Geral 19min de Leitura - 18 de junho de 2021

LGPD, tudo que você precisa saber sobre a lei de proteção de dados

LGPD lei geral proteção de dados

This post is also available in: Português

A Lei Geral de Proteção de Dados (LGPD), de número 13.709/2018, é algo novo, que afeta todas as empresas do país, gerando muitas dúvidas e confusões.

A Lei passou a vigorar em 18 de setembro de 2020. Porém, por força da Lei de número 14.010/2020, suas sanções só passarão a vigorar a partir do dia 01 de agosto de 2021.

A nova lei regulamenta o uso, a proteção e a transferência de dados pessoais tratados dentro de todo o território brasileiro, com o objetivo de proteger os direitos fundamentais de liberdade e privacidade.

Essa Lei se aplica a qualquer pessoa, tanto física quanto jurídica, sendo pública ou privada, que faça o tratamento de dados pessoais, até mesmo aqueles que foram coletados antes da Lei ser criada e passar a vigorar.

Para atender as exigências da LGPD, as empresas e instituições terão que adaptar-se mediante a criação de cultura interna de proteção de dados pessoais e privacidade, pois a Lei confere direitos aos titulares e deveres aos controladores.

Continue a leitura para saber o que é a LGPD, como ela afeta os cidadãos e as empresas do país, como funcionarão as multas, quem fiscalizará o cumprimento da Lei, assim como outras informações necessárias para o entendimento pleno da mesma.

Tópicos abordados:

  • O que é LGPD?
  • Princípios da LGPD
  • Dados Protegidos pela Lei
  • Quais são os “atores” envolvidos na Lei?
  • Bases legais
  • Quando é permitido realizar o tratamento?
  • Quem deve estar em conformidade com a LGPD
  • Quais as obrigações das empresas que processam dados pessoais?
  • Direitos dos titulares frente às empresas, segundo a LGPD
  • O que seu negócio pode perder se não se adequar a LGPD?
  • Como garantir o cumprimento aos princípios da LGPD?
  • O que determina a LGPD em caso de vazamento de dados?
  • Punições
  • A LGPD é válida apenas para empresas brasileiras?
  • Quem fiscaliza a LGPD?

O que é LGPD?

A LGPD é a abreviação de Lei Geral de Proteção de Dados, e é a legislação brasileira que determina uma nova forma para como os dados dos cidadãos podem ser coletados e tratados.

Embora no Brasil já existissem diversos artigos e leis que direta ou indiretamente regulamentavam a proteção à privacidade e aos dados pessoais, a LGPD unificou importantes conceitos, obrigações, direitos e consequências pelo seu descumprimento.

Muito além da instituição de obrigações e deveres, a lei também visa fomentar o desenvolvimento econômico, especialmente para empresas que negociam com países que já possuem legislação específica para proteção dos dados pessoais e exigem a mesma equiparação de legislação nacional. É o caso da União Europeia desde a entrada em vigor da GDPR (General Data Protection Regulation) em maio de 2018.

A LGPD foi aprovada em agosto de 2018 e previa o período de 18 meses para entrada em vigor, ou seja, fevereiro de 2020. Contudo, a Lei só entrou em vigor em setembro de 2020.
A Lei também é responsável pela criação dos chamados Agentes de Tratamento de dados pessoais, nas figuras do Controlador e do Operador. Eles podem ser uma pessoa física ou jurídica, de direito público ou privado.

Ao controlador, compete as decisões referentes ao tratamento de dados pessoais, enquanto ao operador, a realização do tratamento em nome do controlador.

A principal obrigação estabelecida pela LGPD, para os Agentes de Tratamento, é a de manter registros de todas as operações de tratamento. E tal determinação se deu em decorrência do princípio de prestação de contas incorporado pela LGPD.

O projeto de aplicação da LGPD é mais do que necessário e relevante para o país, pois as leis existentes que garantem o direito à intimidade e ao sigilo de comunicações não contemplam o cenário tecnológico atual.

Princípios da LGPD

Com o novo regramento, são assegurados aos titulares a privacidade durante todo o ciclo de vida dos dados, ou seja, desde o momento da captura, tratamento e compartilhamento, até a exclusão das informações pessoais.

Além disso, a LGDP e demais Leis, aprovadas em outros países, que igualmente buscam a proteção dos dados pessoais também visam garantir a autodeterminação informativa, que é o direito que os indivíduos possuem de autodeterminar suas informações pessoais, de modo que ele possa decidir sobre a coleta e uso dos seus dados pessoais.

Assim, no intuito de garantir a tutela destes e outros direitos é que o legislador apontou, no artigo 6º da LGPD, que todo tratamento de dados pessoais deve respeitar, acima de tudo, a boa-fé, enquanto princípio geral que rege as relações jurídicas. Além deste, apontou outros 10 princípios que o tratamento de dados deve respeitar:

Finalidade

Realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.

Adequação

Compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento.

Necessidade

Limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.

Livre acesso

Garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.

Qualidade dos dados

Garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.

Transparência

Garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial.

Segurança

Utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

Prevenção

Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.

Não discriminação

Impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos.

Responsabilização e prestação de contas

Demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Dados protegidos pela Lei

A lei tem como principais fundamentos a proteção à privacidade, a liberdade de expressão e a inviolabilidade da intimidade, honra e imagem.

Estes alicerces merecem elevada atenção, especialmente considerando que vivemos em uma sociedade cada vez mais movida por dados. Tendo isso em mente, a lei protege todo e qualquer dado que identifica, ou a partir do qual possa ser identificada, uma pessoa natural (física). CPF, RG, endereço, IP, tipo sanguíneo, são exemplos destes tipos de dados.

A LGPD também regulamentou a proteção dos chamados dados sensíveis, aqueles que dizem respeito à raça, religião, filosofia, política e orientação sexual.

Mas o que representa essa proteção, afinal? Significa que os titulares passam a ter direitos mais claros sobre os seus dados, como por exemplo, saber para qual finalidade os dados estão sendo capturados e processados, a forma e a duração do processamento dos dados, quem é o controlador (pessoa responsável) e o meio para contatá-lo.

E mais, a obtenção dos dados pelas empresas vai depender do consentimento expresso do titular, de forma clara e objetiva, indicando também a finalidade para qual o dado está sendo capturado.

Quais são os “atores” envolvidos na Lei?

De acordo com o Artigo 5º da Lei, é possível identificar quatro atores, que possuem papéis distintos, como apresentado a seguir:

  • Titular: É toda e qualquer pessoa, cujos dados pessoais são objeto de tratamento.
  • Controlador: Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
  • Operador: Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
  • Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
  • Encarregado: Pessoa natural, indicada pelo controlador, que atua como canal de comunicação entre o controlador, os titulares e a autoridade nacional.
  • Agentes de tratamento: são representados pelo controlador e operador.

Bases legais

A Lei expressamente pontuou 10 hipóteses autorizadoras para o tratamento de dados pessoais, e atribuiu a elas o nome de bases legais.

Dessa forma, todo e qualquer tratamento somente poderá ser efetuado se pautado em uma das bases legais:

  • I- Mediante o fornecimento de consentimento pelo titular;
  • II- Para o cumprimento de obrigação legal ou regulatória pelo controlador;
  • III- Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
  • IV- Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
  • V- Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
  • VI- Para o exercício regular de direitos em processos judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
  • VII- Para a proteção da vida ou da incolumidade física do titular ou de terceiros;
  • VIII- Para a tutela da saúde, exclusivamente em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
  • IX- Quando necessário para atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
  • X- Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Quando é permitido realizar o tratamento?

Com o uso do consentimento

O consentimento é uma das bases legais de maior relevância para o tratamento de dados, muito embora seja apenas uma das dez bases legais definidas pelo art. 7º, da Lei Geral de Proteção de Dados. Isso porque houve grande preocupação por parte do legislador sobre a participação e o controle do titular na transmissão de suas informações pessoais.

Este tratamento é pautado na manifestação de vontade livre, informada e inequívoca do titular, devendo o controlador coletar o consentimento e manter as evidências de sua obtenção.

O consentimento pode ser usado como base de um tratamento de dados destinado ao envio de e-mail marketing. Para o recebimento deste e-mail, o usuário poderia, por exemplo, se cadastrar no site de uma empresa e fornecer o seu consentimento expresso após ler a política de privacidade da mesma.

As demais hipóteses de tratamento previstas pela LGPD são taxativas e dispensam o consentimento do titular.

Com base na proteção ao crédito

Esta base legal, prevista pelo inciso X, do art. 7º, permite que órgãos como SPC e Serasa possam realizar o tratamento de dados para assegurar a proteção ao crédito. Ela também permite que as empresas possam consultar os dados de seus clientes nestes órgãos para fins de concessão de crédito.

A base legal da Proteção ao Crédito foi implementada em consonância com a Lei do Cadastro Positivo, a qual regulamenta o banco de dados de adimplentes, relatórios e algoritmos de risco de crédito.

É importante destacar, ainda, que o uso indevido destes dados pode acarretar na responsabilização da instituição financeira em questão.

Para estudo por Órgão de Pesquisa

Para o uso desta base legal, o órgão ou entidade deve, primeiramente, se enquadrar no conceito de órgão de pesquisa do artigo 5º, inciso XVIII, da LGPD, que preceitua que o mesmo pode pertencer à administração pública direta ou indireta ou ser pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no Brasil, e ter como objetivo ou missão institucional a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico.

Ademais, o próprio dispositivo legal recomenda que, sempre que for possível, sejam anonimizados os dados dos titulares que participarem desta pesquisa.

A título de exemplo, o IBGE, que se enquadra como Órgão de Pesquisa, poderia utilizar esta base legal para efetuar o censo demográfico.

Para a proteção da vida ou da incolumidade física do titular ou de terceiro

O tratamento de dados pessoais destinados à proteção da vida ou da incolumidade física somente poderá ser realizado em casos restritos nos quais for constatado o risco à vida ou à integridade física do titular.

A título de exemplo, podemos citar o uso de dados de geolocalização de um telefone celular para localizar indivíduo que pode estar em meio a escombros de um prédio, após a ocorrência de um terremoto.

Destinado à Execução de Políticas Públicas

A base legal da execução de políticas públicas, prevista pelo art. 7º, III, da Lei Geral de Proteção de Dados, deve ser utilizada exclusivamente pela Administração Pública para o tratamento de dados pessoais dos cidadãos quando estes forem imprescindíveis para realizar atividade destinada à solução de demandas da sociedade.

Logo, esta base pode ser utilizada como base legal em casos como a realização de campanhas de vacinação e para regular o padrão de qualidade do ensino público.

Para o Exercício Regular de Direito

A base legal do exercício regular de direito será utilizada para preservar os direitos constitucionais do contraditório e da ampla defesa em processos judiciais, administrativos ou arbitrais.

Portanto, nas hipóteses em que os dados dos titulares forem necessários para o exercício de direitos em alguma demanda, estes poderão ser retidos exclusivamente para esta finalidade, como, por exemplo, o caso dos empregadores que armazenam os dados dos ex-empregados após a rescisão contratual para utilizá-los caso seja ajuizada ação perante a Justiça do Trabalho.

Para a Execução de Contrato ou diligência pré-contratual

Neste caso, o tratamento dos dados é indispensável para a execução do contrato ou de uma diligência pré-contratual que foi demandada pelo titular. Citamos como exemplo as situações em que o titular adquire um produto que será entregue em sua casa, no prazo de 5 (cinco) dias úteis. Para o cumprimento do contrato de compra e venda, com a entrega do objeto comprado, é essencial que o vendedor trate dados como nome, endereço e CPF do comprador.

Já nas hipóteses do tratamento destinado aos procedimentos preliminares ao contrato, podemos utilizar como exemplo a contratação de um empregado, na qual o empregador deverá coletar dados pessoais para firmar o contrato de trabalho.

Para o cumprimento de obrigação legal

Esta base legal será utilizada sempre que o tratamento de dados for necessário para cumprir uma determinação legal, prevista em lei federal, estadual ou municipal, ou uma norma, como decretos e resoluções. Como exemplo, podemos citar o tratamento de dados para fins de registro de ponto dos funcionários.

Tutela da saúde

Os profissionais da saúde, como médicos, enfermeiros e nutricionistas, e as entidades que fazem parte do Sistema Nacional de Vigilância Sanitária, como a ANVISA e a FIOCRUZ, podem realizar o tratamento de dados para tutelar a saúde dos titulares, sendo vedado o desvio dessa finalidade.

Esta base legal pode pautar o tratamento de dados destinado à realização de um exame ou consulta médica, por exemplo.

Interesse legítimo do controlador ou terceiros

Conforme prevê o artigo 10, da LGPD, o tratamento de dados realizado pautado no legítimo interesse pode ocorrer nas seguintes situações: a) para o apoio e promoção de atividades do controlador; e b) para a proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais.

Estas hipóteses foram trazidas pela Lei de forma exemplificativa, sendo possível que o legítimo interesse funcione como base legal em outras hipóteses, desde que possua finalidades legítimas e que o titular, ao fornecer os seus dados, possua a expectativa de que os mesmos serão tratados. Neste caso, deverá haver uma relação prévia entre o titular e o controlador.

Quem deve estar em conformidade com a LGPD?

Como já mencionado, todo e qualquer dado que identifique ou possa identificar uma pessoa natural passou a estar protegido pela lei desde a sua entrada em vigor. Engana-se quem pensa que somente empresas que se utilizam da captura de dados por meio online (marketing, conteúdo, etc.) é que precisam se adequar à Lei de Proteção de Dados. O que já se pode afirmar é que todas as empresas do país terão que realizar consideráveis ajustes em suas rotinas para obedecer a nova regulamentação.

É importante lembrar que não apenas os dados de clientes estarão sob a proteção da nova lei, mas também as informações arquivadas sobre funcionários e terceirizados deverão ser adequadas. Até mesmo registros de ex-colaboradores, como por exemplo uma prova de seleção para emprego, ou informação sobre o seu plano de saúde, serão abarcadas pela lei.

A lei deve ser observada tanto por entes públicos quanto privados, ainda que tenha feito algumas distinções entre ambos. E os dados protegidos podem estar online ou offline, mesmo que de forma escrita/impressa.

Quais as obrigações das empresas que processam dados pessoais?

A preocupação com a segurança da informação não é novidade no país. Embora cada vez mais estejamos tomando conhecimento acerca de incidentes relacionados à vulnerabilidade das empresas, que têm sofrido ataques e vazamento de dados que podem resultar em prejuízos exorbitantes para as companhias, seus parceiros, colaboradores e clientes.

A LGPD instituiu uma série de encargos às pessoas físicas e jurídicas que fazem o processamento de dados pessoais com finalidade econômica. Como é o caso dos consultórios médicos, escritórios, corretores imobiliários, contadores, e toda uma gama de empresas e negócios que coletam, manipulam e/ou fornecem informações pessoais.

O primeiro ponto a ser avaliado é que o tratamento de informações pessoais somente pode ser realizado se fundamentado em pelo menos uma das 10 hipóteses previstas na lei. Como, por exemplo, para a proteção do crédito, o cumprimento de uma obrigação legal, o exercício regular de um direito em processo judicial, administrativo ou arbitral, a realização de estudos por órgãos de pesquisa, quando houver interesse legítimo ou, ainda, quando houver consentimento do titular do dado.

Uma vez encontrada a base legal que autorize a captura, tratamento e armazenamento dos dados, a empresa deverá cumprir determinados requisitos como a finalidade do tratamento, a forma e duração, identificação do controlador e seus contatos, responsabilidade dos agentes que realizarão o tratamento, etc.

Além disso, deverão adequar suas operações para garantir o exercício dos direitos pelos titulares, que mediante requisição poderão solicitar a correção, anonimização, eliminação, portabilidade das informações, etc.

Direitos dos titulares frente às empresas, segundo a LGPD

Além de restrições que as empresas precisam respeitar, os indivíduos também têm direitos quanto à gestão dos seus dados pelas empresas:

  • Ter acesso aos seus dados;
  • Confirmar a existência do tratamento;
  • Corrigir dados incompletos. Inexatos ou desatualizados;
  • Solicitar a eliminação dos dados excessivos ou tratados;
  • Realizar a portabilidade para outra empresa;
  • Pedir a revogação do consentimento;
  • Informar todas as instituições com as quais os dados foram compartilhados;
  • Informar as consequências de não conceder a permissão.

O que seu negócio pode perder se não se adequar à LGPD?

Não é demais lembrar que uma vez capturado o dado, a empresa passa a ser responsável pela guarda do mesmo, podendo ser responsabilizada por qualquer incidente a ele relacionado.

Desta forma, o descumprimento das obrigações previstas na LGPD poderá ensejar a responsabilização da pessoa física ou jurídica que processou a informação em razão de questionamentos e demandas movidas diretamente pelos titulares dos dados, tanto na área cível quanto criminal.

Além disso, a empresa ainda deve se submeter à fiscalização da Agência Nacional de Proteção de Dados (ANPD), entidade criada para controlar a atividade do tratamento dos dados no país, podendo exigir a apresentação periódica de relatórios e informações, além da aplicação de sanções.

As penalidades aplicadas pela ANPD vão desde a imposição de sanções administrativas, como a execução de medidas corretivas, publicização da infração, bloqueio e eliminação dos dados (medidas que sabidamente podem colocar em risco a operação e a reputação da empresa), até o arbitramento de multas que podem chegar ao montante de R$ 50.000.000,00 (cinquenta milhões de reais) por infração.

Isso tudo sem falar que, como em qualquer outra atividade, as pessoas físicas e jurídicas, que realizam o processamento de dados estão sujeitas à fiscalização e eventual responsabilização pelo Ministério Público (Estadual e Federal) e Procon, que podem, inclusive, manejar ações judiciais para apuração de danos coletivos, cujas indenizações podem atingir patamares altíssimos, já que destinadas a indenizar toda a comunidade.

Como visto, a edição da Lei Geral de Proteção de Dados Pessoais exige que as empresas e profissionais cujas atividades incluem a captura, tratamento, compartilhamento ou fornecimento de dados adequem suas operações de modo a garantir a sobrevivência e competitividade de seus negócios. Para tanto, é imprescindível contar com uma equipe multidisciplinar especializada na área jurídica e de segurança da informação para a instituição de políticas de governança, implementação de normas de segurança, readequação de alguns processos, revisão dos instrumentos contratuais da empresa, realização de treinamentos, tudo no intuito de evitar a aplicação das pesadas penalidades previstas na lei.

O caminho para a conformidade com a LGPD tem complexidade nível de complexidade variado, de acordo com a realidade de cada negócio. Dar os primeiros passos rumo a conformidade é imprescindível para todas as organizações, assim como a busca por auxílio de empresas especializadas para tornar este processo menos custoso.

Como garantir o cumprimento aos princípios da LGPD

Não restam dúvidas de que a observância aos princípios da LGPD, antes elencados, demandarão uma série de adequações na maioria das empresas de todo o país. E a consequência não tem como ser outra! O desatendimento aos princípios elucidados, além de outras obrigações previstas pela lei, pode ensejar, por si só, na imposição de uma série de penalidades, desde multas até publicização e exclusão de dados.

Ou seja, para garantir a busca pela conformidade é necessária a revisão dos procedimentos, através de metodologias estruturadas, por meio de equipe treinada da área técnica e jurídica e mediante análise de todo o ciclo de vida dos dados dentro da empresa.

E em caso de vazamento de dados, o que determina a LGPD?

A LGPD estabelece que vazamento de dados, ou problemas de segurança que comprometem os dados de seus clientes e colaboradores, devem ser relatados às autoridades competentes em tempo hábil.

O cenário relatado será analisado pela ANPD, que indicará quais os próximos passos para a empresa seguir.

Punições para o descumprimento da LGPD

A punição para casos de descumprimento da LGPD varia de acordo com a situação analisada e da gravidade do cenário em questão.

Primeiramente, as autoridades analisam se houve mesmo ou não um caso de infração da LGPD.

Caso seja comprovada a infração, a LGPD estipula que sua empresa poderá receber desde advertências até uma multa equivalente a 2% do seu faturamento (limitado ao valor máximo de R$ 50 milhões).

Há também a possibilidade de ter as suas atividades ligadas ao tratamento de dados total, ou parcialmente suspensas e, responder judicialmente a outras violações previstas pela LGPD, quando for o caso.

A LGPD vale apenas para empresas brasileiras?

Esta é uma dúvida de muitos empresários, pois o Brasil é um país que possui muitas empresas estrangeiras, que têm operação no território brasileiro, mas que não são daqui.

Porém, a origem da empresa, ou organização, não é fator de exceção para aquilo que é proposto pela LGPD. As determinações da Lei valem para operações de tratamento de dados realizados no Brasil, ou em outro país, desde que a coleta de dados seja realizada em território nacional brasileiro.

Ou seja, se uma empresa coleta dados de um usuário no Brasil, mas processa esses dados no México, ela deve seguir a legislação brasileira.

Quem fiscaliza a LGPD?

Como citado anteriormente, o órgão responsável pela implementação e fiscalização da LGPD é a ANPD – Autoridade Nacional de Proteção de Dados -, conforme dispõe a Lei 13.853.

A ANPD foi criada, com autonomia técnica e decisória, para fiscalizar e editar diretrizes relacionadas à proteção, coleta, armazenamento e distribuição de dados pessoais dos cidadãos brasileiros.

Segundo o Artigo 55 da lei, fica estabelecido que a natureza jurídica da ANPD é transitória. Ou seja, caso o Poder Executivo decida, após dois anos da entrada da lei em vigor, o órgão poderá ser alçado à categoria de administração pública federal indireta, sendo então submetida a um regime autárquico – que preserva sua autonomia – especial vinculado à presidência da república.

Como citado anteriormente, a ANPD foi criada para implementar e fiscalizar a LGPD. Porém, essa não será a única função do órgão.

O Artigo 55 da Lei 13.853 estabelece o que compete à Autoridade Nacional de Proteção de Dados. Os principais deveres e responsabilidades do órgão são:

  • Zelar pela proteção dos dados pessoais nos termos da legislação, incluindo a Lei Geral de Proteção de Dados;
  • Zelar pela observância dos segredos comerciais e industriais, ao mesmo tempo que preserva a proteção de dados pessoais e o sigilo de informações protegidas por lei;
  • Elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
  • Fiscalizar e aplicar sanções em casos de descumprimento à legislação no que diz respeito ao tratamento de dados, assegurando o contraditório, a ampla defesa e o direito de recurso;
  • Gerenciar petições do indivíduo titular dos dados pessoais contra o controlador, após comprovação do cidadão de que o controlador não solucionou sua reclamação no prazo determinado pela LGPD;
  • Promover entre a população o conhecimento e a conscientização sobre as normas e as políticas públicas sobre proteção e privacidade de dados pessoais, assim como estudos sobre o tema;
  • Estimular as instituições a adotar padrões para seus serviços e produtos que tornem mais fácil para os indivíduos controlarem seus dados pessoais, levando em consideração as particularidades da atividade e do porte das organizações;
  • Atuar de forma cooperativa com as autoridades de proteção de dados pessoais de outros países;
  • Divulgar as melhores práticas para a publicidade das operações de tratamento de dados pessoais, preservando os segredos comerciais e industriais;
  • A qualquer momento, solicitar que as entidades do poder público prestem informações sobre o âmbito, a natureza dos dados e quaisquer outros detalhes do tratamento de dados realizado por elas;
  • Editar relatórios de impacto à proteção de dados pessoais nos casos em que o tratamento dessas informações represente alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos por lei;
  • Elaborar e divulgar relatórios anuais discorrendo sobre a gestão de suas atividades, que devem incluir o detalhamento das receitas e despesas do órgão;
  • Ouvir os agentes de tratamento e a sociedade em matéria de interesse relevante e prestar contas sobre suas atividades e planejamento;
  • Realizar auditorias ou providenciar a realização de auditorias sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento, incluindo do poder público;
  • Designar agentes de tratamento para eliminar irregularidades, incertezas e situações de risco relacionados ao tratamento e à privacidade de dados pessoais;
  • Editar normas, orientações e procedimentos diferenciados, inclusive quanto aos prazos, para auxiliar microempresas, empresas de pequeno porte, empresas de inovação e startups a se adequarem às regras de proteção e privacidade de dados;
  • Garantir a simplicidade, a clareza, a acessibilidade e a devida adequação do tratamento dos dados pessoais de idosos;
  • Comunicar as infrações penais relacionadas à lei às autoridades competentes e, quando o descumprimento for por parte de órgãos e entidades da administração pública federal, também aos órgãos de controle interno;
  • Implementar mecanismos simplificados, inclusive pela internet, para o registro de reclamações e denúncias sobre o tratamento de dados pessoais em desconformidade com a lei.

Como pudemos ver, a LGPD é uma lei de extrema importância para garantir a segurança de dados dos cidadãos, além de ser importante para o país ter uma política clara sobre a privacidade de dados da sua população.

Isso não somente ajuda a aumentar a segurança online das empresas do país, como também blinda a população de atores mal-intencionados.

Para as empresas, uma das maneiras mais adequadas para iniciar o processo de conformidade com a Lei é a identificação do nível atual de conformidade do negócio. O mesmo pode ser obtido através da ferramenta Diagnóstico LGPD, disponibilizada gratuitamente pela OSTEC.

Nossos especialistas estão de prontidão para tirar todas as suas dúvidas, assim como nossa parceira Dédalo, que lhe ajudará a entrar em conformidade com a Lei. Além disso, ela pode esclarecer as dúvidas dos cidadãos quanto aos seus novos direitos.

This post is also available in: Português