LEI Nº 13.709, DE 14 DE AGOSTO DE 2018 LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS

1. VIGÊNCIA DAS PENALIDADES DA LGPD. Os dispositivos da Lei Geral de Proteção de Dados, no que se refere às penalidades aplicáveis às empresas que a descumprirem, pela Lei n. 14.010, de junho de 2020, tiveram sua aplicação adiada para 01.08.2021. As penalidades são: a) advertência, com indicação de prazo para adoção de medidas corretivas; b) multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil, no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; c) multa diária; d) publicização (tornar público) da infração; d) bloqueio dos dados pessoais a que se refere a infração até a sua regularização; e) eliminação dos dados pessoais a que se refere a infração; f) suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;  g) suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;  h) proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

2. EFETIVAÇÃO DO SISTEMA. O adiamento das penalidades aplicáveis, não significa que as empresas possam descuidar da implementação das normas que regem o sistema. Importante desde logo conhecer as disposições da lei, conscientizar-se dos seus propósitos e concretizar a organização, estrutura e sistemas para a efetivação da Proteção de Dados Pessoais.

3. CRIAÇÃO DA LGPD / IMPORTÂNCIA. A LGPD dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Diante de sua extensão e complexidade, este resumo oferece uma visão de atitudes e providências a serem adotadas, conjugando-se com os trabalhos compreendidos no COMPLIANCE, que podemos conceituar como o controle interno das empresas e instituições, objetivando a conformidade com as normas e leis, das quais destacaremos pontos fundamentais, proporcionando maior segurança a quem objetiva o cumprimento e garantia de relações éticas, legais e transparentes.

4. IMPLEMENTAÇÃO / SISTEMAS / ETAPAS / CONSCIENTIZAÇÃO. A LGPD deve ser implementada mediante sistemas e etapas, que compreendem o conhecimento e a conscientização dos integrantes de uma pessoa jurídica, seja de direito privado ou público. A intenção principal é oferecer uma visão ampla da importância e conteúdo da LGPD, que contém regras e orientações para seu cumprimento.

5. TITULARIDADE DOS DADOS PESSOAIS. Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade. O titular dos dados pessoais tem direito a: (i) obter do controlador, dentre outras situações, a correção de dados incompletos, inexatos ou desatualizados; e (ii) solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.

6. FUNDAMENTOS DA PROTEÇÃO DE DADOS. A disciplina da proteção de dados pessoais tem como principais fundamentos: (i) a privacidade; (ii) a liberdade de expressão, de informação, de comunicação e de opinião; (iii) a inviolabilidade da intimidade, da honra e da imagem; (iv) a livre iniciativa, a livre concorrência e a defesa do consumidor;  (v) os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

7. RESPONSÁVEIS DIRETOS. São responsáveis diretos pela operação dentro de uma organização o Controlador e o Operador:

I – O CONTROLADOR é toda pessoa natural ou jurídica, de direito público ou privado, a quem compete às decisões referentes ao tratamento de dados pessoais, incumbido de garantir transparência e comunicação com o titular dos dados pessoais durante todo o ciclo de vida do dado coletado, além de orientar o operador sobre a forma como deverá desempenhar suas atividades quando o dado pessoal for compartilhado.  Um dos seus deveres é a elaboração de “relatório de impacto” à proteção de dados pessoais que é a documentação que deverá conter a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco. Outros deveres do Controlador são os seguintes: (i) ônus de comprovar que o consentimento obtido junto ao titular, nos casos em que essa for a base legal adequada, foi realizado em conformidade com o disposto na Lei; (ii) a indicação do Encarregado pelo tratamento de dados pessoais, devendo ser divulgadas publicamente a identidade e as informações deste, preferencialmente no sítio eletrônico do controlador; (iii) comunicar à Autoridade Nacional e ao titular dos dados, a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares; (iv) adotar medidas para garantir a transparência do tratamento de dados quando esse for baseado no legítimo interesse.

II –  O OPERADOR pode ser uma pessoa natural ou jurídica, de direito público ou privado, subordinado ao CONTROLADOR na cadeia de tratamento de dados pessoais, onde realiza o tratamento de dados pessoais em nome do Controlador, tendo como obrigação o seguimento, à risca, das instruções fornecidas por este e a observância dos termos da Lei, sendo ele o responsável pelo ressarcimento de danos causados ao titular dos dados, que podem ser patrimonial, moral, individual ou coletivo, violando as normas da LGPD.

8. SANÇÕES ADMINISTRATIVAS / RESPONSABILIDADE CIVIL / REPARAÇÃO DE DANOS //. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos a sanções administrativas aplicáveis pela autoridade nacional, dentre elas: (i) advertência; (ii) multas; (iii) publicização da infração; (iv) suspensão parcial do funcionamento do banco de dados a que se refere a infração; (v) proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. Ademais, o Controlador ou o Operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. Embora no caso de incidente de privacidade com lesão ao Titular, a responsabilidade civil, em princípio, seja do OPERADOR de dados, ela se dá de acordo com o estágio da operação em que residiu a falha, de tal forma que, em determinadas hipóteses, poderá haver solidariedade entre o OPERADOR e o CONTROLADOR.

9. MEDIDAS DE SEGURANÇA. Os Agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito realizado.

10. CONDIÇÕES PARA REALIZAR O TRATAMENTO DE DADOS. O tratamento de dados pessoais somente poderá ser realizado: (i) mediante o fornecimento de consentimento pelo titular; para o cumprimento de obrigação legal ou regulatória pelo controlador; (ii) pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres; (iii) por solicitação do titular dos dados, quando necessário para a execução de procedimentos preliminares relacionados a contrato do qual seja parte o titular; (iv) para o exercício regular de direitos em processo judicial, administrativo ou arbitral; (v) para a proteção da vida ou da incolumidade física do titular ou de terceiro; (vi) para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; (vii) quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; (viii) para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

11. FINALIDADE / CONSENTIMENTO ESPECÍFICO. De qualquer forma, o tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização. O Controlador, que necessitar comunicar ou compartilhar os dados com outros Controladores, deverá obter, preferencialmente por escrito, o consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento. Não obstante, a dispensa do consentimento não desobriga os agentes de tratamento das demais obrigações, especialmente da observância dos princípios gerais e da garantia dos direitos do titular.

12. DIREITOS DO TITULAR DOS DADOS PESSOAIS. O titular dos dados pessoais tem direito a obter do Controlador, a qualquer momento e mediante requisição: (i) a confirmação da existência de tratamento; (ii) o acesso aos dados; (iii) a correção de dados incompletos, inexatos ou desatualizados; a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na Lei; (iv) a portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial; (v) a eliminação dos dados pessoais tratados com o consentimento do titular; (vi) a informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; (vii) a informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; (viii) a revogação do consentimento.

13. DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES. Tratando-se de dados pessoais de crianças e de adolescentes o sistema somente poderá operar com o consentimento específico pelo menos por um dos pais ou pelo responsável legal.

14. ANONIMIZAÇÃO / PSEUDONIMIZAÇÃO. Dados pessoais podem e devem ser anonimizados para a realização de estudos por órgão de pesquisa, não sendo eles considerados dados pessoais, salvo quando o processo de anonimização (“utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo”) ao qual foram submetidos for revertido. Na realização de estudos em saúde pública por exemplo, os órgãos de pesquisa poderão ter acesso a bases de dados pessoais, que serão tratados exclusivamente dentro do órgão e estritamente para a finalidade de realização de estudos e pesquisas e mantidos em ambiente controlado e seguro, conforme práticas de segurança previstas em regulamento específico e que incluam, sempre que possível, a anonimização ou pseudonimização (“tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro”) dos dados, bem como considerem os devidos padrões éticos relacionados a estudos e pesquisas.

15. ENCERRAMENTO DO TRATAMENTO. O tratamento terminará em casos nos quais: (i) se constate ter sido alcançada a sua finalidade; (ii) os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada; (iii) ocorra o fim do período de tratamento; (iv) haja comunicação do titular ou determinação da autoridade nacional. Os dados serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para finalidades contempladas na lei, como no caso de estudo por órgão de pesquisa, sempre que possível seja garantir a anonimização dos dados pessoais.

16. TRATAMENTO POR PESSOAS JURÍDICAS DE DIREITO PÚBLICO. O tratamento de dados pessoais pelas pessoas jurídicas de direito público deverá ser realizado para o atendimento de sua finalidade pública, e desde que: (i) informadas das hipóteses em que, no exercício de suas competências, esteja sendo realizado o tratamento de dados pessoais; (ii) sejam fornecidas informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades. Havendo infração a LGPD em decorrência do tratamento de dados pessoais por órgãos públicos, a autoridade nacional poderá enviar informe com medidas cabíveis para fazer cessar a violação.

17. TRANSFERÊNCIA INTERNACIONAL DE DADOS. A transferência internacional de dados pessoais somente é permitida em certos casos, como quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na LGPD.

18. REGISTRO DAS OPERAÇÕES DE TRATAMENTO DE DADOS PESSOAIS. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse. O operador deve realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria e que deverá indicar encarregado pelo tratamento de dados pessoais.

19. MEDIDAS DE SEGURANÇA. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo: (i) reclamações e petições de titulares; (ii) as normas de segurança; (iii) os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento; (iv) as ações educativas; (v) os mecanismos internos de supervisão e de mitigação de riscos; (vi) outros aspectos relacionados ao tratamento de dados pessoais. Ao estabelecer regras de boas práticas, o controlador e o operador levarão em consideração, em relação ao tratamento e aos dados; (i) a natureza; (ii) o escopo; (iii) a finalidade; e (iv) a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular.

20. PROGRAMA DE GOVERNANÇA EM PRIVACIDADE. Observados a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos dados, o Controlador poderá implementar, – em especial a perdido da autoridade nacional ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de conduta, – um Programa de Governança em Privacidade, demonstrando a sua efetividade em privacidade quando apropriado.

21. AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS / COMPETÊNCIA. A Autoridade Nacional de Proteção de Dados (ANPD) é um órgão da administração pública federal, integrante da Presidência da República, de natureza jurídica transitória, a qual poderá ser transformada pelo Poder Executivo em entidade da administração pública federal indireta, submetida a regime autárquico especial e vinculada à Presidência da República. Dentre inúmeros itens que contemplam a competência da ANPD, cite-se: (i) zelar pela proteção dos dados pessoais, nos termos da legislação; (ii) elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;  (iii) fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso; (iv) apreciar petições de titular contra controlador após comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação;  (v) promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança;  (vi) promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade.

22. CONSELHO NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS E DA PRIVACIDADE. Haverá também o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade que será composto de 23 (vinte e três) representantes, titulares e suplentes, dos seguintes órgãos:  (i) 5 (cinco) do Poder Executivo federal;  (ii) 1 (um) do Senado Federal; (iii) 1 (um) da Câmara dos Deputados; (iv) 1 (um) do Conselho Nacional de Justiça;  (v) 1 (um) do Conselho Nacional do Ministério Público;  (vi) 1 (um) do Comitê Gestor da Internet no Brasil; (vii) 3 (três) de entidades da sociedade civil com atuação relacionada a proteção de dados pessoais; (viii) 3 (três) de instituições científicas, tecnológicas e de inovação;  (ix) 3 (três) de confederações sindicais representativas das categorias econômicas do setor produtivo; (x) 2 (dois) de entidades representativas do setor empresarial relacionado à área de tratamento de dados pessoais; e  (xi) 2 (dois) de entidades representativas do setor laboral.

23. COMPETÊNCIA DO CONSELHO NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS E DA PRIVACIDADE. Compete a esse Conselho: (i) propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e para a atuação da ANPD; (ii) elaborar relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados Pessoais e da Privacidade;  (iii) sugerir ações a serem realizadas pela ANPD; (iv) elaborar estudos e realizar debates e audiências públicas sobre a proteção de dados pessoais e da privacidade; (v) disseminar o conhecimento sobre a proteção de dados pessoais e da privacidade à população.

24. ORDENAMENTO JURÍDICO. Os direitos e princípios da LGPD não excluem outros previstos no ordenamento jurídico relacionado à matéria ou nos tratados internacionais em que o Brasil seja parte.

Curitiba, 21 de setembro de 2020

CLEVERSON MARINHO TEIXEIRA

Advogado, Consultor Jurídico da Associação Comercial do Paraná.

________________________________________________________________________