados no Brasil, incluindo coleta, tratamento e utilização de dados em território nacional. A LGPD entra em vigor em Setembro de 2020, e a partir desse mês passa a valer a fiscalização, que é papel da Autoridade Nacional de Proteção de Dados (ANPD), subordinada diretamente à presidência da República, conforme MP 869/18. As multas e sanções começam a ser aplicadas em Agosto de 2021.
Com a massificação do uso de tecnologias da informação e comunicação, característica fundamental da Sociedade da Informação, assistimos ao surgimento e explosão da coleta, armazenamento e tratamento de dados que reflete, muitas vezes, a identidade dos indivíduos imersos no ambiente digital. Assim, com o objetivo de resguardar os direitos dos cidadãos, nasceram as normas de proteção de dados.
Apresentaremos a seguir os principais pontos da lei para que você possa iniciar o processo de cultura organizacional de proteção de dados e segurança da informação na sua empresa.
O que é a LGPD – Lei Geral de Proteção de Dados?
A Lei Geral de Proteção de Dados, regida pela Lei n. 13.709/2018, é o dispositivo legal que regula a proteção de dados no Brasil. Tem como objetivo, dentre outros, a garantia de transparência, proteção e privacidade quanto ao uso dos Dados Pessoais coletados por empresas, ou outras pessoas físicas, no território brasileiro.
Quem deve respeitar a LGPD?
Em resumo, estão obrigadas à respeitar o disposto na lei todas as Pessoas Jurídicas (públicas ou privadas) ou Físicas que efetuarem o tratamento de Dados Pessoais dentro do território brasileiro.
Por tratamento de dados entende-se: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Ressalta-se que essas empresas, ou pessoas físicas, podem estar localizadas em qualquer parte do mundo, porém, se efetuarem qualquer tipo de coleta ou uso de Dados Pessoais em território brasileiro, devem respeitar o determinado nesta Lei. Assim, quase todas as atividades empresariais, seja dentro do Brasil, ou fora, devem se adaptar a este novo regulamento.
Importante destacar que a Lei refere-se não apenas aos Dados Pessoais de clientes e usuários, mas qualquer dado pessoal, incluindo, por exemplo, informações contidas no banco de dados de Recursos Humanos da própria empresa, seja por meio digital ou físico.
O que são Dados Pessoais e Dados Pessoais Sensíveis?
Dados Pessoais são quaisquer informações que puderem, de alguma forma, levar à identificação de uma pessoa natural, tais como: nome, endereço, RG, CPF, e-mail, número de telefone etc.
Já os dados pessoais sensíveis são aqueles que possuem uma proteção especial, tendo em vista que se trata de informações mais delicadas das pessoas, que inclusive podem gerar algum tipo de discriminação. Nesta categoria estão, entre outros, dados relativos à: origem racial ou étnica, convicção religiosa, opinião política, dado referente à saúde ou à vida sexual, dado genético ou biométrico.
Direitos dos titulares dos dados pessoais conforme a LGPD
Como forma de cumprir com os objetivos de transparência, proteção e privacidade, todas as pessoas que tiverem Dados Pessoais coletados ou, de alguma forma, utilizados passam a contar com alguns direitos perante a empresa / pessoa que os detém.
A Lei prevê uma lista de direitos, conforme artigo 18 da LGPD – Lei Geral de Proteção de Dados, dentre os quais pode-se destacar:
- confirmação da existência de tratamento;
- acesso aos dados;
- correção de dados incompletos, inexatos ou desatualizados;
- anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na Lei;
- portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador;
- eliminação dos dados pessoais tratados com o consentimento do titular, exceto quando tratar de dados para cumprimento de obrigação legal ou regulatória pelo controlador; estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; transferência a terceiro; ou uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
- informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
- informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
- revogação do consentimento, mediante manifestação expressa do titular, por procedimento gratuito e facilitado.
Multas na LGPD – Lei Geral de Proteção de Dados
Em caso de desrespeito ao previsto na Lei, o responsável pela infração poderá ser condenado, em sede administrativa:
- Advertência, com indicação de prazo para adoção de medidas corretivas;
- Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
- Multa diária, observado o limite total de R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
publicização da infração após devidamente apurada e confirmada a sua ocorrência; - Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
- Eliminação dos dados pessoais a que se refere a infração, impedindo sua utilização futura.
Áreas impactadas pela Lei Geral de Proteção de Dados
A nova Lei irá impactar, praticamente, todas as áreas comerciais, incluindo serviços e indústrias, uma vez que, havendo qualquer tipo de captação ou processamento de Dados Pessoais, deverá haver respeito ao previsto na norma.
Destaca-se que, até mesmo nas hipóteses onde não houver coleta de Dados Pessoais de clientes / usuários, mas houver, por exemplo, um banco de dados (digital ou físico) contendo dados de empregados ou de colaboradores haverá a incidência desta Lei.
Ainda, é importante frisar que algumas áreas de serviços serão especialmente impactadas, e deverão possuir um cuidado extra em relação ao cumprimento do previsto nesta nova Lei, tendo em vista o volume de Dados Pessoais e/ou o tipo de Dado Pessoal processado.
Desta forma, salienta-se o impacto imediato nas seguintes áreas: saúde (médicos, clínicas médicas, hospitais, laboratórios médicos, etc.); direito (advogados e escritórios / departamento jurídicos); finanças; gestão de pessoas (tais como empresas de Recursos Humanos); hotelaria e hospedagem; e sistemas de segurança e controle de acesso que utilizem dados biométricos.
As áreas acima indicadas devem, portanto, estar em conformidade com a LGPD a fim de resguardar os dados de clientes e usuários, possuindo e disponibilizando, de forma simples, os documentos básicos contendo a indicação de como os dados são coletados e a finalidade de cada coleta, informando, ainda, os procedimentos de segurança adotados para proteção dessas informações.
A Lei Geral de Proteção de Dados entrar em vigor em Agosto de 2020
Apesar do trâmite do PL 5762/2019, que tem como objetivo adiar a vigência da LGPD para 2022, até o momento, continua valendo a data da Lei original, ou seja, Agosto de 2020. Desta forma, caso a sua empresa ainda não esteja adaptada, sugerimos iniciar o processo de adaptação o mais rápido possível. Não sabe por onde começar? Podemos te auxiliar nesta jornada! Entre em contato conosco.
Como iniciar o processo de adaptação à LGPD na sua empresa?
Abaixo listamos alguns documentos jurídicos em privacidade e proteção de dados que, em conjunto, compõem a base documental necessária para um projeto de Adaptação à LGDP.
Quer saber se sua empresa está em conformidade com a LGPD? Acesse o nosso formulário de diagnóstico e descubra!
Saiba mais sobre Compliance Digital!
Para saber mais sobre Análise Regulatória para novas tecnologias e Compliance Digital
Para mais informações ou se tiver dúvidas sobre Direito Digital, em especial acerca dos temas: Proteção de Dados (LGPD & GDPR), Aspectos Regulatórios e Compliance Digital de novas tecnologias e regulação de criptoativos, entre em contato pelo e-mail [email protected] ou fale com um Advogado online agora.
Gostou do post? Compartilhe nas redes sociais!
Documentação essencial para adaptar-se à Lei Geral de Proteção de Dados
TERMOS E CONDIÇÕES DE USO
Documentação que rege a relação entre empresa e usuários.
POLÍTICA DE PRIVACIDADE
Documentação que atende ao princípio da transparência e deve conter, de forma simples, a descrição do tratamento realizado nos dados dos usuários.
DATA MAPPING
O mapeamento de dados reflete o atual cenário de privacidade e segurança da informação indicando pontos de vulnerabilidades a serem trabalhados.
MAPEAMENTO E ANÁLISE DE RISCO JURÍDICO
A análise de riscos jurídicos consiste na verificação de normas e regulamentos referentes aos países e setores em que a empresa atua.
RELATÓRIO DE IMPACTO DE PROTEÇÃO DE DADOS (DPIA)
É a documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de riscos.
MANUAL DE PROCEDIMENTOS E CONTROLES INTERNOS EM PROTEÇÃO DE DADOS
O Manual contém a descrição de todos os procedimentos e controles internos que visem a manutenção da conformidade em segurança da informação proteção de dados pessoais.
PLANO DE GESTÃO DE CRISES
Plano desenvolvido como forma de minimizar os danos à marca na ocasião do incidente de dados.
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
A Política de Segurança da Informação serve de guia básico para todos os funcionários, colaboradores e prestadores de serviços como forma de prevenir incidentes.
POLÍTICA DE GESTÃO DE DIREITOS DOS USUÁRIOS
A Política descreve como a empresa irá gerir as solicitações referentes aos direitos dos usuários contidos na LGPD, bem como a sua forma de comunicação.
MANUAL DE ÉTICA E CONDUTA EM PRIVACIDADE
O Manual de ética e conduta descreve a postura esperada de todos os funcionários, colaboradores e prestadores de serviço quanto à proteção de dados internos e de clientes.
POLÍTICA DE CONFORMIDADE EM PRIVACIDADE PARA FORNECEDORES E PRESTADORES DE SERVIÇOS
A Política para fornecedores e prestadores de serviço eventuais serve como instrumento de compliance e mitigação de riscos e contém os requisitos mínimos de segurança exigidos pela empresa.
PLANO DE TREINAMENTO E CONSCIENTIZAÇÃO PARA FUNCIONÁRIOS E COLABORADORES
O plano de treinamento e conscientização é um dos pilares da estratégia de minimização de riscos com objetivo de promover o engajamento e melhoria contínua dos processos de segurança da informação e privacidade.
Links úteis:
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm
Para Assessoria Jurídica e Adequação à LGPD – Lei Geral de Proteção de Dados (Consultoria LGPD), contate agora os nossos Advogados
Para mais informações ou se tiver dúvidas sobre Direito Digital, em especial acerca dos temas: Proteção de Dados (Consultoria LGPD), Aspectos Regulatórios e Compliance de novas tecnologias, entre em contato pelo e-mail [email protected] ou fale com um Advogado online agora.
BL Consultoria e Advocacia Digital
Escritório jurídico voltado para o mundo conectado que busca auxiliar empresas e startups a desenvolverem seus projetos (Pesquisa, Desenvolvimento e Inovação) de forma ética e eficiente com atuação especializada em Direito Digital e Análise Regulatória para novas tecnologias. Estamos localizado em dois endereços: em São Paulo-SP, na Av. Paulista, 575 – conjunto 1903 – Bela Vista, CEP 01311-911 e em Campinas-SP, na Rua Antônio Lapa, 280 – 6o andar, Cambuí. Para mais informações ou consultoria jurídica com nossos advogados, agende uma reunião pelo link ou ligue +55 11 3090 5979.