entre em contato

publications 

Article

LGPD - O que é e como funciona.

Gabriele Legroski e Priscila Garcia

Você já deve ter ouvido falar nela: L-G-P-D!

Pois é, não é novidade que a Lei Geral de Proteção de Dados (Lei nº 13.709, de 14 de agosto de 2018,) já chegou e com ela é inevitável um grande impacto no ambiente de negócios no nosso país. E-Commerce, Instituições Financeiras, Hospitais, Escolas, Lojas de Shopping (ou não), órgãos públicos, enfim, todos nós devemos nos adequar a ela!

Desde 2020, a LGPD – inspirada na “General Data Protection Regulation” (GDPR) da União Europeia – criou um cenário nacional completamente novo com relação à proteção de dados, assim é fundamental que Você esteja familiarizado(a) com o que diz a lei para tomar as medidas mais adequadas à sua Empresa no âmbito da coleta e tratamento de dados.                      

Mas, afinal, o que é a LGPD e como ela funciona? Quais os dados protegidos por ela? Como Você deve se adequar? Quais são as penalidades? Pensando nisso, nós do VLMA, elaboramos um conteúdo exclusivo sobre a LGPD, dividindo-o em 02 partes, respondendo estas e outras principais perguntas.

Nesta primeira parte trataremos das 05 (cinco) principais dúvidas teóricas acerca do tema. Na sequência, falaremos sobre as questões práticas! E aí, preparado(a)?

Então, vamos começar:

1. Você sabe o que é a LGPD?

A LGPD foi aprovada em agosto de 2018 e está em vigência desde agosto de 2020. Ela foi criada com o objetivo de assegurar um cenário de segurança jurídica, padronizando normas e práticas a fim de promover a regulação da privacidade e a proteção aos dados pessoais de todas as pessoas que estejam em território nacional, não importando se estes dados são físicos ou digitais.

Além disso, a LGPD nos apresenta a figura da Autoridade Nacional de Proteção de Dados (ANPD) - órgão da administração pública federal que fiscaliza o cumprimento desta lei e de todas as práticas relacionadas à proteção de dados. Para garantir ainda mais a segurança jurídica no país, a ANPD publicou, em maio de 2021, um Regulamento de Fiscalização e Aplicação de Sanções Administrativas, o qual dispõe sobre a fiscalização e a aplicação de sanções pela ANPD, podendo ser aplicado aos agentes de tratamento – pessoas naturais ou jurídicas, de direito público ou privado.

2. Quais os princípios legais previstos pela LGPD para o tratamento de dados pessoais?

A LGPD também estabelece 10 princípios que devem ser observados por empresas públicas e privadas no tratamento de dados.

São eles:

  • Finalidade: Aqui, Você e/ou sua Empresa devem se atentar à coleta de dados para fins legítimos, informando sempre a finalidade de tal coleta aos usuários.
  • Adequação: Prevê a disponibilização de todas as informações sobre a coleta e tratamento dos dados aos usuários, de forma honesta, conforme as finalidades informadas ao(à) titular;
  • Necessidade: Neste ponto, Você e/ou sua Empresa devem manter e utilizar apenas dados essenciais, deletando-os quando tornarem-se irrelevantes;
  • Livre Acesso: Aqui, Você e/ou sua Empresa devem ser capazes de apresentar os dados
  • e suas funcionalidades sempre que requisitados pelos usuários;
  • Precisão: Significa que Você e/ou sua Empresa devem manter os dados de forma precisa, eliminando/atualizando dados imprecisos ou errôneos;
  • Transparência: Você e/ou sua Empresa devem informar os usuários de forma clara e acessível sobre o uso de seus dados;
  • Segurança: Você e/ou sua Empresa devem tomar as medidas necessárias para proteger os dados de furtos, perdas e danos;
  • Não Discriminação: Neste ponto, Você e/ou sua Empresa não devem utilizar os dados para fim discriminatório, abusivo ou ilícito;
  • Prevenção: Aqui, Você e/ou sua Empresa devem tomar as medidas preventivas para a proteção dos dados, evitando danos aos titulares; e
  • Responsabilidade: Significa que Você e/ou sua Empresa devem adotar tais princípios e provar sua adequação em todos os seus processos.

   Estes princípios são norteadores da LGPD e estabelecem, consequentemente, obrigações aos agentes no tratamento de dados.

3. Quais são os tipos de dados pessoais?

É considerado dado pessoal qualquer informação que possibilite a identificação, direta ou indireta, de uma pessoa física.

 São exemplos:

  • Nome e apelido; e
  • Número de CPF/RG.

  Os dados abaixo são considerados dados pessoais para a LGPD quando vinculados com algum dos dados acima:

  • Endereço;
  • E-mail;
  • Número de um cartão de identificação;
  • Dados de localização, como por exemplo, a função de dados de localização no celular;
  • Endereço IP ;
  • Cookies; e
  • Identificador de publicidade do seu telefone.

Dentre os dados pessoais, há aqueles que estão sujeitos a condições de tratamento específicos, ou seja, que exigem maior atenção em razão de possuírem maior potencial discriminatório: os dados sensíveis, ou seja, dados que revelem informações sobre crianças e adolescentes, incluindo origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical, questões genéticas, biométricas e sobre a saúde ou a vida sexual de uma pessoa.

Portanto, a principal diferença entre o tratamento de dados pessoais e dados pessoais sensíveis é que nesta última, como regra, a base legal aplicada é o consentimento, de forma destacada, para finalidades específicas.

4. E o que é o consentimento?

É a manifestação livre, inequívoca e informada, através da qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

Atenção:

  • O consentimento e sua finalidade devem estar claros e destacados!
  • Quando o dado for de menores de idade é imprescindível obter o consentimento inequívoco de um dos pais ou responsáveis e se ater a pedir apenas o conteúdo estritamente necessário, não repassando nada a terceiros!
  • No caso dos dados sensíveis, o tratamento depende do consentimento explícito da pessoa e deve ser para um fim definido.

A coleta de dados sem o consentimento do titular é possível quando for indispensável, ou seja, em situações ligadas a uma obrigação legal, a políticas públicas, a estudos via órgão de pesquisa, a um direito, em contrato ou processo, à preservação da vida e da integridade física de uma pessoa, à tutela de procedimentos feitos por profissionais das áreas da saúde ou sanitária, e à prevenção de fraudes contra o titular.

5. Responsabilidade civil: objetiva ou subjetiva?

Uma questão ainda não pacificada sobre a LGPD é a responsabilidade civil do operador ou controlador de dados pessoais da Empresa.

Há quem diga que estaríamos tratando de uma responsabilização objetiva dos agentes de tratamento, tornando-os responsáveis pelos danos causados aos titulares, independentemente da prova de culpa.

Por outro lado, há também quem defenda a adoção da responsabilização subjetiva, se fazendo necessária a análise da conduta do agente, tendo como base o art. 929 do Código Civil que estabelece que a responsabilidade objetiva ocorre somente em casos especificados em lei ou quando a atividade desenvolvida implicar, em sua natureza, atividade e risco.

Outro ponto defendido para sustentar a responsabilidade subjetiva são os standards de conduta a serem seguidos pelos agentes de tratamento de dados para segurança, sigilo, boas práticas e governança de dados, constantes nos artigos 46 a 54 da LGPD.

Ainda, a lei estabelece, em seu artigo 43, hipóteses de excludentes de responsabilidade, de forma que a adoção de uma responsabilidade objetiva ao tratamento de dados parece ser contraditória ao espírito da LGPD, a qual busca incentivar os agentes de tratamento a adotar boas práticas e standards de conduta, evitando, assim, que estes sejam responsabilizados caso não haja culpa, efetivamente.

No entanto, a jurisprudência nacional tem adotado a responsabilidade objetiva mediante aplicação da teoria do risco nas relações de consumo (art. 12 e 14 do Código de Defesa do Consumidor), bem como do art. 42 da LGPD, o qual dispõe que o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar dano a outrem, em violação à legislação (LGPD), é obrigado a repará-lo.

Enquanto não há um posicionamento definitivo acerca do tema é importante ressaltarmos que, caso necessário, Você e/ou sua Empresa poderão demonstrar em juízo as medidas efetivamente tomadas para manter a conformidade com a legislação e a regulação de proteção de dados, resguardando-se na hipótese de responsabilização! Então vamos à parte prática? Por quê, como, em quantas etapas se adequar?

Acompanhe no próximo informativo sobre o tema!

date: October/2021

We use cookies and other technologies to improve your experience and analyze traffic information on our website. To know more, take a look at our Privacy Policy.