Telefone:
(17) 3522-1198
Endereço:
Rua Ceará, 341 - Catanduva-SP

LGPD – LEI GERAL DE PROTEÇÃO DE DADOS (LEI 13.709/2018)

  28 de março de 2022

INFORMAÇÕES BÁSICAS 

  1. INTRODUÇÃO

Seguindo o modelo adotado pela União Europeia e visando proteger os dados das pessoas, em 14 de agosto de 2018 foi publicada a Lei nº 13.709, também como conhecida como LGPD-Lei Geral de Proteção de Dados. Posteriormente a Lei nº 13.853/2019, deu nova redação a alguns artigos da lei original.

Prevista inicialmente para entrar em vigência em 14 de agosto de 2020, a lei passou a vigorar somente a partir de 1º de agosto de 2021. 

O dispositivo legal não faz nenhuma distinção quanto ao seu cumprimento, responsabilizando governos, autarquias, agências (com algumas exclusões) e pessoas jurídicas públicas e privadas, não importando o porte. Assim, todas as empresas de um modo geral, órgãos públicos (com algumas exclusões), incluindo associações, condomínios, escritórios de advocacia, contabilidade, assessoria, etc., deverão adotar práticas e cuidados especiais no tratamento e armazenamento dos dados pessoais de clientes, fornecedores, funcionários e colaboradores.

A recente Resolução publicada sob n.º 02, de 27 de janeiro de 2022, regulamentou a extensão da abrangência da LGPD para agentes de tratamento de pequeno porte, sendo eles: microempresas, empresas de pequeno porte,startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador.

Importante destacar que, segundo pesquisas recentes, a implantação do sistema de privacidade e proteção dos dados compreende 60% dos que fazem uso dos dados (usuários); 30% são atribuídos a processos e apenas 10% depende de tecnologia. Em outro dizer, a tecnologia, por melhor que seja o software ou aplicativo, tem um peso de apenas 10% na gestão do processo.

  • NOMENCLATURAS

A lei definiu e atribuiu algumas nomenclaturas, dentre as quais se destacam as mais importantes:

TITULAR DOS DADOS – pessoa natural, dona dos dados que serão tratados e utilizados pelos agentes de tratamento (empresas, governo, escritórios, etc.).

AGENTES DE TRATAMENTO – quem controla e opera os dados.

CONTROLADOR – pessoa natural ou jurídica, de direito público ou privado, responsável pelas decisões sobre o tratamento de dados pessoais.

OPERADOR – pessoa natural ou jurídica de direito público ou privado, responsável pelo tratamento de dados pessoais em nome do controlador.

DADO PESSOAL – informação relacionada à pessoa natural, identificada ou identificável.

DADO PESSOAL SENSÍVEL – dados pessoais que trazem informações sobre origem racial ou étnica, convicção religiosa, opinião politica, opção sexual, filiação a organizações de caráter religioso, filosófico ou politico, além de dados genéticos ou biométricos.

CONSENTIMENTO – declaração/autorização do titular, com prazo determinado, manifestando sua concordância com o tratamento de seus dados pessoais pelos agentes de tratamento (empresas e órgãos públicos), essencial para a prestação do serviço contratado ou produto adquirido. Importante destacar que esse consentimento abrange também as relações de trabalho.

DADO ANONIMIZADO E ANONIMIZAÇÃO – dado que não é atribuído a nenhuma pessoa em específico, mediante uso de tecnologia que não possibilita identificar nem acesso ao titular do dado pessoal (código, senha, etc.).

BANCO DE DADOS – conjunto estruturado ou não, de dados pessoais disponível em ambiente físico (papel) ou digital.

ELIMINAÇÃO OU DESCARTE – exclusão em definitivo do banco de dados, dos dados pessoais ou um conjunto deles que estejam armazenados em um banco de dados.  

ANPD – Autoridade Nacional de Proteção de Dados – órgão da administração publicada federal já criada, responsável e encarregada em fiscalizar, auditar e autuar no caso de infrações pelo não cumprimento da LGDP. Num primeiro momento a fiscalização tem o caráter de orientar, prevenir e reprimir as eventuais infrações.     

  • SANÇÕES

Vale destacar que as sanções são severas para o caso de não cumprimento da LGPD, indo desde  advertência para adoção de medidas corretivas, suspensão da atividade de tratamento dos dados pessoais e, ainda,  multa simples de 2% sobre o faturamento da empresa de direito privado, grupo ou conglomerado,  com base no último exercício, excluídos os tributos, limitada no total de R$50 milhões. Em outro dizer, a multa poderá chegar a esse valor, dependendo da gravidade da infração.

Assim, a adoção e implementação de práticas no cumprimento da LGPD é medida que se impõe notadamente às empresas quanto aos cuidados com a captura, utilização, armazenamento e descarte dos dados das pessoas titulares, sejam funcionários, clientes, fornecedores, etc. Também proporcionará segurança à empresa em caso de vazamento desses dados, como já ocorreu.    

  • MEDIDAS

Embora a lei não faça distinção, é evidente que as micros, pequenas e até mesmo as médias empresas precisarão de um sistema mais simples e prático para atender as normas da LGPD, sem comprometer a sua atividade fim. Isso significa dizer que, embora a privacidade dos dados das pessoas mereça cuidados especiais e tratamento responsável, o tratamento desses dados não pode engessar o processo operacional da empresa. A lei impõe uma série de procedimentos a serem cumpridos na gestão da privacidade de dados e, por conta disso, alguns relatórios que passarão a constituir o acervo histórico para eventual comprovação do cumprimento da lei.

Esse conjunto de relatórios mais completos em grandes empresas poderá limitar-se aos essenciais nas pequenas e médias empresas. Mas, toda empresa deve ter o mínimo necessário e essencial, pois a realidade atual assim exige.        

Nesse sentido, a ANPD publicou em 27 de janeiro de 2022 a Resolução CD/ANPD nº 2, estabelecendo os critérios para o tratamento jurídico diferenciado aplicável às microempresas, empresas de pequeno porte, startups e entidades sem fins lucrativos.

Assim, é importante e  indispensável a implementação de medidas visando o cumprimento da lei, não só porque é uma exigência legal, mas, sobretudo, para se ter argumentos e documentos para ser utilizados em  defesa no caso de eventual fiscalização e até mesmo autuação pela ANPD-Autoridade Nacional de Proteção de Dados.

Para as empresas que não se enquadram no tratamento diferenciado previsto na Resolução ANPD nº 2, a implantação de um sistema de gestão de privacidade de proteção de dados, poderá compreender 5 fases:

PREPARAÇÃO: como o título sugere, compreende a fase de preparação da empresa para a questão da privacidade dos dados.

ORGANIZAÇÃO: objetiva estabelecer os mecanismos operacionais a serem desenvolvidos.

IMPLEMENTAÇÃO: objetiva desenvolver e implementar métodos, critérios e controles específicos.

GOVERNANÇA: os sócios e diretores também precisam se engajar na questão da privacidade, assim como todos os funcionários e colaboradores  que terão acesso aos dados.

ACOMPANHAMENTO: é importante salientar que numa organização ativa  o pensamento sistêmico dos stakeholders(partes interessadas),  deverá convergir para a obrigatoriedade de todos entenderem que vivem sobre a obrigatoriedade de cumprir a obrigatoriedade da LGPD implantada.  Através de reuniões, campanhas de divulgação internas e até a avaliação são necessárias para manter e aprimorar a implantação realizada.

AVALIAÇÃO: avaliação periódica (feedback) visando otimizar e melhorar todos os mecanismos empregados.

Essas fases deverão ser mais bem detalhadas quando da implementação do sistema, desde a nomeação de funcionário (a) responsável pela politica de privacidade e proteção de dados “Data protection officer” – DPO, no Brasil denominado “chefe da proteção de dados”, constituição do comitê, se o caso, dependendo do porte da empresa, medidas a serem adotadas em caso de vazamento de dados, inclusive comunicação à ANPD-Autoridade Nacional de Proteção de Dados.

  • TRATAMENTO DIFERENCIADO PARA MICRO EMPRESAS E EMPRESAS DE PEQUENO PORTE

Embora a lei não faça distinção estabelecendo que todas as empresas devam se enquadrar às normas da privacidade e proteção de dados, o fato é que em 27 de janeiro de 2022, Conselho Diretor da Autoridade de Proteção de Dados (ANPD), publicou a Resolução nº 2, conferindo tratamento diferenciado às micro e empresas de pequeno porte.

Essa resolução exclui do tratamento diferenciado as empresas de alto risco e define as especificidades dessas atividades em critérios gerais e critérios específicos.

A resolução também dispõe sobre o fornecimento de modelo para registro simplificado para o cumprimento das obrigações atinentes ao tratamento de dados, além de outras disposições.

O importante é que autoridade de proteção de dados está conferindo às micro e empresas de pequeno porte a possibilidade de atender a legislação de uma maneira simplificada e menos onerosa.

  • CONCLUSÃO

A grande maioria das empresas ainda não se deu conta da seriedade e importância da adequação às diretrizes da LGPD, assim como ocorreu na comunidade europeia, que se constitui uma realidade há mais de uma década e serviu de modelo para a legislação brasileira.

Com isso, em nosso país desde o dia 1º de agosto de 2021, todas as  empresas, públicas ou privadas, governos, entidades,  órgãos, associações,  escritórios, inscritos ou não no CNPJ, estão sujeitas à LGPD e, dependendo do porte, com mais ou menos obrigações(simplificado), sem exceção.

Finalmente, é importante ressaltar que, quando se trata da implantação da LGPD não existe receita de bolo. Cada empresa é um caso específico e singular.

Top