LGPD Comentada ponto-a-ponto x SNOC Brasiline

Destrinchamos 14 artigos da Lei Geral de Proteção de Dados para que você entenda exatamente as exigências, diretrizes e orientações da lei. Confira:

ARTIGO 1

O texto da Lei Geral de Proteção de Dados começa com o estabelecimento do escopo e objetivos das regras que virão a seguir. A LGPD visa preservar o direito constitucional à liberdade e à privacidade que todos os cidadãos brasileiros têm, assim como protegê-los de danos causados por rupturas desses direitos.

O parágrafo também destaca que as regras da LGPD valem em todo o território nacional e que prevalece sobre quaisquer outras leis municipais ou estaduais.

Finalmente, temos a especificação de que a LGPD se aplica “inclusive nos meios digitais”. Quando se fala sobre a lei, a proteção de dados na internet e em meios eletrônicos costuma ser o foco, mas é fundamental entender que suas normas valem para todo e qualquer tratamento de dados, inclusive analógicos (fichas de cadastro no papel, verificações presenciais de documentos etc.).

ARTIGO 2

Aqui, temos mais especificações sobre os embasamentos para a LGPD. A lei é construída sob a premissa do respeito à privacidade e à liberdade (inclusive de expressão). Enquanto isso, o conceito de autodeterminação informativa (item II) entende que o cidadão é soberano sobre suas próprias informações pessoais e deve ser o protagonista de quaisquer temas relacionados ao tratamento de seus dados.

Os itens IV e VII estabelecem que a LGPD se preocupa com a preservação da imagem do cidadão — um dos motivos por que seus dados pessoais devem ser protegidos é que o tratamento dessas informações não pode ser feito com fins de prejudicá-lo, salvo em casos específicos com finalidade noticiosa, por exemplo.

Finalmente, os itens V e VI especificam que a LGPD não se propõem a prejudicar as atividades das empresas que realizam tratamento de dados. O objetivo das regras é proteger o cidadão, e isso compreende entendê-lo como soberano de seus dados.

Ou seja, a Lei não impede o tratamento, e sim estabelece meios para que o cidadão saiba exatamente o que será feito com seus dados. Dessa forma, ele tem autonomia e capacidade de consentir, ou não, com o uso que a empresa deseja fazer de suas informações pessoais.

Isso preserva a competitividade e as estratégias das empresas, desde que elas se preocupem com a comunicação e uso transparente dos dados pessoais tratados no decorrer dessas atividades.

ARTIGO 6

Assim como a maior parte das leis, a LGPD prevê a boa-fé daqueles atingidos por ela. Isso é fundamental porque, quando falamos de certas regras da Lei — como a possibilidade de o titular solicitar a exclusão de seus dados ou um relatório completo de tratamentos —, nem sempre será possível fornecer provas absolutamente incontestáveis de que a Lei foi obedecida.

Isso também vale para o detalhamento quanto ao tratamento a ser feito, presente na solicitação do consentimento ao titular. Até que surjam evidências do contrário, o titular deve presumir que o controlador realmente está utilizando seus dados pessoais somente para os fins acordados. Caso apareçam evidências do contrário, aí sim, caberá à Autoridade Nacional de Proteção de Dados tomar as devidas providências punitivas.

Com isso em mente, os demais princípios que devem ser seguidos ao realizar tratamentos de dados pessoais são:

Finalidade: uma das mais básicas regras da LGPD é de que todo e qualquer tratamento de dados pessoais deve ter uma finalidade específica, explicada com clareza para o titular. Não é permitido coletar dados sem propósito ou que possam vir a ter utilidade para o controlador, pois tudo tem que ser explicitamente detalhado para o titular no momento de solicitação do consentimento.

Adequação: o tratamento deve realmente acontecer de acordo com as finalidades informadas ao titular no momento do consentimento, utilizando dados e meios adequados.

Necessidade: outro ponto muito importante para a Lei como um todo. A LGPD determina que, independentemente do fim proposto, somente os dados absolutamente essenciais devem ser tratados. A relevância dos dados solicitados é fundamental para que o princípio de finalidade seja seguido. Portanto, pense: o que é indiscutivelmente necessário que você saiba sobre um usuário?

Livre acesso: o titular tem direito de solicitar certos relatórios e informações sobre o tratamento de dados realizado por sua empresa. Como ele é compreendido pela LGPD como sendo o soberano sobre essas informações, o titular tem direito a entender exatamente como e para que eles são utilizados. Essas informações devem ser fornecidas gratuitamente e de forma simples, ou seja, compreensível para ele.

Qualidade dos dados: os dados pessoais tratados devem ser asseguradamente corretos e atualizados. Portanto, o titular tem direito a fazer exigências para garantir isso, como pedir a atualização de informações conforme necessário.

Transparência: complementa o princípio do livre acesso e especifica a necessidade de clareza na prestação de informações aos titulares. Isso inclui informar sobre os agentes que efetivamente realizam o tratamento de dados.

Segurança: para assegurar o cumprimento dos demais princípios, a segurança dos dados pessoais tratados é imprescindível. É dever do controlador — e do operador — tomar todas as medidas cabíveis para garantir que, tanto administrativa quanto tecnicamente, os dados pessoais tratados estão devidamente protegidos e mantidos em integridade. Além disso, é fundamental garantir que somente as pessoas devidamente autorizadas — e necessárias — têm acesso a esses dados.

Prevenção: a segurança dos dados pessoais não deve ser tratada apenas de forma reativa, mas principalmente preventiva. Políticas fortes de proteção e privacidade de dados pessoais contribuem para o estabelecimento de rotinas e processos eficazes para impedir danos aos dados tratados e possibilitam a identificação prévia de riscos e ameaças à segurança da informação.

Não discriminação: sob hipótese alguma podem os dados coletados serem utilizados para fins discriminatórios, como recusar serviços com base em informações étnicas. Isso não impede os controladores de cumprirem as regulamentações de seus setores quanto aos clientes a quem podem ou não prestar serviços — não é ato discriminatório, por exemplo, um banco recusar crédito a um indivíduo envolvido com lavagem de dinheiro.

Responsabilização e prestação de contas: o agente deve não apenas adotar as devidas medidas de segurança para proteção dos dados, mas ser capaz de comprová-las. Em casos de incidentes e outras falhas, isso será levado em consideração pela ANPD na hora de definir as sanções aplicadas.

ARTIGO 18

A qualquer momento e de forma gratuita e simples, o titular pode solicitar relatórios e informações sobre seus dados, incluindo a confirmação de qual é o tratamento feito com eles, quem tem acesso aos dados, quais são os dados sendo tratados e com quais agentes foram compartilhados.

Além disso, o titular pode solicitar a correção ou atualização de dados, assim como a anonimização, exclusão ou interrupção do tratamento de dados pessoais não necessários para a finalidade à qual consentiu.

Outro direito do titular é exigir a portabilidade de seus dados pessoais para outro prestador do mesmo serviço, por exemplo, de um plano de saúde para outro ou de um banco para outro. Nesses casos, devem ser preservados os segredos do negócio do controlador. Isso exclui dados que já haviam sido anonimizados.

A qualquer momento, o titular pode questionar o controlador sobre o que acontecerá se ele não consentir com o tratamento de seus dados: a quais serviços não terá acesso, quais aspectos do serviço serão prejudicados etc.

E se o controlador não for capaz de providenciar as informações solicitadas imediatamente, como obriga a LGPD? Então, deverá esclarecer os motivos por que não consegue. Caso o titular solicite as informações para uma empresa que não é a controladora (para a operadora, por exemplo), então deve-se indicar quem é o real agente de tratamento dos dados.

Se o controlador compartilhou os dados com outros agentes de tratamento, há a obrigação de entrar em contato com eles para solicitar que também realizem os procedimentos solicitados pelo titular.

ARTIGO 37

É dever tanto do controlador quanto do operador manter registros claros e completos sobre todos os tratamentos de dados que realizarem. Isso é especialmente importante nos casos em que o tratamento é realizado para fins de legítimo interesse, pois o titular tem o direito de questionar isso e podem ser necessárias auditorias por parte da ANPD.

ARTIGO 38

A ANPD pode solicitar que o controlador providencie relatórios detalhando o impacto que os tratamentos realizados têm sobre a proteção dos dados pessoais, inclusive em casos de tratamentos de dados sensíveis.

Tais relatórios devem incluir detalhes sobre os dados coletados, sobre como foi feita a coleta e sobre as garantias para a segurança desses dados, além de uma análise do controlador sobre essas medidas de segurança e prevenção a riscos. Pode-se optar por incluir outras informações julgadas relevantes, mas as aqui listadas são essenciais.

ARTIGO 42

O tratamento de dados feito pelo controlador ou operador não pode ter quaisquer consequências negativas ou de alguma forma causar danos ao titular. Caso isso aconteça, o agente responsável deve reparar a situação imediatamente.

A responsabilidade é do operador quando este descumprir suas obrigações dentro da LGPD ou quando desobedecer às ordens dadas pelo controlador. Enquanto isso, a responsabilidade cai sobre o controlador quando estiver diretamente envolvido no tratamento danoso.

Nesses casos, é o titular quem deve fornecer provas de que o tratamento causou danos a ele. Porém, se o juiz entender que a acusação é verossímil, mas que o titular não tem condições ou recursos para fornecer as provas, o dever de fornecê-las pode passar para o agente de tratamento.

ARTIGO 44

O tratamento de dados é considerado irregular quando não seguir a LGPD ou quando não proporcionar o devido nível de segurança de dados. Tal segurança deve ser assegurada levando em consideração a forma com que o tratamento é realizado, os riscos que podem ser esperados e as tecnologias disponíveis no momento.

Se acontecerem danos decorrentes da desobediência das diretrizes de segurança de dados, o agente responsável por essas falhas — seja o controlador, seja o operador — será responsabilizado.

ARTIGO 46

A segurança de dados deve incluir a garantia de que somente as pessoas devidamente autorizadas e fundamentais podem ter acesso aos dados. Deve-se assegurar também que não haverá tentativas ou situações indevidas e/ou acidentais de perda, alteração, compartilhamento ou qualquer outro tipo de tratamento com os dados. Para garantir isso, os agentes de tratamento devem tomar medidas técnicas e administrativas.

Os padrões mínimos para esse tipo de proteção poderão ser dispostos pela ANPD, levando em consideração o tipo de tratamento realizado e as possibilidades atuais da tecnologia.

O artigo destaca que esses cuidados devem ser levados em consideração não apenas durante a execução, mas desde a fase de concepção do produto. Isso aproxima a LGPD do conceito de Privacy by Design, em que a privacidade e a segurança de dados são parte integrante do desenvolvimento do produto, e não preocupações posteriores.

ARTIGO 48

Diante de um incidente ou falha na segurança de dados que possa resultar em danos ou riscos aos titulares, é dever do controlador comunicar a ANPD e os titulares dos dados envolvidos.

O prazo para essa comunicação será definido pela Autoridade Nacional, mas deve incluir pelo menos a natureza dos dados afetados, as informações dos respectivos titulares, o detalhamento das medidas de segurança adotadas para a proteção dos dados, os possíveis riscos do incidente e o que será feito para mitigar ou reverter as consequências. Caso haja demora na comunicação, é preciso incluir também os motivos para o atraso.

A partir daí, a ANPD irá averiguar a situação e a gravidade do ocorrido. Visando preservar os titulares, a Autoridade pode solicitar que o controlador divulgue amplamente o incidente nos meios de comunicação e/ou tome providências para reverter ou mitigar os efeitos.

A avaliação do nível de gravidade do ocorrido deve levar em consideração o fornecimento de que os dados envolvidos encontram-se ininteligíveis por meio de medidas técnicas, impedindo assim que terceiros não-autorizados os acessem.

ARTIGO 49

Todos os sistemas e bases de dados usados para o tratamento devem ser estruturados levando em consideração as diretrizes de segurança dispostas pela LGPD, assim como os padrões de boas práticas e de governança propostos pela lei e demais normas legislativas.

ARTIGO 50

A LGPD recomenda que os agentes de tratamento estabeleçam regras de boas práticas e de governança sobre segurança e proteção de dados. O documento pode incluir, por exemplo, os procedimentos e os padrões técnicos da organização, como lidar com reclamações e petições dos titulares, as ações educativas tomadas dentro do empresa, os envolvidos nos tratamentos, processos para mitigar riscos etc.

Se escolherem fazer isso, é importante levar em consideração todas as diretrizes da LGPD, garantindo assim que o documento está alinhado com a lei e efetivamente ajudará o agente de tratamento a obedecê-la.

Apesar de não ser obrigatório, a existência de tais documentos e sua respectiva aplicação no dia a dia da instituição será levada em consideração pela ANPD se for necessário determinar sanções para incidentes ou falhas que vierem a ocorrer.

O artigo recomenda ainda que, após analisar o volume e a sensibilidade dos dados tratados e a gravidade dos riscos envolvidos, o controlador pode implementar programas de governança internos para divulgar as boas práticas de proteção de dados, que devem ser aplicadas a todos os dados pessoais coletados, e as políticas e medidas preventivas estabelecidas. O programa deve ser construído também de acordo com a estrutura da organização e visar a construção de relações de confiança com o titular — valorizando, portanto, a transparência e a clareza nas comunicações.

A LGPD aponta ainda a importância de que tal programa inclua planos de resposta e remediação para casos de incidentes e que seja reavaliado e atualizado com frequência. Se a ANPD assim pedir, será necessário comprovar a eficácia do programa.

ARTIGO 52

Caso os agentes de tratamento cometam infrações à LGPD, a ANPD irá definir as sanções a serem aplicadas. Pode ser dada uma advertência, indicando o prazo para a adoção de medidas corretivas; uma multa simples de até 2% do faturamento, limitada a R$ 50 milhões por infração; uma multa diária, dentro desse mesmo limite total; a ampla divulgação da infração e de suas causas; ou o bloqueio ou exclusão dos dados pessoais envolvidos na infração.

A ANPD ainda pode exigir a suspensão parcial dos bancos de dados envolvidos na infração ou de toda a atividade de tratamento desses dados por até 6 meses, passíveis de prorrogação. Dentro desse período, o agente deve regularizar a situação que levou à infração. O tratamento de quaisquer dados também pode ser proibido total ou parcialmente.

Levando em consideração a gravidade do incidente, a boa-fé do infrator, se trata-se ou não de reincidência, o quanto o agente mostra-se cooperativo, a tomada imediata de medidas corretivas e a existência de políticas de boas práticas e de governança, a ANPD deve dar espaço para que o infrator se defenda. Esses comportamentos também serão considerados na hora de determinar a sanção; o faturamento do agente pode ser avaliado também. Além disso, a sanção deve ser nivelada de acordo com a gravidade do ocorrido.

ARTIGO 65

Estabelece que a Lei Geral de Proteção de Dados entra em plena vigência em 16 de agosto de 2020, ou seja, no dia seguinte à data em que se completam 24 meses da publicação no Diário Oficial (que foi feita no dia 15 de agosto de 2018). Alguns dos itens que determinam a criação e funcionamento da Autoridade Nacional de Proteção de Dados, porém, estavam previstos para entrar em vigor em 28 de dezembro de 2018.

Fonte

Já que se interessou pelo assunto, que tal conversar com nossos especialistas e conhecer as soluções que a Brasiline pode oferecer para a sua empresa? Acesse!