A Lei Geral de Proteção de Dados – LGPD se aplica a todos que realizam operações de tratamento de dados pessoais, sejam organizações públicas ou privadas, pessoas físicas ou jurídicas.
A lei estabelece bases legais para legitimação do uso de dados pessoais. Visa a proteção da privacidade do titular dos dados, a liberdade de expressão, de informação, de opinião e de comunicação, a inviolabilidade da intimidade, da honra e da imagem e o desenvolvimento econômico e tecnológico.
1. Conceitos da LGPD
Alguns conceitos trazidos pela lei são fundamentais para que possamos compreender a sua aplicabilidade. Vejamos, portanto:
1. 1. Sujeitos
- Titular – pessoa a quem se referem, então, os dados que são objeto de tratamento.
- Agentes de tratamento – são dois os agentes: o responsável, também denominado controlador, que recepciona e decide sobre o tratamento dos dados dos titulares, e o operador que realiza o tratamento dos dados.
- Agente de Proteção de Dados – pessoa natural, indicada pelo controlador, que atuará, dessa forma, como um canal entre agentes (controlador e operador), titulares e os órgãos competentes (autoridade nacional).
1. 2. Dados
- Dados Pessoais – A informação relacionada a uma pessoa identificada ou identificável, não se limitando, portanto, ao nome, sobrenome, apelido, idade, endereço, podendo incluir dados de localização, placas de veículos, perfis de compras, dados acadêmicos, históricos de compras, entre outros.
- Dados Pessoais Sensíveis – Aqueles relacionados a características da personalidade do indivíduo e suas escolhas pessoais, tais como origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes a saúde ou a vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural.
- Dados anonimizados – Dados relativos a um titular que não possa ser identificado, considerando, contudo, a utilização de meios técnicos razoáveis e disponíveis na ocasião do seu tratamento.
1. 3. Ações
- Tratamento dos dados – Operações realizadas com algum tipo de manuseio de dados pessoais: coleta, edição, classificação, utilização e etc.
- Anonimização – A utilização de meios técnicos e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
- Consentimento – A manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. Esse não é o único motivo que autoriza o tratamento de dados, mas apenas uma das hipóteses.
- Transferência internacional de dados – Transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro.
2. Exceções ao consentimento expresso
Pode haver, entretanto, situações de exceção em que o tratamento de dados pessoais ocorre sem necessidade de consentimento expresso, com finalidade específica declarada pelo titular, quais sejam:
- Para o cumprimento de obrigação legal ou regulatória pelo controlador;
- Quando necessário à execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
- Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
- Para a proteção da vida do titular ou de terceiro;
- Quando necessário para atender aos interesses legítimos do controlador ou terceiros;
- Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
3. Impactos da LGPD
Passaram a ser direitos dos titulares e as instituições, por sua vez, devem estar preparadas para atender, dentro de um prazo razoável, as exigências da nova lei. Alguns pontos que merecem atenção especial das organizações:
- Confirmação da existência de tratamento;
- Acesso aos dados;
- Correção de dados incompletos ou desatualizados;
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na Lei;
- Portabilidade dos dados pessoais tratados com o consentimento do titular;
- Informação sobre a possibilidade de não fornecer consentimento e consequência da negativa;
- Revogação do consentimento.
4. Compliance como responsável pela adequação das organizações à LGPD
Praticamente todas as áreas de uma empresa têm contato com informações pessoais alheias.
Responsável por assegurar a conformidade legal dentro das organizações, o setor de Compliance (interno ou externo) terá a missão de adequar a empresa à LGPD e, após a entrada em vigor da nova lei, acompanhar o desempenho da organização efetuando os ajustes necessários.
Alguns passos importantes a serem providenciados pelo setor de Compliance na aplicação das diretrizes que regem a LGPD:
4.1. Definição de um Agente de Proteção de Dados
A nomeação de um encarregado interno, que atuará como Agente de Proteção de Dados, é essencial para que se promova, assim, a comunicação entre os titulares dos dados pessoais, a própria organização e a futura autoridade nacional responsável pela regulação e fiscalização das novas regras trazidas pela LGPD. Portanto, este é o primeiro passo para a implementação do compliance e adequação à LGPD.
4.2. Diagnóstico da empresa
O segundo passo é um diagnóstico sobre a realidade da empresa no tocante aos indicadores de conformidade com a LGPD, porque isto revelará o que resta ser trabalhado para atender aos controles exigidos.
4.3. Matriz de risco
Em seguida, é o momento de elaboração da matriz de risco (com base no diagnóstico feito) e do plano de ação. Neste plano, então, devem ser inseridos os controles técnicos, documentais e procedimentais, além da previsão de treinamentos e campanhas de conscientização das equipes, dos parceiros, fornecedores e clientes.
4.4. Mapeamento do fluxo de dados
Depois de elaborar a matriz risco, o ideal é fazer, portanto, um mapeamento do fluxo de dados para definição da nova governança junto à área de tecnologia da informação, especialmente no que se refere aos controles de consentimento. Trata-se do caminho a ser percorrido internamente: coleta do dado, seu uso, compartilhamento, enriquecimento, armazenamento nacional ou internacional, com ou sem uso de nuvem, eliminação e, também, portabilidade dos dados.
4.5. Código de Conduta
Posteriormente, vem a elaboração ou atualização do Código de Conduta da empresa com vistas a disseminar a cultura de respeito à proteção de dados pessoais.
4.6. Política de Privacidade e Gestão de Dados Pessoais
Feito o Código de Conduta, prossegue-se, enfim, com a elaboração ou atualização da Política de Privacidade e de Gestão de Dados Pessoais, considerando os vários procedimentos trazidos pela nova lei sobre fluxo, padrão de criptografia, guarda de logs e etc. Tais documentos, contudo, devem ser assinados por todas as empresas do mesmo grupo econômico.
4.7. Check list de verificação
O passo seguinte, desse modo, é a elaboração de um check list capaz de verificar, previamente a qualquer contratação, se a outra parte também está em conformidade com as novas regras de proteção de dados pessoais.
4.8. Atualização de cláusulas em contratos com parceiros
Posteriormente, é aconselhado fazer a atualização das cláusulas de contratos com parceiros e fornecedores que realizam qualquer tipo de tratamento de dados. Atenção especial deverá ser voltada, dessa forma, àqueles parceiros que fornecem soluções de gestão de informação, nuvem, e-mail, marketing, big data, mídias sociais, dentre outros – todos os atos em parceria que envolvam coleta de dados, produção, recepção, classificação, acesso, utilização, transmissão, armazenamento, enriquecimento ou, mesmo, eliminação de dados.
4.9. Revisão e atualização de cláusulas em contratos com consumidores finais
A atualização das cláusulas, então, deve ser sucedida de uma revisão e atualização das cláusulas de contratos firmados com seus funcionários e consumidores finais, incluindo-se, aqui, os termos de confidencialidade, também denominados NDA (non disclosure agreement).
4. 10. Termos de Uso e Política de Privacidade
Por fim, é o momento da elaboração ou revisão dos Termos de Uso e da Política de Privacidade disponibilizada ao consumidor final, expondo com clareza sobre o tratamento dos dados, a finalidade do seu uso, a justificativa jurídica para tanto, além de novos direitos dos usuários como portabilidade, exclusão, minimização de uso, limitação e outros.
5. Por que implementar se adequar à LGPD?
A LGPD estabeleceu penalidades importantes para o descumprimento de suas determinações, que vão desde a advertência até a imposição de multa no valor máximo de R$50.000.000,00 (cinquenta milhões de reais) por infração, observando-se especialmente o requisito da proporcionalidade.
Um programa de Compliance que traga consigo mecanismos de gestão de dados, em consonância com o que estabelece a LGPD, além de evitar a ocorrência de eventos danosos, portanto, está entre os elementos atenuantes na dosimetria da punição a ser aplicada pela autoridade fiscalizadora em caso de infração.
Além da gravidade da infração, do grau do dano causado, dentre outros pontos, também será verificado se houve a adoção de mecanismos e procedimentos internos para mitigar os danos, a existência de políticas de boas práticas e governança e, ainda, se medidas corretivas foram prontamente adotadas. Trata-se de ferramentas instituídas pelos Programas de Compliance e condutas disseminadas no mesmo contexto.
Assim como o Compliance é adotado em outras esferas da cultura organizacional, notadamente no tocante à Lei Anticorrupção, legislação trabalhista e tributária, também é altamente recomendado como meio efetivo para implementação das diretrizes que regem a LGPD.
- Papel da BZH Advogados nadequação da empresa às regras da LGPD e de Compliance:
A BZH Advogados, compreendendo a necessidade de seus clientes na adaptação à nova legislação, adquiriu o know-how necessário e atualização constante para colaborar na implantação das novas práticas necessárias na atividade empresarial, para que as empresas não corram riscos pelo descumprimento ou inadequação completa às exigências legais.