Tempo de leitura: 12 minutos
Sem tempo para ler? Ouça este post ou baixe para ouvir mais tarde!
Apenas 15% das empresas estão prontas para a adequação à Lei Geral de Proteção de Dados (LGPD), de acordo com a pesquisa da RD Station, empresa de tecnologia e marketing digital, realizada no fim de 2021.
Criada em 2018 e em vigor desde setembro de 2020, o escopo da LGPD ainda gera muitas dúvidas para as empresas que precisam se adequar às regras e evitar as aplicações de multas e sanções.
Acompanhe este material e entenda os objetivos, multas, aplicações e esclareça suas dúvidas sobre essa regulação crucial para todas as organizações brasileiras!
Confira também esse conteúdo em vídeo:
1. O que é a Lei Geral de Proteção de Dados (LGPD)?
A LGPD estabelece normas para a coleta e o tratamento de dados pessoais, a fim de impedir vazamento de dados e assegurar a privacidade e a proteção deles. O intuito da lei é garantir a transparência na relação entre pessoas físicas e jurídicas, especialmente no que diz respeito às formas de coleta, armazenamento e uso dos dados pessoais dos titulares (cidadãos).
A lei prevê que as empresas devem solicitar consentimento claro e objetivo dos titulares de dados para utilizar suas informações pessoais na operação empresarial.
É importante ressaltar que a aplicação das sanções administrativas previstas na LGPD são aplicadas pela Agência Nacional de Proteção de Dados (ANPD). O órgão tem a função de zelar pela proteção de dados pessoais e por implementar e fiscalizar o cumprimento da lei no Brasil.
2. Quais são os objetivos da LGPD?
- Garantir proteção à privacidade;
- Manter a inviolabilidade da honra, da imagem e da intimidade;
- Assegurar a liberdade de expressão, comunicação, informação e opinião;
- Propiciar desenvolvimento tecnológico, econômico e inovação;
- Assegurar os direitos humanos, a dignidade, o exercício da cidadania e o livre desenvolvimento da personalidade;
- Pautar-se pela livre iniciativa, livre concorrência e defesa do consumidor.
3. A Lei já está em vigor?
Como mencionamos anteriormente, a Lei Geral de Proteção de Dados já está em vigor desde setembro de 2020. Já as penalidades da LGPD começaram a ser aplicadas em agosto de 2021. As sanções vão desde advertências a multas de 2% do faturamento, limitadas à R$ 50 milhões de reais.
4. A quem a LGPD se aplica?
A lei se aplica a toda e qualquer empresa ou organização, pública ou privada, que processa dados pessoais de usuários localizados no Brasil. Nesse contexto, ela contempla os seguintes pontos:
- Dados pessoais de indivíduos localizados no Brasil;
- O tratamento de dados que ocorre no país;
- A oferta de bens e serviços para indivíduos no Brasil.
A quais dados a LGPD não se aplica?
- Dados para uso pessoal;
- Dados acadêmicos;
- Dados para fins jornalísticos;
- Segurança pública;
- Dados para uso não comercial;
- Dados provenientes e destinados a outros países, que transitem somente pelo território nacional.
5. O que são dados pessoais?
Em linhas gerais, os dados pessoais são as informações que possibilitam identificar uma pessoa ou torná-la identificável, tais como:
- Nome;
- Endereço;
- CPF, RG e CNH;
- Dados de exames médicos;
- Informações relativas à saúde de modo geral;
- Hábitos de consumo;
- Geolocalização;
- Perfil cultural.
É importante destacar, ainda, uma subcategoria dos dados pessoais que exigem proteção mais rigorosa à sua relevância: os dados pessoais sensíveis.
Trata-se de informações como opinião política, dado biométrico ou genético, filiação a sindicato ou associação de viés filosófico/político/religioso, informações sobre a vida sexual e saúde, convicção religiosa e informações pessoais sobre origem étnica ou racial.
Ressaltamos que o titular de dados pessoais é todo cidadão que tem suas informações pessoais coletadas, armazenadas e utilizadas pelas empresas.
6. Lei Geral de Proteção de Dados: aplicação nas empresas
É preciso ter em mente que a LGPD modifica a forma como as empresas utilizam os dados pessoais de todos os seus contatos, leads, clientes e funcionários. Não por acaso, a implementação da lei demanda revisão de práticas, processos e estratégias, a fim de identificar quais mudanças são necessárias.
Segundo o Artigo 46 da LGPD, a proteção dos dados pessoais é alcançada por meio de medidas de segurança técnicas e administrativas, desde a fase de concepção do produto ou serviço até a sua execução.
Desse modo, no primeiro momento, é importante que os negócios tenham apoio consultivo especializado para entender e delimitar os seguintes pontos:
- Situação atual da empresa;
- Análise do cenário sob o enfoque da LGPD;
- Realização do mapeamento de dados, identificando a aderência das informações à Lei;
- Estruturação e a qualificação dos dados segundo os padrões da Lei Geral de Proteção de Dados, investindo em medidas proativas (Privacy by Default).
Em seguida, deve-se verificar a implementação dos procedimentos de tratamento de dados no âmbito da operação tecnológica. Por fim, é necessário investir em monitoramento para garantir que a adequação esteja em conformidade com as políticas e procedimentos de privacidade, conforme as diretrizes da ANPD.
Confira também 👉 LGPD: como estruturar um plano de respostas ao vazamento de dados
7. Conformidade: quais documentos as empresas devem providenciar?
No processo de adequação, as organizações devem estabelecer suas bases legais para o tratamento de dados, uma documentação com a descrição dos processos de tratamento dos dados pessoais durante todo o ciclo.
Vale lembrar que as informações em questão são aquelas que podem gerar riscos aos direitos fundamentais e às liberdades dos titulares. Por isso, é essencial adotar programas e medidas de cibersegurança, como conscientização e treinamento, auditorias, mapeamento de dados, políticas de proteção, a fim de proteger todas informações.
8. Multas e punições: quais são as sanções previstas na LGPD?
Na Lei Geral de Proteção de Dados (mais precisamente nos artigos 52, 53 e 54 do capítulo VIII) estão previstas as sanções administrativas para as empresas que praticarem infrações de tratamento de dados.
Confira quais são as penalidades:
- Advertência, com a indicação de prazo para a adoção de medidas corretivas;
- Multa simples de até 2% do faturamento da empresa no seu último exercício, excluídos os tributos, limitada a R$ 50 milhões por infração;
- Multa diária, respeitado o limite do Art. 52, II, da LGPD;
- Divulgação da infração ao público, após a devida apuração e a confirmação da ocorrência;
- Bloqueio e eliminação dos dados pessoais a que se refere a infração;
- Suspensão parcial do funcionamento do banco de dados relacionado à infração pelo período máximo de 6 meses (podendo ser prorrogada), até que haja a regularização da atividade de tratamento pelo controlador;
- Suspensão do exercício da atividade de tratamento de dados pessoais a que se refere a infração pelo período máximo de 6 meses, podendo ser prorrogada por igual período;
- Proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados.
Importante destacar que, de acordo com o § 1º do Artigo 52 da LGPD, as sanções só serão aplicadas após o processo administrativo, assegurando a oportunidade de ampla defesa de maneira gradativa, isolada ou cumulativa.
Para tanto, serão consideradas as peculiaridades do ocorrido e alguns critérios, tais como a gravidade da infração, a natureza dos direitos pessoais afetados, a boa-fé do infrator, a vantagem auferida ou pretendida pelo infrator, a reincidência e o grau do dano, entre outros pontos previstos no § 6º do mesmo artigo.
No entanto, toda essa análise não substitui a aplicação de sanções administrativas – civis ou penais – delimitadas na Lei nº 8.078 de 1990 (Código de Defesa do Consumidor), além de outras legislações específicas.
Confira também 👉 Diagnóstico gratuito: Teste o nível de conformidade da sua empresa com a LGPD
9. Lei Geral de Proteção de Dados: próximos passos
A LGPD já está em vigor e toda empresa que não se adequar está sujeita à aplicação de multas. Portanto, é crucial que as organizações se movimentem em direção a conformidade para não arcar com perdas, danos à imagem da marca e multas altíssimas.
Conclusão
Diante de todas as regras e adaptações necessárias, é importante que seu negócio encare a transição para a LGPD não apenas como uma operação fiscal ou trabalhista, mas uma estratégia para agregar valor, pois a segurança da informação é essencial para a continuidade dos negócios.
A adequação à LGPD pode ser mais facilmente alcançada com apoio de uma consultoria especializada, que ajudará na tomada das melhores decisões para evitar quaisquer irregularidades. Afinal, toda infração é passível de fiscalização, autuação, penalidades expressivas e até mesmo reparação indenizatória (dano moral).
Esperamos que tenha esclarecido suas dúvidas sobre esse tema tão relevante para os negócios (e a sociedade como um todo!) nos dias de hoje. Para evitar deslizes e garantir a conformidade com a nova Lei, conte com o apoio da Microservice nessa jornada!
Patrícia Ribeiro Lourenço é advogada, sócia-proprietária do escritório Ribeiro Lourenço Advogados, especialista em Direito Constitucional pela Faculdade Universidade de Blumenau/SC e membro da Comissão de Direito Digital da Ordem dos Advogados do Brasil em Santa Catarina.