Lei Geral de Proteção de Dados


A Lei Geral de Proteção de Dados lei : 13709/2018, aprovada em agosto, cuja finalidade é regular a atividade de tratamento de dados pessoais e proteger direitos fundamentais de liberdade de expressão, informação, comunicação, opinião, proteção à privacidade, desenvolvimento econômico, tecnológico e inovação, livre iniciativa, livre concorrência, defesa do consumidor, desenvolvimento da personalidade, direitos humanos, dignidade e exercício da cidadania.

Inspirada na GDPR (General Data Protection Regulation) , que é o regulamento de direito europeu sobre privacidade e proteção de dados, em vigor desde 2018, regula todo tratamento de dados da União Europeia.

A LGPD se aplica às pessoas físicas (com finalidade econômica) e jurídicas, de direito público ou privado que tratarem dados ON LINE e OFF LINE, independentemente do país de sua sede ou do país onde estejam localizados os dados. O que nos leva a entender que a lei é bastante abrangente não existindo nenhuma diferença no seu tratamento.

Entende-se por tratamento de dado pessoal, toda a operação realizada desde o momento em que o dado entra no banco de dados até o momento que ele é excluído. Ou seja, a lei se aplica a todo esse intervalo temporal.

A lei define como tratamento: O armazenamento, coleta, transferência, produção, recepção, processamento, arquivamento, classificação, exclusão, entre outros.


O que são dados pessoais?

Para fins da LGPD são dados pessoais, qualquer informação relacionada a pessoa natural que identifique ou que possa identificar uma pessoa tais como, o nome, endereço, e-mail, identidade, CPF, dados de localização (função de dados de localização em telefones ou GPS), endereço de IP (protocolo de internet); testemunhos de conexão (cookies), etc.

Assim como os dados sensíveis que se referem a origem racial, ética, convicção religiosa, filosófico, político, saúde, genético, biométrico, uma vez exposto pode causar dano a uma determinada pessoa.

Além desses, os dados pseudonimizados, que são aqueles dados que, submetidos a tratamento, não oferecem a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.

Portanto, a proteção dos dados pessoais tem a ver com a proteção da personalidade, não da propriedade, tampouco um direito autônomo sobre o dado em si.

Importante destacar que a LGPD não impede o tratamento dos dados, mas que eles sejam feitos com responsabilidade, respeitando os princípios e os direitos dos titulares de dados que é a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento (art. 5º, V).


A abrangência do artigo 1º é total, ou seja , havendo tratamento de dados pessoais independente de quem os promova, se pessoa natural ou jurídica incidirá a LGPD, exceto em alguns casos pontuais definidos em lei.

A LGPD disciplina a forma como as empresas, independentemente do tamanho e segmento, deverão efetuar o tratamento de dados de pessoas físicas, tanto no meio digital quanto no convencional.

A lei define como Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais (art. 5º,VI). Operador: pessoa natural ou jurídica, de direito público ou privado que realiza tratamento, conforme instruções do controlador (art. 5º, VII). Encarregado ou DPO: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD) (art. 5º, VIII).

Tanto o operador como controlador respondem pelos atos contrários a LGPD de forma solidária


PENALIDADES

Vai de uma simples advertência, com indicação de prazo para adoção de medidas corretivas e de multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitado no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; multa diária, observado o limite total a que se refere o inciso II; IV. publicização da infração após devidamente apurada e confirmada a sua ocorrência; V. bloqueio dos dados pessoais a que se refere a infração até a sua regularização; VI. eliminação dos dados pessoais a que se refere a infração; PRÁTICAS E GOVERNANÇA as empresas devem promover ações educativas e treinamentos aos seus membros e colaboradores visando à mitigação de riscos e a devida informação aos titulares de dados. Essa ação incentiva os agentes de tratamento de dados a instituírem programas de governança e boas práticas de gestão. Tais medidas serão consideradas como parâmetros atenuantes na imposição de penalidades (ART. 52, § 1º).