Nos últimos tempos, é muito provável que você já tenha lido ou ouvido esta sigla: LGPD. O que talvez você não saiba é o quanto ela pode impactar a sua vida e os seus negócios.
Neste artigo abordaremos os pontos mais relevantes da LGPD, desde o seu contexto de aprovação, os conceitos para a sua plena compreensão, os seus princípios norteadores, os direitos e deveres de titulares e controladores, até as penalidades em caso de descumprimento da Lei. Continue lendo para ter uma visão ampla da norma e da sua aplicação na prática.
Índice
- 1 Por que falar de proteção de dados pessoais?
- 2 O custo de um incidente com dados pessoais
- 3 O que é a LGPD?
- 4 Conceitos
- 5 Princípios
- 6 Direitos dos titulares
- 6.1 Confirmação da existência de tratamento
- 6.2 Acesso aos dados
- 6.3 Correção de dados incompletos, inexatos ou desatualizados
- 6.4 Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD
- 6.5 Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial
- 6.6 Eliminação dos dados pessoais tratados com o consentimento do titular
- 6.7 Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados
- 6.8 Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa
- 7 Penalidades
- 8 Conclusão – a LGPD como oportunidade
Por que falar de proteção de dados pessoais?
Vivemos na era da informação, em que dados pessoais são utilizados de forma massiva para a realização de incontáveis operações e atividades, desde as mais complexas até as mais simples do nosso cotidiano. É inegável, de fato, que o desenvolvimento tecnológico mudou a forma como pessoas e empresas lidam com dados pessoais.
Lembre-se de que até bem pouco tempo, quando você queria pedir uma pizza na sua casa, por exemplo, bastava ligar para a pizzaria e fazer o seu pedido. O atendente anotava apenas os dados pessoais dos quais a pizzaria realmente precisaria para realizar a entrega, como nome (que nem precisava ser completo), endereço e telefone.
Não te pediam e-mail, CPF ou cartão de crédito. Seus dados eram, possivelmente, anotados em um pedaço de papel, descartado ao final do dia, ou em um terminal simples de computador, sem maiores consequências. A pizza era entregue na sua casa, você realizava o pagamento e vida que segue.
Nós ainda podemos pedir pizzas dessa forma, é claro. Mas o mais comum é utilizarmos algum aplicativo no qual fica armazenada uma quantidade muito maior de dados pessoais, incluindo o nosso histórico de pedidos. Está tudo na palma das nossas mãos. E não somente lá.
A tecnologia também afetou nossas alternativas de locomoção. Se antes adentrávamos os taxis, dizíamos o endereço do destino e pagávamos a corrida em dinheiro (sem nenhum fornecimento de dados pessoais), hoje também usamos aplicativos que armazenam, além de nosso histórico de corridas, muitos outros dados.
Graças à tecnologia, nós também nos relacionamos de forma diferente nos tempos atuais. A quantidade de dados pessoais que colocamos nas redes sociais permite que aqueles que controlam essas ferramentas de integração saibam mais sobre nós do que nós mesmos. O Facebook, por exemplo, conseguiria prever quando um relacionamento amoroso vai terminar com base no padrão de postagem dos seus usuários.
Essa capacidade de identificar os mais diversos padrões de comportamentos e prever a sua recorrência no futuro é uma mina de ouro para uma abordagem publicitária ou para compreender extensivamente o mercado no qual uma empresa se insere.
Naturalmente, se a coleta de dados pessoais é maior, a preocupação com a proteção desses dados também se intensifica.
O The Guardian, importante portal britânico de notícias, em matéria veiculada em 2008, já afirmava que “dados pessoais devem ser tratados com o mesmo cuidado que nós tratamos o plutônio – é perigoso, duradouro e, uma vez vazado, não há como recuperá-lo”.
É possível identificar, nessa frase, o princípio da segurança contido no artigo 6º da LGPD (Lei 13.709/2018). Além da preocupação quanto ao uso dos dados pessoais, há também a preocupação quanto à forma de proteção deles pelas empresas.
Proteger dados pessoais é extremamente relevante porque os dados pessoais são um prolongamento da nossa pessoa, um prolongamento da nossa personalidade.
São um retrato de quem nós somos: nossos gostos, nossas preferências, nossas vontades, nossas características, nossa ideologia. Uma fotografia bastante precisa da nossa identidade.
Em outras palavras, proteger dados pessoais é reconhecer o titular como efetivo dono de seus dados pessoais e como portador de diversos direitos sobre eles, como o de acesso, o de correção e até de exclusão.
Isso é fundamental, já que decisões são tomadas com base nessa fotografia da nossa personalidade. Podemos obter ou não uma linha de crédito com base nos nossos dados pessoais que o banco possui. O custo do nosso plano de saúde pode variar de acordo com os dados pessoais que estão à disposição do operador. E assim por diante.
O custo de um incidente com dados pessoais
A IBM realiza anualmente um estudo detalhado sobre os custos de um incidente com dados pessoais. No relatório de 2020, o mais recente deles, foram coletados dados por meio de entrevistas com pessoas de 524 organizações em 17 países diferentes e em 17 tipos de indústrias (saúde, educação, transporte, comunicação, entretenimento, entre outras) que sofreram algum tipo de incidente com dados pessoais entre agosto de 2019 e abril de 2020.
Para calcular o custo médio de um incidente com dados pessoais, foram coletados dados das despesas diretas e indiretas que as organizações tiveram com o incidente.
Despesas diretas incluem a contratação de especialistas para lidar com o incidente. Já as despesas indiretas incluem, principalmente, a perda de clientes, tanto aqueles que já eram clientes quanto aqueles clientes em potencial. Há também despesas com investigação interna, comunicação interna etc.
O relatório dá conta de que o custo médio de uma violação de dados pessoais é de US$ 3.86 milhões. 80% dos incidentes de dados incluíam dados pessoais de clientes.
Há de se destacar que quase 25% dos incidentes são causados por erro humano. Eis a importância da conscientização sobre uso e proteção de dados pessoais nas empresas.
Aqueles que manipulam dados pessoais no exercício das atividades regulares devem entender que tais dados precisam ser protegidos a todo custo. Caso isso não seja compreendido, a probabilidade de falha humana que resulte em um incidente de tal natureza aumenta exponencialmente.
O relatório também demonstra o impacto de 25 fatores no cálculo do custo de um incidente com dados pessoais. Dentre os fatores que mitigam esse custo estão a composição de um time de resposta a incidente, treinamentos de colaboradores, o envolvimento do conselho em questões de privacidade e proteção de dados, testes de vulnerabilidade etc.
Por outro lado, dentre os fatores que aumentam os custos do incidente estão os incidentes causados por terceiros, falhas no compliance, sistemas de segurança complexos demais, trabalho remoto e outros.
Leia aqui o nosso artigo específico sobre incidente de segurança com dados pessoais.
O que é a LGPD?
A LGPD foi sancionada em agosto de 2018 e entrou em vigor em setembro de 2020. É considerada um marco na legislação brasileira por representar a primeira vez que o país tem, efetivamente, uma Lei específica sobre proteção de dados pessoais.
A LGPD é fortemente inspirada na legislação europeia de proteção de dados, o Regulamento Geral de Proteção de Dados, ou General Data Protection Regulation (o “GDPR”). Conceitos, princípios e fundamentos das normas europeias estão presentes na lei brasileira. Por essa razão, compreender a GDPR e sua aplicação prática é fundamental para compreensão e aplicação da LGPD.
A Lei, aplicável a todas as pessoas físicas ou jurídicas de direito público ou privado que realizam qualquer tratamento de dados pessoais, traz algumas exceções à sua aplicação. A LGPD não se aplica a tratamento realizado para fins exclusivamente particulares e não econômicos e também não se aplica a tratamentos realizados para fins exclusivamente jornalísticos, artísticos ou acadêmicos.
E aqui é importante esclarecer que “tratamento de dados pessoais”, para a LGPD, é qualquer operação feita com o dado, inclusive o simples armazenamento.
Então, como o conceito de tratamento de dados é bastante abrangente, qualquer coisa que as empresas façam com um dado pessoal (coletar, compartilhar, utilizar, processar, arquivar etc) é uma atividade que deve ser realizada em conformidade com a LGPD.
Conceitos
Para compreender plenamente a LGPD é preciso assimilar alguns conceitos básicos. Vamos a eles:
Dado pessoal
Para a LGPD, dado pessoal é qualquer informação relacionada a pessoa física identificada ou identificável, o que significa dizer que a LGPD protege não somente o tratamento de dados que identificam uma pessoa diretamente (como nome, CPF e e-mail), mas também dados que, por meio de qualquer tipo de cruzamento de informações, são capazes de identificar uma pessoa (como um número de matrícula na faculdade, por exemplo).
Logo, a LGPD não trata de qualquer tipo de dado, e sim de dados intrinsicamente vinculados a uma pessoa física identificada ou identificável.
Por outro lado, a LGPD também contempla o conceito de dados pessoais sensíveis, aos quais confere-se uma proteção especial. São os dados que, a depender do tratamento, podem levar a algum tipo de discriminação, como aqueles relacionados à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, bem como dados relativos à saúde ou à vida sexual, dados genéticos ou biométricos. Em suma, são dados cujo uso deve ser mais restrito.
Titular
O titular é a razão de existência da LGPD: é o dono do dado pessoal, a pessoa física a quem os dados pessoais que são objeto de tratamento se referem.
Controlador e Operador
Controlador e operador são os agentes de tratamento, são aqueles que realizarão as atividades com os dados pessoais do titular.
O controlador é aquele que toma todas as decisões em relação ao tratamento de dados pessoais. É por isso que a LGPD impõe ao controlador maior peso jurídico, eis que ele:
- avalia o enquadramento de ao menos uma das bases legais para a realização de cada tratamento de dados pessoais;
- acompanha o ciclo de vida dos dados pessoais, determinando seu descarte após o término do tratamento;
- indica o encarregado;
- deve elaborar o relatório de impacto à proteção de dados pessoais (DPIA);
- é responsável pelo ônus da prova sobre o consentimento do titular;
- cumpre os direitos do titular;
- é responsável civilmente em casos de violação à LGPD;
- será sancionado administrativamente em razão de infrações cometidas nos termos da LGPD, dentre outras atribuições.
O operador é aquele que realiza o tratamento de dados pessoais em nome do controlador. Dessa forma, a LGPD determina que o operador não pode tratar dados pessoais senão em virtude do que for determinado pelo controlador ou de previsão legal. O operador deve:
- manter registro das operações de tratamento de dados pessoais que realize a mando do controlador;
- demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais;
- ser responsabilizado civilmente em razão do exercício de sua atividade de tratamento de dados pessoais no caso de violação à LGPD, dentre outras obrigações.
Você pode estar se perguntando: para o titular, é simples diferenciar controlador e operador? Na verdade, podem existir dificuldades nessa diferenciação, algo que, em termos práticos, tende a obstar o exercício dos direitos do titular.
É por isso que o controlador deve ser identificado de forma clara e ostensiva, de modo que o titular tenha fácil acesso à informação para exercer e exigir o respeito aos seus direitos. Veja nosso artigo específico sobre os direitos dos titulares de dados pessoais e como as empresas podem responder às solicitações.
Encarregado
O encarregado (ou em inglês, DPO – Data Protection Officer) é a pessoa indicada para atuar como canal de comunicação entre o controlador, os titulares e a Autoridade Nacional de Proteção de Dados (ANPD).
Assim, é função do encarregado aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências em relação a eles. É o encarregado, além disso, quem recebe comunicações da ANPD e deve adotar as providências pertinentes.
Também é esperado que o encarregado seja capaz de orientar os colaboradores e contratados da empresa a respeito das práticas a serem adotadas em relação à proteção de dados pessoais.
Todos aqueles aos quais a LGPD se aplica são obrigados a indicar um encarregado, fornecendo informações claras e ostensivas sobre ele, por um meio de comunicação adequado.
Não há vedação legal no sentido de indicar-se pessoa jurídica para assumir a função de encarregado.
É importante que o encarregado seja alguém que possua conhecimento especializado em relação a todas as normas aplicáveis à proteção de dados pessoais, com formação contínua para que esteja sempre atualizado diante da rápida evolução tecnológica e dos riscos inerentes a cada projeto que envolva dados pessoais.
Para saber mais sobre este profissional, leia o nosso artigo dedicado ao DPO/Encarregado.
Autoridade Nacional de Proteção de Dados (ANPD)
A ANPD é um órgão da administração pública federal, integrante da Presidência da República, responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional.
A LGPD outorga à Autoridade Nacional a regulamentação de diversos dos seus dispositivos, de modo que se espera uma produção normativa intensa por parte da ANPD.
Há, na Lei, mais de 40 previsões que se referem à ANPD, que deve, por exemplo: solicitar relatório de impacto à proteção de dados pessoais; elaborar a lista de países que proporcionam grau adequado de proteção de dados para fins de transferência internacional de dados pessoais; regulamentar as hipóteses de dispensa da nomeação de encarregado; normatizar padrões técnicos de segurança aptos a proteger dados pessoais; receber comunicações sobre incidentes de dados pessoais; fiscalizar o cumprimento da LGPD; aplicação as sanções previstas na Lei, dentre outras atribuições.
Em agosto de 2021 a ANPD publicou uma minuta de resolução que regulamenta a aplicação da LGPD para microempresas, empresas de pequeno porte e startups que será submetida à Consulta Pública.
A ANPD tem autonomia técnica e decisória e é composta por Conselho Diretor (órgão máximo de direção), por um Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPDPP), por uma Corregedoria, por uma Ouvidoria, por órgão de assessoramento jurídico próprio e por unidades administrativas e unidades especializadas necessárias à aplicação da LGPD.
A ANPD está se estruturando e conta com uma agenda bastante intensa de produção normativa para o ano de 2021. Precisamos, portanto, aguardar um pouco para avaliar a efetividade da Autoridade Nacional e seu papel na proteção de dados no Brasil.
Nas palavras de Rony Vaizof[1], fundador e vice-presidente da Associação Brasileira de Proteção de Dados (ABPDados), a ANPD deve priorizar suas atividades sob o viés de um engajamento construtivo, desse modo:
- Em vez de inquisição e sanção, dar prioridade ao diálogo, apoio, mútua cooperação, orientação, conscientização e informação;
- Estimular relações abertas e construtivas com negócios que lidem com dados pessoais, primando pela boa-fé dos agentes de tratamento e nos seus esforços em cumprir a lei;
- Criar ambientes para inovações responsáveis, como Regulatory Sandboxes, nos quais novos projetos são testados em atmosferas controladas visando a avaliar eventuais e futuras necessidades regulatórias, conforme o caso;
- Possuir agentes que se esforcem em prol de uma atuação responsável, sendo encorajados a demonstrar seus programas de privacidade, segurança da informação, códigos de conduta e gerenciamento de risco, visando a gerar o reconhecimento do mercado por suas boas práticas, incluindo certificações, entre outros padrões de accountability;
- Avaliar com muita cautela sanções pecuniárias, principalmente sopesando a comprovação de alguma violação dolosa, de práticas exponencialmente negligentes, de condutas reiteradas ou extremamente graves.
Entenda como ocorre o Processo Administrativo Sancionador no âmbito da ANPD aqui.
Princípios
A espinha dorsal da LGPD é composta por princípios, que orientam a aplicação da Lei e dos quais emanam outras normas jurídicas que lhes são subordinadas.
Cabe ao agente de dados pessoais, além de avaliar o atendimento de ao menos uma das bases legais para o tratamento de dados (como obrigação legal, consentimento, legítimo interesse, exercício regular de direito ou execução de contratos), atentar-se ao cumprimento de todos os princípios contidos na LGPD, apresentados a seguir.
Finalidade
O motivo da coleta de dados pessoais deve ser compatível com o objetivo final do tratamento de tais dados. Essa ligação não pode se romper, sob pena de ofensa ao princípio da finalidade. Danilo Doneda[2] considera o princípio da finalidade como o que carrega de forma mais incisiva os traços característicos da matéria de proteção de dados pessoais.
Se há, portanto, coleta de um dado pessoal para a efetivação de uma compra online, por exemplo, esse dado pessoal não pode ser utilizado para fins distintos, como o de oferta publicitária.
O princípio da finalidade, assim, mitiga o risco de uso secundário à revelia do titular, já que garante ao titular, mediante informação prévia, as fronteiras da legalidade do tratamento de seus dados pessoais.
Adequação
O princípio da adequação está intimamente ligado ao princípio da finalidade, ao prever que o tratamento de dados pessoais somente pode ser realizado quando houver compatibilidade com as finalidades informadas ao titular, de acordo com o contexto do tratamento.
Necessidade
“Somente o necessário/ o extraordinário é demais”, dizia Balu em “Mogli – O Menino Lobo” no filme produzido pela Disney, baseado na obra de Rudyard Kipling[3]. O agente de dados deve limitar a coleta de dados pessoais ao mínimo necessário ao tratamento de dados.
O princípio da necessidade também guarda relação direta com os dois princípios anteriores, já que limita o tratamento de dados pessoais ao mínimo necessário para a realização das suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.
Na lei europeia de proteção de dados, o GDPR, o princípio da necessidade é chamado de “princípio da minimização dos dados” e “limitação da conservação”, de forma que os dados pessoais deverão ser adequados, pertinentes e limitados ao necessário para os propósitos do tratamento.
É por isso que o controlador precisa assegurar que o prazo de armazenamento do dado pessoal também seja limitado ao mínimo necessário (grosso modo, os dados pessoais precisam ser descartados assim que terminado o tratamento).
Não é possível, à luz do princípio da necessidade, a coleta massiva de dados pessoais para só depois pensar-se nos possíveis usos.
Transparência
O princípio da transparência prevê que aos titulares sejam garantidas informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento. Em geral, isto é feito na Política de Privacidade, documento que tratamos em detalhes em um artigo específico.
Natural que seja assim. Como afirma Rony Vaizof[4], “o objetivo da legislação é tutelar direitos fundamentais, como privacidade e o livre desenvolvimento da personalidade, por meio do tratamento ético, responsável e seguro dos dados pessoais; não há como garantir referida tutela sem a transparência.”
Os quatro primeiros princípios apresentados – finalidade, adequação, necessidade e transparência – são intimamente conexos, formando o cerne da LGPD.
Livre acesso
Viviane Maldonado, importante doutrinadora da proteção de dados pessoais, afirma que “o titular dos dados pessoais está no centro do palco da legislação”.
Nessa linha de raciocínio, o princípio do livre acesso prevê que o titular deve ter controle sobre o uso dos seus dados pessoais, o que inclui, além de ser informado acerca do propósito do tratamento, ser garantido a ele o acesso aos seus próprios dados pessoais, bem como a integridade deles.
O artigo 9º da LGPD reforça o princípio do livre acesso, prevendo que, adicionalmente à consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integridade dos dados do titular, é direito deste ter acesso às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras:
- finalidade específica do tratamento; identificação do controlador;
- informações de contato do controlador;
- informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
- responsabilidades dos agentes que realizarão o tratamento;
- e dos direitos do titular, dos quais trataremos mais adiante neste artigo.
Segurança
O princípio da segurança prevê que os agentes de tratamento de dados devem utilizar medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
Essas medidas devem ser observadas desde a fase de concepção do produto ou serviço até a sua execução e os sistemas devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na LGPD e em outras normas regulamentares.
Como destacamos neste artigo, os incidentes de dados pessoais têm elevados custos que não se resumem somente às eventuais sanções administrativas ou judiciais.
Com efeito, incidentes de dados pessoais acarretam danos reputacionais extremamente significativos. O dano reputacional é refletido em perda de receita, aumento de custo operacional, queda na confiança dos stakeholders (clientes, fornecedores e outras partes interessadas), entre outras consequências.
O mercado, de modo geral, reage. Evita-se a realização de negócios com quem se envolve em infrações relacionadas a dados pessoais.
Ora, se é sabido que uma parte se envolve com frequência em incidentes com dados pessoais, há, certamente, riscos em estabelecer com ela qualquer tipo de relacionamento, especialmente se considerarmos que:
1) a LGPD prevê responsabilidade para todas as partes envolvidas em um incidente de dados, e;
2) se há vulnerabilidade no sistema de uma das partes, a outra parte também está vulnerável.
Buscando controlar os riscos de eventuais incidentes de dados pessoais que podem levar a danos reputacionais, a LGPD prevê a emissão do Relatório de Impacto à Proteção de Dados – DPIA (Data Protection Impact Assessment). Acesse aqui o nosso artigo sobre este importante documento.
Demais princípios
Os demais princípios da LGPD são:
- Qualidade dos dados: O princípio da qualidade dos dados prevê a garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
- Prevenção: O princípio da prevenção exige a adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
- Não discriminação: O princípio da não discriminação prevê a impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
- Responsabilização e prestação de contas: O princípio da responsabilização e prestação de contas prevê a demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Direitos dos titulares
A LGPD elenca os direitos que são assegurados aos titulares dos dados pessoais.
O titular tem direito de obter do controlador, em relação aos dados por ele tratados, a qualquer momento e mediante requisição, o seguinte:
Confirmação da existência de tratamento
Todo e qualquer titular, sem que se exija qualquer justificativa, possui o direito de meramente confirmar a existência de tratamento de seus dados pessoais (o que tem íntima relação com o princípio da transparência).
Acesso aos dados
O acesso aos dados pressupõe o conhecimento prévio da existência do tratamento. Assim, sendo incontroversa a existência do tratamento, o titular tem o direito de acesso aos dados pessoais tratados pelo controlador.
Ao titular deve ser dado acesso aos seus dados de forma facilitada, com informações claras, adequadas e ostensivas acerca da:
- finalidade específica do tratamento;
- forma e duração do tratamento;
- identificação e informações de contato do controlador;
- informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
- responsabilidade dos agentes que realizarão o tratamento; e
- direitos do titular.
Correção de dados incompletos, inexatos ou desatualizados
O titular tem o direito de que seus dados pessoais incompletos sejam completados, corrigidos ou atualizados. Tal direito tem relação direta com o direito de retificação previsto no artigo 16 do GDPR.
Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD
Um dado anonimizado deixa de ser considerado pela Lei como um dado pessoal. A LGPD prevê que dado anonimizado é o “dado relativo a um titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento”.
Um dado que não permite a identificação do titular não é considerado como dado pessoal para fins da LGPD. Nos termos da Lei, o bloqueio é a suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados.
Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial
Direito que se refere à possibilidade de, junto ao controlador, obter os dados pessoais de forma estruturada e de modo a que possam ser transmitidos a outro controlador.
Eliminação dos dados pessoais tratados com o consentimento do titular
O consentimento do titular é uma das bases legais sobre as quais o agente pode tratar dados pessoais. Tal consentimento pode ser retirado pelo titular a qualquer momento, implicando a eliminação dos dados pessoais a critério do titular.
Veja aqui o nosso artigo especialmente dedicado à base legal do consentimento.
Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados
A LGPD apresenta o conceito de uso compartilhado de dados nos seguintes termos: “comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados”.
Uma vez que é permitido tal uso compartilhado, nos termos da LGPD, assegura-se ao titular dos dados pessoais buscar informação acerca das entidades públicas e privadas com as quais o controlador realizou o uso compartilhado.
Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa
Direito que assegura ao titular de dados a possibilidade de saber que poderá não fornecer o consentimento para determinado tratamento e, adicionalmente, quais seriam as consequências da negativa a esse específico consentimento.
Leia mais sobre os direitos dos titulares de dados e como podem ser garantidos pelas empresas em nosso artido dedicado ao tema: Os direitos dos titulares de dados pessoais na LGPD.
Penalidades
Uma das medidas destinadas ao cumprimento dos objetivos da LGPD é a aplicação de sanções administrativas, que podem ser:
- Advertência, com indicação de prazo para adoção de medidas corretivas;
- Multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 por infração;
- Multa diária, observado o mesmo limite total referido acima;
- Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
- Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
- Eliminação dos dados pessoais a que se refere a infração;
- Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
- Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período;
- Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Tais sanções estão em vigor desde agosto de 2021 e deverão seguir parâmetros e critérios estabelecidos pela própria LGPD, tais como a gravidade e a natureza das infrações e dos direitos pessoais afetados, a condição econômica do infrator e a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar os danos.
Além deste critérios estabelecidos pela LGPD, a Autoridade Nacional de Proteção de Dados (ANPD) publicou, no dia 28 de outubro de 2021, a Resolução CD/ANPD n°1, que disciplina o processo administrativo sancionador. Veja aqui o nosso artigo no qual explicamos em detalhes como o processo deve ocorrer.
Conclusão – a LGPD como oportunidade
Este artigo expôs os aspectos mais relevantes da LGPD, que foi aprovada após intenso debate do Poder Legislativo e também da sociedade.
A despeito de a Lei impor diversas obrigações aos agentes de tratamento, bem como listar sanções administrativas aplicáveis ante seu descumprimento, é relevante destacar que a LGPD pode (e deve!) ser encarada como uma grande oportunidade para as empresas.
Isso porque, assim como outras normas de proteção de dados, a LGPD possui dupla função: a Lei visa à garantia da privacidade, da proteção de dados e de outros direitos fundamentais e também visa a fomentar o desenvolvimento econômico.
Nos primeiros artigos da Lei, observa-se que a disciplina da proteção de dados tem o objetivo de proteger direitos fundamentais e o desenvolvimento econômico-tecnológico e da inovação (artigo 2º da LGPD).
Assim, realizar o mapeamento de todas as atividades da empresa nas quais há o uso de dados pessoais é uma oportunidade para rever certos processos que podem estar obsoletos, causando prejuízos ou impedindo novas possibilidades de negócios.
Trabalhar com uma base de dados pessoais de forma regular permite encontrar maneiras de se gerar renda a partir dessa base de dados. Dizendo de outro modo, utilizar a base de dados em conformidade com a LGPD gera uma inteligência que agrega valor à uma empresa. Mais do que conhecer os dados que a empresa possui, é possível convertê-los em informação útil e monetizável.
Uma das estratégias para a utilização dos dados a fim de se gerar renda é a anonimização. Uma empresa pode fazer uso de dados anonimizados para conhecer melhor o perfil de seu cliente, por exemplo. É possível fazer a eliminação de dados que permitam a identificação individual do cliente e manter dados que permitam saber mais sobre um determinado grupo.
É a chamada privacidade diferencial: uma ciência estatística que busca saber o máximo possível sobre um determinado grupo sabendo o mínimo possível sobre um indivíduo específico.
Em 2017, a revista britânica The Economist, na matéria de capa da edição de 06 de maio, afirmou que “o recurso mais valioso do mundo não é mais o petróleo, e sim os dados”. Essa afirmação continua sendo mais verdadeira do que nunca!
Este folder ilustra os principais impactos da LGPD para as empresas brasileiras. Uma boa assessoria na adequação à LGPD é capaz de promover ótimas oportunidades para que as empresas, além de se verem livres das pesadas sanções que podem sofrer, voltem seu olhar para os dados pessoais que detêm, extraindo deles um potencial até então inexplorado.
Gostou deste conteúdo? Ele foi útil para a sua pesquisa? Esperamos que sim!
Inscreva-se em nossa newsletter para receber nossos textos sobre proteção de dados e outros materiais produzidos pelo escritório.
Você também pode nos avaliar no Google, a sua opinião é muito importante para nós!
*Imagem de Getty Images, no Canva Pro.
[1] VAIZOF, Rony em LGPD: Lei Geral de Proteção de Dados Comentada. Coordenadores: Viviane Nóbrega Maldonado e Renato Opice Blum.2ª Edição. TR Revista dos Tribunais. São Paulo. 2020.
[2] DONEDA, Danilo. Princípios de proteção de dados pessoais. In: LUCCA, Newton de; SIMÃO FILHO, Adalberto; LIMA, Cíntia Rosa Pereira de. Direito & Internet: Marco Civil da Internet. Quartier Latin, 2015.
[3] Eu uso o necessário
Somente o necessário
O extraordinário é demais
Eu digo o necessário
Somente o necessário
Por isso é que essa vida eu vivo em paz
(Balu em “Mogli – O Menino Lobo”)
[4] VAIZOF, Rony em LGPD: Lei Geral de Proteção de Dados Comentada. Coordenadores: Viviane Nóbrega Maldonado e Renato Opice Blum.2ª Edição. TR Revista dos Tribunais. São Paulo. 2020.
Trackbacks/Pingbacks