10 pontos mais importantes que você precisa saber sobre a LGPDP

A Lei Geral de Proteção de Dados Pessoais foi publicada em 15/08/2018, mas só vai entrar em vigor do dia 14/02/2020. É natural que a grande maioria dos advogados ainda não tenha dado a devida importância a ela e como sempre vão deixar para a última hora para se atualizar, mas você que é um advogado 4.0 com certeza quer sair na frente. Se quiser se aprofundar um pouco mais sobre o tema, confira o artigo no nosso blog sobre a LGPDP Conheça a LGPDP: Lei Geral de Proteção de Dados Pessoais, a legislação brasileira sobre dados na internet.

A LGPDP é um dos poucos casos que podemos generalizar no direito. Com certeza todos os seus clientes vão precisar de uma consultoria sobre o tema. A lei regula como os dados pessoais devem ser tratados e o seu descumprimento pode ocasionar pesadas sanções. Então, a demanda para se adequar à legislação vai ser alta e se você dominar o assunto, será um grande campo para atuar.

Vamos então a 10 pontos que você precisa saber sobre a LGPDP se quiser dominar esse mercado.

1. O que são dados

O primeiro ponto que precisa ficar claro é a definição de dados. De acordo com a lei, dado é qualquer informação relacionada a pessoa natural (não vale para pessoas jurídicas) e são divididos em quatro tipos: identificados, identificáveis, sensíveis e anonimizados.

Dados identificados: são aqueles que você consegue diretamente saber quem é o titular, pode ser um nome, a identidade, o CPF, o número da OAB etc.

Dados identificáveis: são aqueles que não você não consegue diretamente saber quem é o titular, mas em conjunto com outras informações é possível atingir esse objetivo: o número do cartão de crédito, o IP do computador, a carteira de clientes do escritório, o nome da empresa que a pessoa trabalha etc. Separadamente não dizem muito, mas se utilizar em conjunto, é possível identificar o titular.

Dados sensíveis: são aqueles que podem gerar alguma discriminação: raça, religião, opinião política, opção sexual, dados referente a saúde e vários outros.

Dados anonimizados: são aqueles que não é possível identificar a pessoa como por exemplo uma pesquisa do IBGE.

2. Somente os dados digitais estão sobre a proteção da lei?

A LGPDP não faz distinção de qual tipo de dado está sob sua proteção. Para a lei, é irrelevante o meio em que ele está armazenado, assim, um prontuário médico escrito em uma folha, os dados escolares que ficam em uma pasta física, o registro na academia, todos estão sob a proteção legal. É por esse motivo que podemos falar que todos os seus clientes vão precisar se adequar à lei.

3. O que significa tratamento de dados?

Tratamento de dados nada mais é que qualquer operação feita com essas informações, alguns exemplos estão descritos no inciso X do artigo 5º,

  • Coleta;
  • Produção;
  • Recepção;
  • Classificação;
  • Utilização;
  • Acesso;
  • Reprodução;
  • Transmissão;
  • Distribuição;
  • Processamento;
  • Arquivamento;
  • Armazenamento;
  • Eliminação;
  • Avaliação ou controle da informação;
  • Modificação;
  • Comunicação;
  • Transferência; e
  • Difusão ou extração;

4. Quais são os sujeitos da LGPDP

A lei prevê quatro sujeitos em seu texto, que são: titular dos dados, controlador, operador e encarregado.

O titular dos dados é toda pessoa natural (não vale para pessoa jurídica) detentora dos dados que serão tratados.

O controlador e o operador são chamados de agentes de tratamento. Esses podem ser pessoas naturais ou jurídicas (direito público ou privado). Enquanto o controlador é quem toma as decisões referentes ao tratamento, o operador é quem realiza o tratamento. Basicamente controlador é quem decide o que vai ser feito com os dados, enquanto o operador é quem realiza essa ação.

Temos, ainda, o encarregado, que pode ser definido como o porta-voz da empresa. É uma pessoa (natural ou jurídica) indicada para ser o canal de comunicação entre o controlador, os titulares de dados e a Autoridade Nacional de Proteção de Dados. Além disso, o encarregado tem que ter a sua identidade e informações divulgadas no site do controlador. Suas atividades são:

  1. Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
  2. Receber comunicações da autoridade nacional e adotar providências;
  3. Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
  4. Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

5. Todos os tipos de dados estão protegidos pela lei?

A resposta é não, os dados utilizados por uma pessoa natural para fins particulares, sem fins econômicos não se enquadram na lei. Se eles não fossem excluídos, cada foto que você postar no Instagram com seus amigos irá precisar de pedir autorização para postar e deixar expressamente claro como a mesma será utilizada. Lembrando que mesmo não estando protegido pela LGPD, se essa utilização violar algum direito, existem outras medidas aplicáveis, como a Lei de Crimes Virtuais por exemplo.

Além disso, a lei não se aplica aos dados utilizados exclusivamente para fins jornalísticos ou artísticos, acadêmicos, para segurança pública e do estado, defesa nacional, investigação e repressão de infrações penais. Basicamente são aqueles que os interesses da coletividade superam os interesses individuais

6. Quais são os princípios básicos da LGPDP

  1. Finalidade: O tratamento de dados precisa ser especificado, ele não pode sem qualquer motivo, tem que existir um porquê daquele dado ser tratado;
  2. Adequação: Esse tratamento tem que ter uma relação lógica com o a finalidade. Por exemplo, se a finalidade do tratamento é a exclusão de dados do site, não é lógico que a empresa peça para que o titular forneça seu endereço residencial;
  3. Necessidade: O tratamento é realmente necessário para a finalidade informada? Uma empresa de telefonia realmente precisa do tipo sanguíneo para realizar o seu cadastro?
  4. Livre Acesso, qualidade e transparência: Uma vez que o agente possui os dados de uma pessoa, o titular tem o direito de acessá-los gratuitamente sempre que quiser, e além disso, saber como estão sendo usados e por quanto tempo serão usados, sendo garantido que eles serão exatos, claros e relevantes.
  5. Segurança e prevenção: Os agentes devem tomar medidas para que nenhum dado seja indevidamente acessado ou ocorra qualquer prejuízo;
  6. Não discriminação: independentemente do tipo de dados (sensíveis ou não) eles não podem ser utilizados de forma discriminatória;
  7. Responsabilização: Uma vez que os agentes (operador e controlador) possuem seus dados, eles são os responsáveis por garantir que todo o estipulado na LGPD seja cumprido; e
  8. Boa-fé: Espera-se que todos os sujeitos ajam de acordo com base na lealdade, sem a intenção de prejudicar o outro.

7. Quando é permitido o tratamento de dados:

  1. Se o titular consentir: Obviamente, se a pessoa autorizar, o tratamento está permitido, porém, existem alguns requisitos para esse consentimento:
    • Tem que ser dado de forma livre;
    • Tem que ser claro e não podem existir dúvidas quanto ao que está sendo autorizado;
    • Se for dado em um contrato escrito, essa cláusula tem que ser destacada das demais;
    • Quanto aos dados sensíveis, precisa ser destacado especificamente qual a finalidade do tratamento.
    • No caso das crianças e adolescentes o consentimento tem que ser dado por pelo menos um dos pais ou o responsável;
    • Se os dados forem utilizados para outros fins que não os iniciais, o agente tem que solicitar nova autorização;
    • O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular;
  2. Para cumprir alguma obrigação imposta por lei ou por alguma regulação;
  3. Pela administração pública quando necessário para políticas públicas;
  4. Para realização de estudos por órgãos de pesquisas, IBGE, Datafolha, IBOPE etc;
  5. Quando for necessário para executar um contrato: o próprio juris é um exemplo. Ele precisa tratar os dados dos correspondente para que possa divulgar para os buscadores;
  6. Para o exercício regular de direito em processos judiciais, administrativos ou arbitral – se um juiz determinar a exclusão de dados, a empresa não pode se negar;
  7. Para a proteção à vida ou segurança física do titular ou terceiros – Um hospital pode arquivar informações dos pacientes quanto a alergia a algum medicamento ou doença transmissível;
  8. Para garantir a saúde, exclusivamente, em procedimento médicos ou sanitários;
  9. Para interesse legítimo do controlador ou terceiro.
    • Para isso é necessário identificar qual é esse interesse (comercial ou social etc);
    • Demonstrar que somente pelo tratamento é possível alcançá-lo; e
    • Por fim verificar se existe um equilíbrio entre os interesses do titular e do terceiro; e
  10. Para proteção ao crédito – o famoso Serasa.

8. Quais são os direitos que o titular dos dados possui?

O Titular dos dados pode exigir dos agentes a qualquer momento:

  1. Confirmação de que seus dados estão sendo tratados;
  2. Acesso a seus dados;
  3. Que os dados sejam corrigidos;
  4. Que os dados se tornem anônimos, sejam bloqueados ou eliminados se não forem mais necessários;
  5. Portabilidade de dados para outros fornecedores de serviço ou produto. Por exemplo, se você tiver um sistema jurídico e decidir trocar por outro. O sistema atual é obrigado a criar um arquivo com todos os seus dados para serem transferidos para o novo sistema;
  6. A eliminação dos dados que consentiu o tratamento – como falamos, o consentimento pode ser revogado e uma vez que for feito, o titular tem o direito de que os mesmos sejam excluídos;
  7. Ser informado quanto a todas as entidades (públicas e privadas) com quem seus dados são compartilhados;
  8. Ser informado que pode não consentir com o tratamento e quais as consequências desse ato; e
  9. Revogação do consentimento.

9. Quais as sanções para quem não cumprir a LGPDP?

A Autoridade Nacional de Proteção de Dados poderá aplicar desde uma advertência para que a infração seja regularizada no prazo determinado até uma multa de até 2% (dois por cento) do faturamento da pessoa jurídica no último exercício (limitado ao máximo de R $50.000.000,00). Além disso, poderá aplicar multa diária até que a infração seja sanada, tornar pública a infração e determinar que os dados pessoais sejam bloqueados ou excluídos.

Lembrando, sempre, que as sanções somente serão aplicadas após ser garantido a ampla defesa em processo administrativo e mesmo que elas sejam devidas, nada impede que os agentes sejam condenados em outras sanções civis ou penais.

10. Quando acaba o tratamento de dados?

O encerramento do tratamento dos dados pode ocorrer quando:

  1. A finalidade for alcançada;
  2. O tratamento não for mais necessário para alcançar a finalidade;
  3. O período estabelecido terminar;
  4. Por pedido do titular; e
  5. Por determinação da ANPD quando houver violação a LGPDP.

Uma vez encerrado esse tratamento, os mesmos deverão ser eliminados, salvo se:

  1. Para cumprir alguma determinação imposta por lei;
  2. Por órgãos de pesquisa, desde que sempre que possível sejam arquivados de maneira anônima;
  3. Para que possam ser transferidos a um terceiro, como por exemplo na portabilidade; e
  4. Para uso exclusivo do controlador, desde que inacessíveis a terceiros e que sejam anonimizados.

Agora que você já sabe um pouco mais sobre a LGPDP já pode sair na frente no mercado. Não deixe de assistir nosso curso Advogado 4.0: Ganhe muito mais dinheiro dominando as novas tecnologias do Direito e as principais práticas exigidas pelo mercado, que nele tem uma aula aprofundada sobre o tema.

Dê uma nota a este post
cta-direito-4.0

2 respostas para “10 pontos mais importantes que você precisa saber sobre a LGPDP”

  1. Nessa parte fala: “multa de até 2% (dois por cento) do faturamento da pessoa jurídica”. E quando for o caso de órgão público em que não há faturamento a verba é pública, é esse valor repassado que poderá ser utilizado como parâmetro para multa?

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *