A LGPD, lei brasileira de proteção de dados é semelhante à GDPR, a regulamentação da União Européia, mas possui várias diferenças importantes com as quais as organizações devem estar familiarizadas.

Como qualquer legislação de proteção de dados, a nova lei de proteção de dados, a LGPD, é muito abrangente para analisar por completo e com detalhes, por isso vamos descrever os pontos de maior discussão da lei, antes que ela entre em vigor em 2020, incluindo quem precisa cumprir, que tipo de dados está protegido, como atender a seus requisitos e onde diverge do GDPR.

O objetivo deste post é meramente informativo – não prestamos consultoria jurídica nem nos responsabilizamos por medidas que possam ser adotadas por terceiros.

O QUE É LGPD?

A Lei Geral de Proteção de Dados (LGPD), aprovada pelo Congresso Nacional em 14 de agosto do ano passado, está prevista para entrar em vigor em 15 de agosto de 2020, seis meses após a data prevista inicialmente que era fevereiro de 2020.

A legislação semelhante ao Regulamento Geral de Proteção de Dados (GDPR), cria uma nova estrutura legal para o uso de dados pessoais processados ou relacionados a indivíduos no Brasil, independentemente de onde o controlador de dados esteja localizado.

Como parte da Medida Provisória nº 869/2018, o Brasil criou em dezembro de 2018, a sua própria Autoridade Nacional de Proteção de Dados, a ANPD, para supervisionar, orientar e aplicar as sanções.

A lei foi finalmente finalizada pelo Senado Federal em 29 de maio de 2019. No início, a ANPD estará vinculado à Presidência da República, mas provavelmente se tornará autônoma em dois anos.

Antes da aprovação do LGPD, a proteção de dados no Brasil vinha sendo aplicada por alguns órgãos reguladores, como o Marco Civil da Internet (Lei que regula o uso da Internet) e o Código de Defesa do Consumidor.

A QUEM A LGPD SE APLICA?

A LGPD se aplica a qualquer operação de coleta e tratamento de dados pessoais, realizada por pessoa física ou jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados, desde que:

  • Verse sobre dados pessoais que tenham sido coletados no Brasil ou em qualquer outra operação de tratamento que seja realizado em nosso país. (Ex. Pesquisas em redes varejistas, supermercados e outros).
  • A atividade de tratamento tenha sido fora do país, mas que possua como objetivo a oferta e/ou fornecimento de bens e serviços, ou o tratamento de dados de indivíduos localizados no território nacional. (Ex. Cadastro em plataformas estrangeiras, que utilizem esses dados para vendas de produtos no país).

Além disso, todos os dados coletados em território nacional no momento da coleta são abrangidos pela LGPD.

A QUE O LGPD NÃO SE APLICA?

O LGPD não se aplica a:

  • Dados processados por uma pessoa para fins estritamente pessoais;
  • Os dados que são exclusivamente para fins jornalísticos, artísticos, literários ou acadêmicos;
  • Informações exclusivas para atividades de segurança nacional, defesa nacional, segurança pública ou investigação criminal ou punição.

QUEM SÃO AS PESSOAS ENVOLVIDAS?

A lei detalha os papéis de quatro diferentes agentes: o titular, o controlador, o operador e o encarregado.

  • Titular: é a pessoa física a quem se referem os dados pessoais.
  • Controlador: é a empresa ou pessoa física que coleta dados pessoais e toma todas as decisões em relação a forma e finalidade do tratamento dos dados. Ele é responsável por como os dados são coletados, para que estão sendo utilizados e por quanto tempo serão armazenados.
  • Operador: é a empresa ou pessoa física que realiza o tratamento e processamento de dados pessoais sob as ordens do controlador.
  • Encarregado: ou Data Protection Officer (DPO) é a pessoa física indicada pelo controlador e que atua como canal de comunicação entre as partes (controlador, os titulares e a autoridade nacional), além de orientar os funcionários do controlador sobre práticas de tratamento de dados.

9 DIREITOS DO TITULAR DOS DADOS

Nos termos do artigo 18 da LGPD, os titulares dos dados têm nove direitos sobre seus dados pessoais, incluindo:

1 – Acesso aos Dados

O dono tem o direito de confirmação da existência de tratamento e, por consequência, acessar todos os seus dados pessoais que estão sendo coletados e tratados pelo controlador.

2 – Retificação

Os titulares tem o direito de corrigir dados incompletos, inexatos ou desatualizados.

3 – Restrição de tratamento

Os titulares possuem o direito de restringir o tratamento de dados pessoais, por meio da recusa em fornecer o consentimento.

4 – Cancelamento ou Exclusão

O titular tem o direito de pedir o cancelamento ou exclusão de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.

5 – Portabilidade

O titular tem o direito de transferir os seus dados pessoais de um controlador para outro.

6 – Revogação de Consentimento

O titular dos dados pode revogar a autorização para o tratamento de seus dados pessoais a qualquer momento, bastando uma manifestação expressa, por procedimento gratuito e facilitado.

7 – Oposição

É quando o dono tem o direito de se opor a quaisquer tratamentos e informações que não estejam em conformidade com a lei, assim como as decisões automatizadas que afetem seus interesses, como decisões destinadas a definir seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.

8 – Explicação

O titular dos dados tem direito a receber informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados pelo controlador para a tomada de decisão com base em tratamento automatizado de dados pessoais.

9 – Direito à informação

O titular tem o direito de receber informações sobre as entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados.

DEVERES DAS ORGANIZAÇÕES NA LGPD

  • Proteger dados pessoais com medidas de segurança apropriadas;
  • Obter os consentimentos necessários para o processamento de dados;
  • Manter registros com informações detalhadas sobre o processamento dos dados.

SEGURANÇA

Sob o LGPD, controladores e processadores precisam adotar medidas de segurança, medidas técnicas e administrativas capazes de proteger dados pessoais contra acesso não autorizado, bem como destruição acidental ou ilegal, perda, alteração e comunicação.

Se você não estiver adequado a lei, a ANPD estabelecerá padrões técnicos mínimos que serão informados.

Quando ocorrer uma violação de segurança de dados pessoais:

  • O processador deve notificar o controlador prontamente;
  • O controlador deve notificar o titular dos dados prontamente, se a violação representar um risco a seus direitos.

SANÇÕES DA LGPD

Se uma organização viola o LGPD, a legislação estabelece multas simples de até 2% da receita de vendas da empresa, grupo ou conglomerado, podendo chegar até 50 milhões de reais por violação.

E além disso tem o dano reputacional e possíveis indenizações decorrentes de ações dos titulares dos dados afetados.

COMO COMEÇAR SE ADEQUAR A LGPD?

Nos meses que antecedem o início da LGPD, as organizações são incentivadas a identificar os dados aos quais a lei se aplica, garantir que tenham uma base legal para coletar e processar esses dados e nomear um responsável pela proteção de dados (DPO).

Não se engane em pensar que esses meses que faltam é tempo de sobra para adequar a sua empresa à nova lei.

Desde já, o ideal é instituir um plano de ação para atender aos requisitos mínimos de conformidade com a LGPD, que vão muito além de uma simples notificação de “Atualizamos nossa política de privacidade”.

A reforma legislativa pode ser muito positiva para aqueles capazes de trabalhar com estratégias mais personalizadas e eficientes de marketing.

Pois o segredo está em focar não apenas na adequação à norma, mas principalmente na adequação de cultura e mindset.

Continue acompanhando que vão ter muitos artigos sobre LGPD aqui no site.