LEI GERAL DE PROTEÇÃO DE DADOS
LEI GERAL DE
PROTEÇÃO DE DADOS
Adaptar-se e adequar-se à LGPD é uma questão imprescindível
para manter-se no mercado, tendo em vista que cada vez mais exige-se uma
transparência do tratamento de dados pessoais.
Além de ser um assunto que vem sendo discutido desde 2018,
em agosto deste ano (2020) tivemos uma decisão importante. O Senado Federal
aprovou em , 26/08 a Lei Geral de Proteção de Dado, a qual passou a valer desde
27/08.
CONCEITO
A Lei Geral de Proteção de Dados
(LGPD) foi sancionada em 2018 visando a melhora e aumento da privacidade e
proteção de dados pessoais, além de apresentar uma definição dos poderes das
entidades regulamentadoras que realizarão a fiscalização das organizações.
A Lei nº 13.709/2018 foi
inspirada na lei europeia “General Data Protection Regulation (GDPR)”, em
vigência desde maio de 2018, a qual formalizou as regras para coleta e uso de
dados pessoais em 28 países, prevendo duras punições para entidades públicas ou
privadas que não cumprirem suas diretrizes em todo continente europeu.
A nova legislação brasileira
também consolida, atualiza e torna mais robusta as regras de coleta e uso de
dados pessoais que estavam de alguma forma pulverizadas no Marco Civil da
Internet, no Código de Defesa do Consumidor e na própria Constituição Federal.
A ANPD (Autoridade Nacional de
Proteção de Dados) é órgão fiscalizador e responsável por realizar estudos,
regulamentos, resoluções e diretrizes de proteção de dados, idealmente em
articulação com as agências reguladoras e os setores econômicos.
Em suma, a LGPD tem como objetivo formal “proteger os
direitos e fundamentais de liberdade e de privacidade e o livre desenvolvimento
da pessoa natural”.
A responsabilidade em adaptar-se
à lei é das organizações, uma vez que elas são as responsáveis pela proteção
dos dados pessoais que fluem dentro do seu sistema.
Princípios da LGPD
1. PRINCÍPIO
DA FINALIDADE
O princípio da
Finalidade está previsto no inciso 1º do Artigo 6º da LGPD, o qual dispõe que a
realização do tratamento será para “propósitos legítimos, específicos,
explícitos e informados ao titular, sem possibilidade de tratamento posterior
de forma incompatível com essas finalidades”.
2. PRINCÍPIO
DA ADEQUAÇÃO
O tratamento de
dados deverá ser condizente à destinação a qual se refere, não apresentando-se
de forma contraditória à finalidade destinada.
A coleta de
dados deverá ser sempre compatível com a atividade fim do tratamento, não
podendo apresentar uma relação destoante entre o titular dos dados e o
controlador.
A sua previsão
está no 2º inciso do artigo 6º da LGPD, o qual dispõe que adequação: a “compatibilidade
do tratamento com as finalidades informadas ao titular, de acordo com o
contexto do tratamento”.
3. PRINCÍPIO
DA NECESSIDADE.
Com previsão no
3º inciso do artigo 6º da LGPD, o princípio da necessidade emprega-se com o
seguinte “conceito limitação do tratamento ao mínimo necessário para a
realização de suas finalidades, com abrangência dos dados pertinentes,
proporcionais e não excessivos em relação às finalidades do tratamento de dados”.
Isto significa
dizer que a coleta de dados deve se dar de maneira restritiva, presando pelo
tratamento de dados pessoais estritamente necessários a finalidade pretendida.
4. PRINCÍPIO
DA TRANSPARÊNCIA
Disposto no 6º
inciso do artigo 6º da lei em comento e visa garantir aos titulares as
informações claras, precisar e facilmente acessíveis sobre a realização do
tratamento e os respectivos agentes de tratamento, com uma linguagem clara e
simples.
5. PRINCÍPIO
DO LIVRE ACESSO
Este princípio
existe que as informações ou comunicações relacionadas com o tratamento desses
dados pessoais sejam de fácil acesso e compreensão, e formuladas numa linguagem
clara e simples. Os titulares dos dados têm o livre acesso para consultar essas
informações.
6. PRINCÍPIO
DA QUALIDADE DOS DADOS
Este princípio
garante aos titulares clareza, exatidão, relevância e atualização dos dados.
Conforme a LGPD
prevê, o titular dos dados tem o direito de correção de dados incompletos,
inexatos ou desatualizados e, ainda, informação das entidades públicas e
privadas com as quais o controlador realizou uso compartilhado.
7. PRINCÍPIO
DA SEGURANÇA
Os dados
pessoais deverão ser tratados de uma forma que garanta a devida segurança e
confidencialidade, incluindo para evitar o acesso a dados pessoais e
equipamento utilizado para o seu tratamento, ou a utilização dos mesmos, por
pessoas não autorizadas.
8. PRINCÍPIO
DA PREVENÇÃO
Este princípio
visa a prevenção de eventuais eventualidades que possam ocorrer, adoção de
medidas para prevenir a ocorrência de danos em virtude do tratamento de dados
pessoais.
9. PRINCÍPIO
DA RESPONSABILIZAÇÃO E PRESTAÇÃO DE CONTAS
O controlador ou
operador tem o dever de prestar contas, ante a sua responsabilização,
de demonstrar a autoridade delegante que os objetivos propostos foram
cumpridos, sejam elas técnicas e/ou preventivas, e que esses processos
guardaram adequação (conformidade) com as regras e princípios estabelecidos,
que comprovem a efetividade e a observância da proteção aos dados pessoais.
10. PRINCÍPIO
DA NÃO DISCRIMINAÇÃO
O tratamento de
dados não pode ser realizado para fins discriminatórios ilícitos ou abusivos.
Não se pode ter exclusão de titulares de dados pessoais no momento de seu
tratamento de dados por determinadas características, sejam elas de origem
racial ou étnica, opinião política, religião ou convicções, geolocalização,
filiação sindical, estado genético ou de saúde ou orientação sexual.
DEFINIÇÕES ESTABELECIDAS PELA LGPD
A lei estabelece nomenclaturas, criando algumas figuras no
processo de tratamento dos dados.
·
Dado pessoal é qualquer informação relativa
a pessoa “identificada ou identificável”
·
Dado pessoal sensível é informação relativa
a origem racial ou étnica, convicção religiosa, opinião política, filiação a
sindicato ou organização, saúde, vida sexual ou dado genético ou biométrico
·
Dado anonimizado é relativo a um titular
que não possa ser identificado
·
Banco de dados é o conjunto estruturado de
informações pessoais
·
Titular é a pessoa a quem se referem os
dados
·
Controlador é a pessoa responsável por
tomar as decisões referentes a tratamento de dados
·
Operador é quem executa o tratamento em
nome do controlador
·
Encarregado é a pessoa responsável pela
comunicação entre as três partes: o controlador e o operador (empresa), o
titular e a Autoridade Nacional de Proteção de Dados
·
Consentimento é a manifestação livre pela
qual o titular permite o uso dos dados (o ônus da prova cabe ao controlador)
·
Relatório de impacto à proteção de dados
pessoais é a documentação do controlador descrevendo o processo de
tratamento dos dados que podem gerar risco às liberdades civis.
O que deve se entender como tratamento de dados?
Tratamento de dados inclui toda operação realizada com
dados pessoais, como: a coleta, produção, recepção, classificação, utilização,
acesso, reprodução, transmissão, distribuição, processamento, arquivamento,
armazenamento, eliminação, avaliação ou controle da informação, modificação,
comunicação, transferência, difusão ou extração.
HIPÓTESES PARA O TRATAMENTO DE DADOS
O artigo 7º da LGPD prevê 10 possibilidades em que as
organizações podem realizar o tratamento de dados pessoais. Visando a
celeridade, abordaremos as principais hipóteses. São elas:
1. Mediante o fornecimento de consentimento
pelo titular
A LGPD exige que o consentimento seja fornecido por
escrito ou por outro meio que demonstre a manifestação inequívoca de vontade do
titular.
2. Para
o cumprimento de obrigação legal ou regulatória pelo controlador
Este é um autorizador da LGPD que possibilita que a
lei não entre em conflito com outras legislações vigentes em nosso país, o que acabaria
por gerar uma discussão sobre a possibilidade ou não do titular de dados
registrar reclamação contra um tipo de tratamento de dados que estivesse em
discordância com outra determinação legal.
No caso de uma obrigação decorrente de lei acarretar
em um tratamento de dados pessoais por parte de uma empresa, essa estará
autorizada a trata-los de modo a cumprir a dita exigência legal ou regulatória.
3. Para
o exercício regular de direitos em processo judicial, administrativo ou
arbitral, esse último nos termos da Lei nº 9.307/96 (Lei de Arbitragem)
Esse autorizador
garantido pela LGPD é uma decisão acertada com o intuito de garantir o direito
de produção de provas de uma parte contra a outra em um processo judicial (na
maioria das vezes), administrativo ou arbitral, este último nos termos da Lei
de Arbitragem. Permitir que uma das partes se oponha a este tipo de tratamento
de dados seria cercear o direito de defesa da outra em um processo e infringir
os preceitos constitucionais da ampla defesa e do contraditório.
4. Para
a proteção da vida ou da incolumidade física do titular ou de terceiro
Ademais, a LGPD
também admite o tratamento de dados feito com o intuito de proteger a vida ou a
incolumidade física do titular dos dados ou de terceiros.
Trata-se de um autorizador
legal cujo objetivo é garantir a proteção de bens de elevado interesse público,
tais como a vida e a incolumidade física, desde que devidamente comprovada essa
necessidade e exposta a finalidade do tratamento dos dados nesta situação.
5. Para
a proteção do crédito, inclusive quanto ao disposto na legislação pertinente
O objetivo do
legislador foi evitar que titulares de dados pessoais se utilizem de uma brecha
legislativa para criarem mecanismos de escaparem de cobranças por dívidas
contraídas.
Seria
inimaginável pensar em um titular de dados requerendo a exclusão dos mesmos dos
cadastros do SPC e Serasa, por exemplo, sob a alegação de que não autorizou o
referido tratamento ou que violaria a sua privacidade, safando-se, assim, de
instrumentos para efetivar a cobrança do crédito.
O papel e a importância do Encarregado pelo
Tratamento de Dados Pessoais
O encarregado pelo tratamento de dados possui uma figura de
papel central na implementação e aplicação efetiva dos princípios e direitos
previstos na LGPD.
Essa função também é chamada de DPO (Data Protection
Officer) e está incluída no artigo 41 da referida Lei.
O encarregado pelo tratamento é uma pessoa nomeada pela
empresa (chamada pela lei de “controlador”) que terá como uma de suas funções a
mediação entre a empresa, os titulares dos dados pessoais (funcionários,
fornecedores e clientes) e o próprio governo (ANPD).
O encarregado nomeado precisa ter sua identidade e
informações de contato públicas e divulgadas amplamente – por exemplo, no site
da própria empresa. Isso facilitará o acesso dos titulares de dados ao
empreendimento em caso de alguma solicitação (como o pedido de alteração de
cadastro, por exemplo).
encarregado, a priori, não poderá ser responsabilizado por
eventual aplicação de sanção ou responsabilidades ao controlador advindas de
violação à LGPD, uma vez que a sua função é meramente consultiva, não cabendo
ao encarregado adotar nenhuma medida junto a qualquer operação de tratamento de
dados.
Lei Geral de Proteção de Dados nas Relações de
Trabalho
A adequação à Lei Geral de Proteção de Dados deve iniciar,
nas relações de trabalho, desde o anúncio de vaga, no processo seletivo,
durante a execução do contrato de trabalho, no tratamento de dados de saúde e
segurança do trabalho, sendo estes últimos dados pessoais sensíveis e deve
ocorrer até à cessação da relação do trabalho, podendo ainda estes dados serem
guardados durante o período prescricional.
Na esfera trabalhista, há duas possibilidades autorizadoras
do tratamento de dados:
1. Consentimento
para tratamento de dados pessoais: O consentimento, o qual deverá ser livre,
informado e inequívoco, referindo-se este, nos termos da lei, a finalidades
determinadas e específicas, sendo que as autorizações genéricas para o tratamento
de dados pessoais serão consideradas nulas.
2. Tratamento
de dados para cumprimento de obrigação legal: Cumprimento de obrigação legal ou
regulatória, pelo controlador, é sempre o meio mais seguro de tratamento, nas
relações de trabalho. O envio de dados para o eSocial e para a EFD-Reinf se
tratarem de hipótese de cumprimento de obrigação legal ou regulatória pelo
controlador.
Proteção de Dados Pessoais dos Empregados – Direitos
Assim como qualquer outro titular de dados pessoais, os
empregados também possuem direitos:
·
Confirmação
da existência de tratamento.
·
Acesso
aos seus dados.
·
Correção
de dados incompletos, inexatos ou desatualizados.
·
Anonimização,
bloqueio ou eliminação de dados tratados em desconformidade com a LGPD.
·
Informação
sobre a possibilidade de não fornecer consentimento e sobre as consequências da
negativa.
·
Revogação
do consentimento (exceto quando o tratamento de dados é realizado para
cumprimento de obrigação legal).
·
Oposição
ao tratamento realizado com fundamento em uma das hipóteses de dispensa de
consentimento, em caso de descumprimento ao disposto na lei.
·
Revisão
de decisões automatizadas.
Comentários
Postar um comentário