PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS

Estamos vivendo a 4ª (quarta) Revolução Industrial, onde as inovações digitais e o crescimento da nova economia têm influenciado na proteção e garantia dos direitos individuais fundamentais.  

Com a edição da Lei 13.709/2018, a conhecida LGPD, o Brasil passou a integrar o grupo internacional dos países que possuem sua própria lei de proteção dos dados pessoais. Contudo, apesar disto, a maioria das empresas brasileiras não está preparada para se ajustar conforme determina o texto legal.  

Neste momento de mudança no cenário legislativo e cultural brasileiro, sempre observando as determinações legais, a Msantos Propriedade Intelectual possui uma equipe qualificada para auxiliá-lo. 

Para mais informações, navegue pelo nosso site ou entre em contato conosco.

O que se entende por privacidade? 

Privacidade é direito fundamental, garantido em nossa Constituição Federal, à reserva de informações pessoais e da própria vida pessoal do indivíduo, não só no meio físico, mas também no mundo digital. 

 

Qual o objetivo da LGPD? 

O objetivo é regulamentar o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. 

 

Quais providências você deverá tomar em respeito a LGPD? 

A sua empresa deverá passar por mudanças claras e certas para adequação à Lei, ou seja, você deverá revisar e ajustar as políticas (internas ou não), contratos, procedimentos e demais atividades que envolvam tratamento de dados pessoais de todas as pessoas físicas atreladas a sua atuação empresarial. 

Assim, como forma de prevenção, registre e salve todos as provas que demonstrem a adoção de medidas para adequação das operações de tratamento aos princípios legais, por mais que sua base de dados tenha um tamanho considerado pequeno. 

Lembre-se de que ainda é essencial que sua empresa conte com o auxílio e empenho de um, ou diversos, Encarregado de Dados (DPO), que é o profissional responsável pelo cuidado com os dados, tanto do ponto de vista do indivíduo, que tem os seus dados sendo tratados, quanto pela gestão de dados feita pela empresa. O DPO fará a ligação entre as três áreas em que a proteção de dados atua de forma simultânea: o jurídico, a tecnologia de informação e a gestão e compliance. 

 

Quais serão as suas obrigações, conforme previsto na letra da Lei? 

Para evitar sanções, sua empresa deverá observar as seguintes medidas: 

  • Ter meios de prova acerca do consentimento obtido com o titular dos dados pessoais, conforme requisitado na LGPD; 

  • Manter sigilo das operações de tratamento de dados pessoais que realiza; 

  • Elaborar relatório de impacto à proteção de dados, caso seja solicitado pela Autoridade Nacional de Proteção de Dados (ANPD); 

  • Informar o titular caso haja alguma alteração na finalidade para a coleta de dados; e 

  • Responder solidariamente, em conjunto com os agentes de tratamento, se causar danos a terceiros pela violação da LGPD. 

 

Lembrando, ainda, que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. 

 

O que se entende por dados pessoais? 

Dados pessoais são as informações relacionadas a uma pessoa física identificada ou identificável, ou seja, são qualquer informação que possa identificar um indivíduo, como nome, números, documentos, códigos e endereços. 

 

E os dados pessoais sensíveis? 

Dados sensíveis são aqueles que necessitam de um grau maior de proteção, ou seja, terão um tratamento específico porque estão ligados ao íntimo do indivíduo. A lei considera como sensíveis os seguintes dados, quando vinculados à pessoa natural: origem racial ou étnica; convicção religiosa; opinião política; filiação a sindicato ou organização de caráter religioso, filosófico ou político; dado referente à saúde ou à vida sexual; dado genético ou biométrico. 

 

Existem dados anônimos? 

Sim, dados anônimos são aqueles que não permitem a identificação, direta ou indireta, do titular e, estão fora do escopo de proteção da LGPD. Contudo, se o processo de anonimização de dados puder ser revertido, via meios técnicos e outros, de forma a serem “descobertas” as informações, estará sim sujeito à LGPD. 

 

A norma apresenta quem serão os envolvidos no processamento dos dados? 

O texto legal é bem claro ao trazer o conceito de determinados personagens atuantes no processamento de dados, dentre eles: titular, controlador, operador, encarregado, agente de tratamento e a Autoridade Nacional de Proteção de Dados (ANPD). 

O titular é toda pessoa natural a quem se refere os dados pessoais que são objeto do tratamento. Agentes de tratamento são o controlador, pessoa – física ou jurídica - de direito público ou privado a quem competem as decisões referentes ao tratamento dos dados pessoais, e operador, pessoa – física ou jurídica - de direito público ou privado que realiza o tratamento de dados pessoais em nome do controlador. 

Destaque-se que os controladores e operadores, no âmbito de suas competências, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais. 

Prosseguindo, o encarregado é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre controlador, titulares dos dados e a ANDP. Por fim, a Autoridade Nacional de Proteção de Dados é o órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados em todo o território nacional. 

 

Quais são os princípios que norteiam a LGPD? 

As atividades de tratamento deverão observar a boa-fé e os princípios da finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização. 

 

Qual o alcance da LGPD? A quem ela se aplica? 

A Lei regula apenas o tratamento de dados de pessoas físicas, assim sendo, aplica-se a qualquer operação de tratamento realizado, em regra, no território brasileiro, independentemente de onde os agentes de tratamento estejam sediados ou os dados estejam localizados, devendo ser observado que: 

  • O objetivo da atividade de tratamento seja a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; 

  • A operação de tratamento seja realizada no território nacional; 

  • Os dados pessoais objeto do tratamento tenham sido coletados no Brasil. 

 

Existe alguma hipótese em que a LGPD não será aplicada? 

Sim, a Lei traz os seguintes casos: 

  • Quando o tratamento for realizado por pessoa natural pra fins exclusivamente particulares e não econômicos; 

  • Quando o tratamento for realizado para fins exclusivamente jornalísticos, artísticos, acadêmicos; 

  • Quando o tratamento for realizado para fins de segurança pública, de defesa nacional e de segurança do Estado; 

  • Em atividades de investigação e repressão de infrações penais; 

  • E quando provenientes a outros países, que apenas transitem pelo território nacional, sem que aqui seja realizada qualquer operação de tratamento. 

 

Quando você saberá que o tratamento de dados é legítimo? 

Inicialmente, tenha certeza da real necessidade do tratamento dos dados e seja sucinto acerca de quais dados colher, a finalidade do ato deve ser clara. No mais, a LGPD traz um rol taxativo de hipóteses que justificam o tratamento de dados pessoais, observe: 

  • Mediante certo e incontestável consentimento do titular dos dados pessoais; 

  • Para o cumprimento de obrigação legal ou regulatória pelos controladores dos dados; 

  • Pela Administração Pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos; 

  • Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; 

  • Quando necessário para a execução de contrato ou de procedimentos contratuais preliminares; 

  • Para a proteção da vida ou da incolumidade física do titular ou de terceiros; 

  • Para o exercício regular de direito em processo judicial, administrativo ou arbitral; 

  • Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; 

  • Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente. 

  • Sendo importante lembrar que, em citados tratamentos de dados, o controlador deverá manter documentação comprobatória da sua obtenção em conformidade com a lei, assim como adotar medidas que garantam a transparência do tratamento, que poderá sempre ser revisto pela ANPD. 

 

Há alguma peculiaridade do tratamento de dados pessoais? 

Sim, existem duas hipóteses em que a LGPD traz previsões específicas acerca dos tratamentos de dados, são os que envolvem dados sensíveis e dados de crianças e adolescentes. 

Como, por exemplo, o consentimento para o tratamento de dados pessoais sensíveis deve ser fornecido de forma específica e rigorosa, se preocupando o agente em obter uma autorização especial para realização de tal ato. 

Já no caso das crianças e dos adolescentes, como é ordinário e indiscutível, seus direitos merecem um cuidado mais especial. Desta forma, o citado tratamento deverá ser realizado observando o melhor interesse, com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal. Esse consentimento deverá ser analisado e certificado, a fim de evitar erros de validade. 

 

Quais são os direitos do titular dos dados? 

O titular dos dados tem direito ao acesso facilitado a informações sobre o tratamento de seus dados pessoais, requerer a retificação caso observe qualquer incongruência, solicitar a exclusão de seus dados para tratamento e, ainda, solicitar a transferência de seus dados pessoais para outro fornecedor de serviço ou produto. 

 

Podendo também, por exemplo: 

  • Requerer informações sobre recusa de consentimento e suas consequências; 

  • Revisar decisões automatizadas; 

  • Requerer restrição do processamento de dados; 

  • Retirar consentimento dado anteriormente para o tratamento de seus dados pessoais; 

  • Ter direito à inversão do ônus da prova; 

  • Confirmar a existência do processamento de dados; e 

  • Requerer informações sobre as entidades com as quais os dados pessoais foram compartilhados. 

 

Poderá haver transferência internacional de dados? 

A LGPD permite a transferência internacional de dados, contudo, para ser efetuada os padrões previstos na lei para a proteção ao titular de dados devem ser também respeitados. Ou seja, para receber os dados, o país ou organismo internacional deve oferecer um grau adequado de proteção de dados, a ser avaliado pela Autoridade Nacional de Proteção de Dados. 

Analisemos algumas exigências: 

  • Presença de selos, certificados e códigos de conduta regularmente emitidos; 

  • Elaboração de cláusulas contratuais específicas para determinada transferência; 

  • Presença de regras corporativas vinculativas e códigos de conduta; 

  • Consentimento específico do titular dos dados pessoais; 

  • Ser a transferência advinda de compromisso assumido em acordo de cooperação internacional; e 

  • Existir autorização da autoridade nacional para transferência. 

 

Quando ocorrerá o término do tratamento dos dados pessoais? 

Com base nas hipóteses legais, o término ocorrerá quando: 

I) for verificado que a finalidade foi alcançada ou que os dados não são mais necessários;  

II) quando chegar o fim do período de tratamento;  

III) quando o titular revogar o seu consentimento;   

IV) quando houver determinação da ANPD. 

 

Com o término do tratamento, em regra, os dados pessoais deverão ser eliminados, no âmbito e nos limites técnicos das atividades.  

 

Quais são as sanções decorrentes da violação do texto legal? 

Além da responsabilização cível, aquele referente à obrigação de indenizar o titular dos dados pelos danos sofridos, a LGPD ainda prevê sanções de caráter administrativo na hipótese de violação do texto legal. 

Vários são os tipos de sanções trazidas pela Lei e aplicáveis pela ANPD, que vão desde advertência até a imposição de multas, capazes de chegar a 2% do faturamento do grupo econômico da empresa no Brasil, limitada a R$ 50 milhões por infração. 

Antes de ser aplicada qualquer sanção, haverá a interposição de um procedimento administrativo que garanta a ampla defesa do infrator. Estas sanções serão aplicadas considerando as particularidades do caso e das partes. 

As sanções podem ser aplicadas cumulativamente, por dia e por ofensa, mas sempre com base na gravidade e extensão da violação. 

 

Lembre-se que é essencial que você respeite as determinações legais e possua uma equipe interna e externa que possa atender prontamente às solicitações da ANPD, assim diminuirá o risco de aplicação de sanções.  

Se você tiver alguma dúvida pendente ou desejar obter mais informações sobre qualquer um dos tópicos discutidos, não hesite em contatar um profissional da Msantos Propriedade Intelectual.