LGPD – Empresas têm 18 meses para adequação à nova Lei Geral de Proteção de Dados
Dia 15 de agosto de 2018 foi publicada a Lei nº 13.709, de 14 de agosto de 2018, também conhecida como Lei Geral de Proteção de Dados (“LGPD”) do Brasil, dando início à contagem do prazo de 18 meses para sua entrada em vigor, em fevereiro de 2020. As pessoas naturais e jurídicas, públicas e privadas, que realizam tratamento de dados de acordo, tanto online como offline, terão tal período para se adequar às obrigações implementadas pela nova legislação.
À luz da LGPD o tratamento de dados pessoais deverá ter finalidade legítima e base legal que o fundamente, o que poderá exigir, em muitos casos, a obtenção de consentimento do respetivo titular dos dados tratados.
Assim, recomenda-se, como um primeiro passo, que as entidades sujeitas à aplicação da LGPD analisem o seu negócio e procedimentos internos (e.g. tipos de bancos de dados existentes, tipos de dados pessoais coletados e armazenados, utilização destinada aos dados pessoais, entre outros), para identificar as atuações que envolvem algum tipo de tratamento de dados pessoais e as características de tal tratamento e, a partir daí, adotar as soluções necessárias ao cumprimento das exigências da LGPD.
Indicamos a seguir alguns aspectos e conceitos relevantes estabelecidos pela LGPD[1]:
(i) A definição legal de dado pessoal: informação relacionada a pessoa natural identificada ou identificável (RG, CPF, nome, endereço, telefone, etc.).
(ii) A existência de determinados tipos de dados pessoais sujeitos a regras específicas, como, por exemplo:
a. Dados pessoais sensíveis – origem racial ou étnica, convicção religiosa, opinião política, dado referente à saúde ou à vida sexual, etc, cujo tratamento deverá observar regras próprias e mais restritas quanto ao consentimento, finalidade, etc;
b. Dados pessoais de de crianças e de adolescentes – cujo tratamento ficará, ,dentre outras obrigações, condicionado à obtenção do consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal;
c. Dados pessoais “anonimizados” – que não serão considerados como dados pessoais para fins de aplicação da LGPD, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido;
d. Dados tornados manifestamente públicos pelo titular – cujo tratamento poderá ser realizado com dispensa da obtenção de consentimento do titular.
(iii) A definição legal de tratamento de dados, ou seja, operação realizada com dados pessoais (e.g. coleta, recepção, utilização, processamento, armazenamento e eliminação de dados pessoais).
(iv) Os diferentes princípios que deverão ser observados para exercício de atividades de processamento de dados, por exemplo:
a. Finalidade – realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com tais finalidades;
b. Adequação – compatibilidade de tratamento com as finalidades informadas ao titular;
c. Necessidade – limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência apenas de dados pertinentes, proporcionais e não excessivos.
(v) Os requisitos que autorizam a realização de tratamento de dados, incluindo:
a. Obtenção de consentimento do titular;
b. Cumprimento de obrigação legal ou regulatória;
c. Realização de estudos por órgãos de pesquisa (garantida, sempre que possível, a anonimização dos dados);
d. Necessidade do dado para execução de contrato ou procedimentos preliminares dos quais o titular seja parte, a pedido do titular de dados;
e. Para o exercício regular de direitos em processo judicial, administrativo ou arbitral; ou
f. Para atender os legítimos interesses do controlador ou de terceiro (exceto no caso de prevalecerem direitos e liberdades fundamentais do titular.
(vi) Requisitos aplicáveis à transferência internacional de dados pessoais, incluindo:
a. O país destinatário deve proporcionar grau de proteção a dados pessoais adequado à LGPD;
b. Obtenção de consentimento específico e em destaque do titular para a realização da transferência internacional;
c. O controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previsto na LGPD.
(vii) Dos agentes de tratamento de dados pessoais, incluindo:
a. Controlador (controller) – responsável pelas decisões referentes ao tratamento de dados pessoais, o qual indicará um encarregado (data protection officer) que atuará como canal de comunicação entre o controlador, os titulares e a autoridade nacional;
b. Operador (data processor), responsável pela realização do tratamento de dados pessoais em nome do controlador.
(viii) O descumprimento das obrigações previstas no LGPD pode resultar na imposição de sanções, que incluirão:
a. Advertência com pedido de adoção de medidas corretivas;
b. Multa de até 2% (dois por cento) da faturação no Brasil, limitada a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
c. Bloqueio dos dados pessoais a que se refere a infração até a sua regularização; e
d. Eliminação dos dados pessoais a que se refere a infração.
Por fim, em função do veto pelo Presidente Michel Temer dos trechos que faziam menção à criação da Agência Nacional de Proteção de Dados (“ANPD”), fica a dúvida no que respeita à autoridade que deverá ser criada para fiscalizar o cumprimento e imposição das sanções previstas na LGPD e torná-la efetiva.
Nossa equipe vem acompanhando a matéria desde as discussões dos projetos de lei no Congresso Nacional, bem como a publicação do General Data Protection Regulation (“GDPR”) na Europa, e está à disposição dos nossos clientes para auxilia-los na adaptação à nova regulamentação.
[1] Rol exemplificativo, incluído para referência, e não exaustivo de todas as disposições relevantes da LGPD.
Para maiores esclarecimentos sobre o conteúdo desta newsletter, contatar:
[vc_row][vc_column width=”1/3″]Marcela Figueiró
marcela.figueiro@nbfa.com.br
(11) 3707-8370
Brunno Morette
brunno.morette@nbfa.com.br
(11) 3707-8370
Francisca Sousa Guedes
francisca.guedes@nbfa.com.br
(11) 3707-8370