LGPD – Empresas têm 18 meses para adequação à nova Lei Geral de Proteção de Dados

por NBFA

LGPD – Empresas têm 18 meses para adequação à nova Lei Geral de Proteção de Dados

Dia 15 de agosto de 2018 foi publicada a Lei nº 13.709, de 14 de agosto de 2018, também conhecida como Lei Geral de Proteção de Dados (“LGPD”) do Brasil, dando início à contagem do prazo de 18 meses para sua entrada em vigor, em fevereiro de 2020. As pessoas naturais e jurídicas, públicas e privadas, que realizam tratamento de dados de acordo, tanto online como offline, terão tal período para se adequar às obrigações implementadas pela nova legislação.

À luz da LGPD o tratamento de dados pessoais deverá ter finalidade legítima e base legal que o fundamente, o que poderá exigir, em muitos casos, a obtenção de consentimento do respetivo titular dos dados tratados.

Assim, recomenda-se, como um primeiro passo, que as entidades sujeitas à aplicação da LGPD analisem o seu negócio e procedimentos internos (e.g. tipos de bancos de dados existentes, tipos de dados pessoais coletados e armazenados, utilização destinada aos dados pessoais, entre outros), para identificar as atuações que envolvem algum tipo de tratamento de dados pessoais e as características de tal tratamento e, a partir daí, adotar as soluções necessárias ao cumprimento das exigências da LGPD.

Indicamos a seguir alguns aspectos e conceitos relevantes estabelecidos pela LGPD[1]:

(i)         A definição legal de dado pessoal: informação relacionada a pessoa natural identificada ou identificável (RG, CPF, nome, endereço, telefone, etc.).

(ii)          A existência de determinados tipos de dados pessoais sujeitos a regras específicas, como, por exemplo:

a.           Dados pessoais sensíveis – origem racial ou étnica, convicção religiosa, opinião política, dado referente à saúde ou à vida sexual, etc, cujo tratamento deverá observar regras próprias e mais restritas quanto ao consentimento, finalidade, etc;

b.           Dados pessoais de de crianças e de adolescentes – cujo tratamento ficará, ,dentre outras obrigações, condicionado à obtenção do consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal;

c.           Dados pessoais “anonimizados” – que não serão considerados como dados pessoais para fins de aplicação da LGPD, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido;

d.           Dados tornados manifestamente públicos pelo titular – cujo tratamento poderá ser realizado com dispensa da obtenção de consentimento do titular.

(iii)         A definição legal de tratamento de dados, ou seja, operação realizada com dados pessoais (e.g. coleta, recepção, utilização, processamento, armazenamento e eliminação de dados pessoais).

(iv)         Os diferentes princípios que deverão ser observados para exercício de atividades de processamento de dados, por exemplo:

a.           Finalidade – realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com tais finalidades;

b.           Adequação – compatibilidade de tratamento com as finalidades informadas ao titular;

c.           Necessidade – limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência apenas de dados pertinentes, proporcionais e não excessivos.

(v)         Os requisitos que autorizam a realização de tratamento de dados, incluindo:

a.           Obtenção de consentimento do titular;

b.           Cumprimento de obrigação legal ou regulatória;

c.           Realização de estudos por órgãos de pesquisa (garantida, sempre que possível, a anonimização dos dados);

d.           Necessidade do dado para execução de contrato ou procedimentos preliminares dos quais o titular seja parte, a pedido do titular de dados;

e.           Para o exercício regular de direitos em processo judicial, administrativo ou arbitral; ou

f.            Para atender os legítimos interesses do controlador ou de terceiro (exceto no caso de prevalecerem direitos e liberdades fundamentais do titular.

(vi)         Requisitos aplicáveis à transferência internacional de dados pessoais, incluindo:

a.          O país destinatário deve proporcionar grau de proteção a dados pessoais adequado à LGPD;

b.          Obtenção de consentimento específico e em destaque do titular para a realização da transferência internacional;

c.          O controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previsto na LGPD.

(vii)        Dos agentes de tratamento de dados pessoais, incluindo:

a.           Controlador (controller) – responsável pelas decisões referentes ao tratamento de dados pessoais, o qual indicará um encarregado (data protection officer) que atuará como canal de comunicação entre o controlador, os titulares e a autoridade nacional;

b.           Operador (data processor), responsável pela realização do tratamento de dados pessoais em nome do controlador.

(viii)       O descumprimento das obrigações previstas no LGPD pode resultar na imposição de sanções, que incluirão:

a.         Advertência com pedido de adoção de medidas corretivas;

b.        Multa de até 2% (dois por cento) da faturação no Brasil, limitada a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

c.         Bloqueio dos dados pessoais a que se refere a infração até a sua regularização; e

d.         Eliminação dos dados pessoais a que se refere a infração.

Por fim, em função do veto pelo Presidente Michel Temer dos trechos que faziam menção à criação da Agência Nacional de Proteção de Dados (“ANPD”), fica a dúvida no que respeita à autoridade que deverá ser criada para fiscalizar o cumprimento e imposição das sanções previstas na LGPD e torná-la efetiva.

Nossa equipe vem acompanhando a matéria desde as discussões dos projetos de lei no Congresso Nacional, bem como a publicação do General Data Protection Regulation (“GDPR”) na Europa, e está à disposição dos nossos clientes para auxilia-los na adaptação à nova regulamentação.

 

[1] Rol exemplificativo, incluído para referência, e não exaustivo de todas as disposições relevantes da LGPD.

Para maiores esclarecimentos sobre o conteúdo desta newsletter, contatar:

Marcela Figueiró
marcela.figueiro@nbfa.com.br
(11) 3707-8370

Brunno Morette
brunno.morette@nbfa.com.br
(11) 3707-8370

Francisca Sousa Guedes
francisca.guedes@nbfa.com.br
(11) 3707-8370

Este memorando foi elaborado exclusivamente para os clientes deste escritório e tem por finalidade informar as principais mudanças e notícias de interesse no campo do Direito. Surgindo dúvidas, os advogados estarão à inteira disposição para esclarecimentos adicionais.
A presente Newsletter contém informações de caráter geral, dirigidas aos clientes de nosso escritório, sem que constitua uma opinião profissional ou assessoramento jurídico relativamente a nenhum tema particular, presente ou futuro em que nosso escritório atualmente presta ou possa vir a prestar assessoria.
2017 NBF|A Advogados. Todos os direitos reservados. A exploração, reprodução, distribuição pública ou privada, transformação total ou parcial sem a autorização prévia de NBF|A Advogados é estritamente proibida. A presente comunicação foi enviada a um endereço eletrônico que nos foi informado. Se não desejar continuar recebendo informações sobre os nossos serviços, publicações e eventos profissionais eletronicamente, por favor clique aqui para cancelar seu cadastro.