Martelli Advogados Associados
Dra. Cristiane Picoli
Dr. Danilo Martelli Kelvin Bernz
Gerente de Negócios na Komcorp
Qual a finalidade da LGPD e
a quem se destina?
A LGPD tem a finalidade de estabelecer um tratamento específico e seguro aos dados pessoais, inclusive nos meios digitais, cujo objetivo é proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Para isso, a lei estabelece princípios fundamentais e cria regras que devem ser observados por organizações privadas e públicas.
A Lei traz a oportunidade de aperfeiçoamento das políticas de governança de dados, com adoção de regras de boas práticas e incorporação de medidas técnicas e administrativas que mitiguem os riscos e aumentem a confiança dos titulares dos dados.
O que são dados
pessoais?
A LGPD traz no art. 5º, inciso I, que o dado pessoal é definido como a informação relacionada a uma pessoa natural identificada ou identificável.
Assim, além de informações básicas de identificação, a exemplo de nome, número de inscrição no Registro Geral (RG) ou no Cadastro Nacional de Pessoas Físicas (CPF) e endereço residencial, são também considerados dados pessoais outros dados que estejam relacionados com uma pessoa natural, tais como seus hábitos de consumo, sua aparência e aspectos de sua personalidade.
Segundo art. 12, § 2º, da LGPD, poderão ser igualmente considerados como dados pessoais aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.
O que são dados
pessoais sensíveis?
Os dados pessoais sensíveis possuem uma proteção ainda maior, por estarem diretamente relacionamentos aos aspectos mais íntimos da personalidade.
Dessa forma o art 5º, II, aduz que são dados pessoais sensíveis aqueles relativos à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural.
A LGPD tem alcance somente em
meios digitais?
04
Não. A LGPD garante proteção a todos os dados cujos titulares são pessoas naturais, estejam eles em formato físico ou digital. Assim, a LGPD não alcança somente os dados armazenados em meios digitais.
Por ser uma Lei que demanda a adequação das empresas de forma estruturada e em cadeia, a Lei entrou em vigor de maneira escalonada:
01
Em 28 de dezembro de 2018, quanto aos arts. 55-A, 55-B, 55-C, 55-D, 55-E, 55-F, 55-G, 55-H, 55-I, 55-J, 55-K, 55-L, 58-A e 58-B, que tratam da constituição da Autoridade Nacional de Proteção de Dados – ANPD e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade – CNPD;02
Em 18 de setembro de 2020, quanto aos demais artigos da Lei, com exceção dos dispositivos que tratam da aplicação de sanções administrativas; e03
E em 1º de agosto de 2021, quanto aos arts. 52, 53 e 54, que tratam das sanções administrativas, possibilitando a ANPD aplicar sanções.Em quais hipóteses podem ser realizadas
o tratamento de dados pessoais?
Com a entrada em vigor da LGPD, o tratamento de dados pessoais somente pode ser realizado nas hipóteses do art. 7º e o tratamento de dados sensíveis somente pode ser realizado nas hipóteses do art. 11, ambos da Lei 13.709.
Importante que, seja no tratamento de dados pessoais ou sensíveis, em ambas hipóteses é indispensável mapear o ciclo dos dados e aplicação a sua base legal que, a depender do caso, poderá ser através do fornecimento de consentimento pelo titular; para o cumprimento de obrigação legal ou regulatória; para a tutela da saúde, entre outros.
- verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
Por quanto tempo os dados
pessoais podem ser
tratados?
A LGPD não especifica um prazo durante o qual pode haver o tratamento dos dados pessoais, o que dependerá da circunstância e da finalidade do tratamento.
Nos termos do art. 15 da LGPD, o término do tratamento de dados pessoais deve ocorrer nas seguintes hipóteses:
O prazo de tratamento de dados deverá ser fixado em uma política de retenção e descarte de dados específica com base em cada ciclo de tratamento. A empresa é obrigada a informar os titulares de forma eficaz sobre o tratamento, armazenamento e descarte de dados. - Fim do período de
tratamento;
- comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento, resguardado o interesse público; ou
- determinação da ANPD, quando houver violação ao disposto na LGPD.
Quais são meus direitos enquanto
titular dos dados pessoais?
A LGPD prevê, nos art. 18 e 20, uma ampla gama de direitos dos titulares de dados, dentre os quais podem ser destacados o acesso facilitado às informações sobre o tratamento de seus dados, confirmação da existência de tratamento; correção de dados incompletos, inexatos ou desatualizados; anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD, revogação do consentimento, entre outros.
Quando um titular requerer acesso aos seus dados
ou qualquer outro direito previsto no art. 18 e 20 da
LGPD como devo proceder?
09
Conforme previsto na LGPD, o titular de dados pessoais possui uma série de direitos tais como acesso aos dados, correção de dados incompletos, inexatos ou desatualizados, eliminação dos dados pessoais, dentre outros e para tanto poderá solicitar diretamente à empresa que deverá atender prontamente a exigência, exceto quando não for agente de tratamento dos dados e indicar, sempre que possível, o agente; ou indicar as razões de fato ou de direito que impedem a adoção imediata da providência.
Uma vez não atendido, o titular de dados pode apresentar reclamações à ANPD, com a comprovação da reclamação não solucionada pela Empresa (art. 55-J, V).
Eu posso ser multado em
até 2% (dois por cento) do
faturamento do meu
último exercício, limitada,
no total, a R$ 50.000.000,00
se não adequar a minha
empresa?
10
-multa diária, ate o limite de R$ 50.000.000,00 (cinquenta milhões de reais);
-publicização da infração após devidamente apurada e confirmada a sua ocorrência; -bloqueio dos dados pessoais a que se refere a infração até a sua regularização; -eliminação dos dados pessoais a que se refere à infração;
-suspensão parcial do funcionamento do banco de dados a que se refere à infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
-suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período
O órgão responsável por fiscalizar, zelar pela proteção de dados pessoais, elaborar diretrizes e também aplicar as sanções em casos de irregularidade será a Agência Nacional de Proteção de Dados (ANPD). Mas o Ministério Público tem participação decisiva quando a questão envolve os direitos difusos dos cidadãos.
É possível que a ANPD
aplique penalidades
cumulativas?
Sim, a Lei deixa claro que as penalidades serão aplicadas por cada infração cometida e de forma gradativa, isolada ou cumulativa. Então nesse caso será possível que lhe seja aplicada ao mesmo fato multa de até 2% mais a suspensão parcial do funcionamento do banco de dados.
As penalidades provenientes de infração à LGPD não substituem as sanções ou multas cíveis ou penais previstas em legislação específica, ou seja, a não conformidade com a LGPD além de gerar sanções administrativas poderá resultar na reparação do dano civil e a processo criminal.
Qual é o órgão responsável
pela aplicação das
penalidades em caso de
inobservância da Lei?
11É possível recorrer administrativamente
da penalidade aplicada pela ANPD?
13
Sim, a lei consagra o princípio constitucional da ampla defesa e contraditório, possibilitando que a Empresa se defenda administrativamente.
O que significa “publicização da infração”?
Significa que a ANPD poderá divulgar que a sua empresa foi penalizada em razão de irregularidades e violação no tratamento de dados em desacordo com a LGPD. A infração se tornará pública e os prejuízos à imagem da sua empresa poderão ser enormes.
Além de observar a Lei é possível adotar outras medidas que venham a ser
consideradas decisivas para a ponderação na hora da aplicação de penalidades?
Sim, a Lei determina que a ANPD siga alguns critérios e paramentos para aplicação da penalidade, os quais estão contidos no art. § 1º do art. 52 da Lei 13.709.
Como medida para minimizar/suavizar eventual sanção as empresas deverão adotar de forma reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, adotar política de boas práticas e governança, por essa razão que a execução de um projeto de conformidade será indispensável.
Qual o primeiro passo para
adequar minha empresa?
A LGPD estabelece uma série de providências que devem ser adotadas pelas empresas que incluem o mapeamento e o registro das operações de tratamento de dados pessoais que realizarem, incluindo a identificação das respectivas bases legais e finalidades; a adoção de medidas técnicas e administrativas e de processos e políticas internas que assegurem o cumprimento das normas de proteção de dados pessoais; e o estabelecimento de um canal de contato com os titulares de dados pessoais.
A Lei determina, no art. 41, que as empresas devem indicar um Encarregado (DPO) para atuar como canal de comunicação entre a empresa, os titulares dos dados e a ANPD. Em determinadas circunstâncias, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados, a ANPD poderá estabelecer hipóteses de dispensa da necessidade de sua indicação (art. 41, § 3º).
Kelvin.bernz@komcorp.com.br (48) 98801-0007
Luiza Schmitt – Analista Tributária
Luiza.Schmitt@komcorp.com.br @komcorp www.komcorp.com.br
Obrigada.
Dr. Danilo Martelli danilo@martelli.adv.br (48) 99164-1051 Dra. Cristiane Picoli cristiane@martelli.adv.br@martelli_adv www.martelli.adv.br/