A Lei Geral de Proteção de Dados (LGPD) representa um marco legal significativo no Brasil, estabelecendo diretrizes para a coleta e utilização de dados pessoais. Oficialmente implementada em 16 de agosto de 2020, a legislação foi ratificada e é regida pela Autoridade Nacional de Proteção de Dados (ANPD). Por isso, é fundamental contar com uma Consultoria LGPD para garantir que sua empresa está em compliance.
Ao contrário de ser a primeira ou única lei de privacidade de dados na América do Sul, a LGPD se destaca como uma das mais amplamente divulgadas na região. Essa notoriedade decorre, em parte, da influência direta do Regulamento Geral de Proteção de Dados da União Europeia (GDPR). Além disso, a LGPD expandiu sua abrangência em várias áreas, seguindo os parâmetros estabelecidos pelo GDPR. A ANPD desempenha um papel crucial na evolução desses parâmetros, assumindo um papel central na aplicação e interpretação da lei.
A implementação da LGPD enfrentou alguns desafios, resultando em um período de implementação mais longo do que o inicialmente previsto. Durante esse tempo, mudanças relevantes ocorreram, tornando imperativo um olhar atualizado sobre os principais aspectos da legislação.
A LGPD regula a coleta e uso de dados pessoais, definindo direitos e responsabilidades tanto para entidades públicas quanto privadas. Entrou em vigor em 16 de agosto de 2020, estabelecendo uma nova estrutura legal para a proteção da privacidade e segurança dos dados no Brasil. A ANPD, como órgão regulador, desempenha um papel vital na supervisão e aplicação da legislação, garantindo sua conformidade e eficácia.
Enquanto a LGPD não representa a única legislação de privacidade de dados na América do Sul, seu destaque na região é notável devido à sua conexão com o GDPR. Essa influência europeia moldou a LGPD e contribuiu para sua visibilidade, resultando em uma legislação robusta que abrange diversos aspectos da proteção de dados.
Além disso, a Consultoria LGPD é fundamental, já que a lei estabelece exceções claras em seu escopo, delineadas no artigo 4º. Essas exceções abrangem situações em que o processamento de dados pessoais é realizado exclusivamente para fins privados e não econômicos, para propósitos jornalísticos, artísticos e/ou acadêmicos, para segurança pública, defesa nacional, segurança do estado ou investigação e repressão de infrações penais.
Adicionalmente, a lei exclui o processamento de dados originários de fora do Brasil, desde que não haja comunicação ou compartilhamento com agentes brasileiros de processamento de dados, ou transferência internacional para um país que não o de origem, a menos que o país de origem ofereça um nível razoável de proteção de dados. Essas disposições refletem a abrangência equilibrada e ponderada da LGPD em relação a diferentes contextos de processamento de dados.
LGPD: definição
A Lei Geral de Proteção de Dados (LGPD) do Brasil representa uma legislação federal destinada a consolidar 40 leis preexistentes, com o propósito de regulamentar o processamento de dados pessoais de indivíduos. Aprovada em 18 de setembro de 2020, a lei possui efeito retroativo, tendo entrado oficialmente em vigor em 16 de agosto de 2020. Como resultado, as penalidades associadas à sua aplicação tornaram-se efetivas a partir de 1º de agosto de 2021, permitindo que titulares de dados e autoridades públicas fizessem valer seus direitos desde 18 de setembro de 2020.
Composta por 65 artigos, a LGPD estabelece diretrizes detalhadas para o processamento de dados pessoais. Os artigos 17º a 22º, em particular, delineiam os direitos dos titulares dos dados, abordando aspectos cruciais relacionados à coleta e tratamento de informações, especialmente no contexto de pessoas singulares. Notavelmente, a LGPD estabelece 10 bases legais para o tratamento de dados pessoais, quatro a mais do que o Regulamento Geral de Proteção de Dados da União Europeia (GDPR).
O artigo 2º da legislação enuncia os princípios fundamentais que norteiam a proteção de dados pessoais. Esses fundamentos incluem o respeito à privacidade, a autodeterminação informacional, a promoção da liberdade de expressão, informação, comunicação e opinião. Além disso, a LGPD abrange a inviolabilidade da intimidade, honra e imagem, bem como promove o desenvolvimento econômico, tecnológico e inovação. Aspectos como livre iniciativa, livre concorrência e defesa do consumidor são igualmente contemplados. A legislação também se compromete a proteger os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania por pessoas físicas.
Dessa maneira, a LGPD não apenas unifica diversas leis existentes, mas também estabelece um arcabouço abrangente e fundamentado nos princípios mencionados, visando salvaguardar os direitos individuais no contexto do processamento de dados pessoais no Brasil.
Quem a LGPD fiscaliza?
A aplicação da Lei Geral de Proteção de Dados (LGPD) no Brasil é definida pelo artigo 3º, estabelecendo que ela abrange qualquer atividade de processamento de dados realizada no território brasileiro. Seja para a oferta de bens e serviços ou para o tratamento de dados de indivíduos localizados no Brasil, a legislação se aplica de maneira abrangente, sem considerar os meios específicos de processamento.
Em outras palavras, a LGPD engloba o processamento de dados conduzido por qualquer pessoa física ou jurídica, seja ela de natureza pública ou privada, como é comumente o caso de empresas e organizações. Nesse contexto, não é exigido que a entidade que realiza o processamento de dados tenha presença física no Brasil ou mantenha sua sede no país. O fator determinante é a localização dos titulares dos dados e onde efetivamente ocorre o processamento. Essa característica, conhecida como extraterritorialidade, é uma característica comum em leis internacionais de privacidade.
A Consultoria LGPD informa o empresário sobre a abrangência territorial que vai além das fronteiras físicas do Brasil, focando na proteção dos dados pessoais dos titulares, independentemente da localização geográfica da entidade responsável pelo processamento. Esse enfoque reforça a importância da privacidade e proteção de dados como direitos fundamentais, alinhando-se a padrões globais de regulamentação e segurança da informação.
Quem está isento da LGPD?
A Consultoria LGPD garante o compliance, já que compreende todo o escopo de aplicação da Lei Geral de Proteção de Dados (LGPD) no Brasil. A qual contempla exceções específicas, conforme delineadas pelo artigo 4º, onde a legislação deixa de se aplicar em determinadas situações. Essas exceções abrangem casos nos quais o processamento de dados pessoais:
Realizado por pessoa singular exclusivamente para fins privados e não econômicos:
- A LGPD não se aplica quando o tratamento de dados é conduzido por uma pessoa individualmente, exclusivamente para propósitos privados e que não tenham uma finalidade econômica.
Realizado exclusivamente para fins jornalísticos, artísticos e/ou acadêmicos:
- A legislação exclui a sua aplicação quando o processamento de dados ocorre de forma exclusiva para propósitos jornalísticos, artísticos ou acadêmicos, reconhecendo a importância dessas atividades na sociedade.
Realizado unicamente para fins de segurança pública, defesa nacional, segurança do estado ou investigação e repressão de infrações penais:
- Exceções são estabelecidas quando o tratamento de dados se destina exclusivamente a atividades relacionadas à segurança pública, defesa nacional, segurança do estado ou investigação e repressão de infrações penais, reconhecendo a necessidade de preservação da ordem pública.
Originário de fora do Brasil e não é objeto de comunicação ou compartilhamento com agentes brasileiros de processamento de dados ou objeto de transferência internacional com outro país que não o país de origem (desde que o país de origem forneça um grau razoável de proteção de dados):
- A LGPD estabelece que, caso o processamento de dados seja originário de fora do Brasil e não envolva comunicação ou compartilhamento com entidades brasileiras de processamento de dados, ou transferência internacional para um país diferente do de origem, a legislação pode não se aplicar, desde que o país de origem ofereça um nível razoável de proteção de dados.
Essas exceções buscam equilibrar a necessidade de proteção de dados com considerações práticas e setoriais, garantindo uma abordagem proporcional e adaptável da LGPD em diferentes contextos.
Quais direitos os consumidores têm devido à LGPD?
Os direitos conferidos aos consumidores sob a Lei Geral de Proteção de Dados (LGPD) são minuciosamente delineados pelo Artigo 18, estabelecendo uma série de prerrogativas que visam empoderar o titular dos dados pessoais em relação ao controlador. Esses direitos, ao serem exercidos de forma eficaz, proporcionam uma maior transparência e controle sobre o tratamento de informações pessoais.
Confirmação do processamento de dados:
- O titular tem o direito de confirmar se seus dados pessoais estão sendo processados pelo controlador.
Acesso aos Dados Pessoais:
- É assegurado ao titular o direito de acessar suas informações pessoais, permitindo uma visibilidade completa sobre quais dados estão sendo tratados.
Correção de dados incompletos, incorretos ou desatualizados:
- O titular pode requerer a retificação de dados pessoais que estejam incompletos, incorretos ou desatualizados.
Anonimização, bloqueio ou exclusão de dados desnecessários, excessivos ou não conformes:
- O titular tem o direito de exigir a anonimização, bloqueio ou exclusão de dados pessoais que sejam desnecessários, excessivos ou que não estejam em conformidade com a legislação.
Portabilidade de dados:
- O titular pode solicitar que o controlador de dados transfira suas informações pessoais para outro provedor de serviços ou produtos, garantindo a portabilidade de dados.
Exclusão de dados pessoais (com exceções conforme descrito no Artigo 16):
- O titular possui o direito de solicitar a exclusão de seus dados pessoais, respeitando as exceções previstas no Artigo 16 da LGPD.Receber Informações sobre Compartilhamento de Dados:
- É garantido ao titular o direito de receber informações detalhadas sobre entidades públicas ou privadas com as quais e como seus dados pessoais foram compartilhados.
Informações sobre direitos de não consentimento e consequências da recusa:
- O titular tem o direito de receber informações claras sobre seus direitos de não conceder consentimento para o processamento de seus dados pessoais, bem como as consequências decorrentes da recusa.
Revogação do consentimento para processamento de dados pessoais:
- O titular pode revogar o consentimento previamente concedido para o processamento de seus dados pessoais, proporcionando um controle dinâmico sobre o tratamento dessas informações.
Esses direitos fundamentais, consagrados pela LGPD, buscam garantir a autodeterminação informacional dos titulares, fortalecendo sua posição no contexto do tratamento de dados pessoais. Essa abordagem proativa visa equilibrar a necessidade de proteção da privacidade com a liberdade do indivíduo no ambiente digital.
Principais definições da LGPD (Lei Geral de Proteção de Dados): Uma exploração detalhada
A Consultoria LGPD ensina muitas coisas, como o fato de que a Lei Geral de Proteção de Dados (LGPD), consubstanciada no Artigo 5, apresenta definições cruciais que fundamentam a compreensão e aplicação desta legislação voltada à proteção da privacidade e segurança dos dados. Algumas das definições mais relevantes e frequentemente invocadas são destacadas a seguir.
Dados pessoais: Refere-se a informações relacionadas a uma pessoa física identificada ou identificável. Esse conceito abarca uma variedade de dados que, quando manipulados inadequadamente, podem comprometer a privacidade e a segurança do indivíduo.
Dados pessoais sensíveis: Diz respeito a informações que, além de identificar um indivíduo, estão associadas a elementos sensíveis como origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, dados de saúde ou vida sexual, dados genéticos ou biométricos. Esses dados têm o potencial de causar danos significativos se utilizados de maneira imprópria.
Em processamento: Abrange qualquer operação realizada com dados pessoais, incluindo desde a coleta até a exclusão, englobando atividades como reprodução, transmissão, armazenamento, avaliação e controle de informações.
Titular dos dados: Refere-se à pessoa física cujos dados estão sendo processados. Este indivíduo detém direitos significativos sobre suas informações pessoais, como garantido pela LGPD.
Controlador: Designa uma pessoa singular ou coletiva, pública ou privada, que toma decisões sobre o tratamento de dados pessoais. Pode se referir a uma empresa ou organização e desempenha um papel central na determinação das práticas de processamento.
Operador: Corresponde a uma pessoa física ou jurídica, pública ou privada, que processa dados pessoais em nome do controlador. Este papel é frequentemente mencionado como “processador de dados” em outras legislações.
Uso compartilhado de dados: Envolve a comunicação, divulgação, transferência internacional ou tratamento partilhado de bases de dados pessoais por entidades públicas e privadas. Este conceito é vital em contextos legais e de negócios, sendo essencial para a transparência no compartilhamento de informações.
Anonimização: Refere-se ao processo técnico, aplicado no momento do tratamento, para remover identificadores dos dados, tornando-os incapazes de associação direta ou indireta a um indivíduo. A LGPD destaca a importância desse processo, exigindo que os dados permaneçam anonimizados e não possam ser revertidos para identificação.
Essas definições críticas da LGPD estabelecem uma base conceitual robusta, garantindo a proteção dos direitos individuais no universo digital e alinhando-se aos princípios fundamentais da privacidade e segurança dos dados.
Definição detalhada de consentimento na LGPD (Lei Geral de Proteção de Dados)
O entendimento preciso do consentimento, sob a égide da LGPD, é crucial para compreender as nuances que regem o tratamento de dados pessoais no contexto brasileiro. O Artigo 5º da LGPD, que abriga as principais definições, destaca o consentimento como a “expressão livre, informada e inequívoca pela qual o titular dos dados concorda com o tratamento de seus dados pessoais para determinada finalidade”.
Expressão livre, informada e inequívoca:
O consentimento, conforme definido, requer que o titular dos dados manifeste sua concordância de forma espontânea e não coagida, com pleno conhecimento e entendimento do propósito para o qual seus dados serão processados. A clareza e a ausência de ambiguidade são essenciais nesse processo, garantindo que a vontade do indivíduo seja respeitada.
Estes princípios de expressão livre, informada e inequívoca também desempenham um papel central em outras legislações de privacidade, solidificando-se como pilares fundamentais na obtenção de consentimento válido.
O Artigo 8º da LGPD complementa essa definição ao estabelecer as condições para a obtenção, recuperação e comprovação do consentimento, além de delinear as circunstâncias em que o consentimento pode ser revogado. Este último aspecto destaca a importância atribuída à autonomia contínua do titular dos dados, conferindo-lhe a prerrogativa de retirar seu consentimento a qualquer momento.
Ativação versus Desativação:
A LGPD adota um modelo de consentimento “opt-in”, o que implica que, na maioria dos casos, as organizações não podem coletar ou processar dados até que o usuário – seja um comprador online, visitante do site ou usuário de aplicativo – conceda seu consentimento. Este requisito abrange não apenas dados pessoais evidentes, como nomes e endereços de e-mail, mas também dados mais discretos, como os coletados pelos cookies do site.
É interessante observar que essa abordagem “opt-in” reflete uma tendência internacional, encontrando paralelos no Regulamento Geral de Proteção de Dados da União Europeia (GDPR) e no POPIA da África do Sul. Nos Estados Unidos, porém, um modelo de “exclusão” de consentimento do usuário prevalece em alguns estados, como Califórnia, Virgínia e Colorado. Nessas jurisdições, as organizações não são obrigadas a obter o consentimento do usuário antes da coleta de dados, exceto em circunstâncias específicas, sendo necessário apenas para a venda de dados, com algumas exceções específicas. Essas nuances refletem a diversidade nas abordagens de consentimento em diferentes contextos legais e geográficos.
Bases legais na LGPD: Explorando as fundamentações para o processamento de dados
O arcabouço legal da Lei Geral de Proteção de Dados (LGPD) do Brasil, delineado no Artigo 7º, oferece um exame detalhado das bases jurídicas que fundamentam o processamento de dados. Em comparação ao GDPR, a LGPD estabelece um total de 10 bases legais, quatro a mais que seu equivalente europeu. Dentre essas bases, o consentimento, já discutido anteriormente, é o primeiro a ser destacado. Além dele, outras bases legais válidas incluem a obrigação legal ou regulamentar do controlador, o cumprimento de contratos e a proteção da vida ou segurança dos titulares dos dados.
A lista completa das bases legais abrange diversas situações, proporcionando uma abordagem abrangente para garantir o tratamento adequado de dados pessoais:
Com o consentimento do titular dos dados:
Onde o titular expressa sua concordância livre e informada para o processamento de seus dados.
Para cumprir as responsabilidades legais ou regulamentares do controlador de dados:
Quando há uma obrigação legal ou regulamentar que justifica o processamento de dados.
Para a administração pública e a execução de políticas públicas estabelecidas em lei, regulamento ou em contratos:
Em cenários que envolvem o interesse público e a execução de políticas governamentais.
Para estudos de pesquisa (anônimos sempre que possível):
Utilização de dados em pesquisas, assegurando a anonimização sempre que viável.
Fazer um contrato:
Quando o processamento é necessário para a execução de um contrato com o titular dos dados.
Exercer a lei brasileira:
Em conformidade com as leis brasileiras, quando necessário para o cumprimento legal.
Para proteger a vida ou a segurança pessoal:
Quando o processamento é vital para a proteção da vida ou segurança dos titulares dos dados.
Por profissionais de saúde ou saneamento, para salvaguardar a saúde de uma pessoa:
Em situações que envolvem profissionais de saúde ou saneamento para preservar a saúde do indivíduo.
Para o interesse legítimo do controlador de dados ou de um terceiro, a menos que isso infrinja os direitos legais do titular dos dados:
Quando existe um interesse legítimo, desde que não prejudique os direitos legais do titular dos dados.
Para proteger as classificações de crédito:
Em cenários relacionados à proteção das classificações de crédito.
Interesse legítimo na LGPD
A utilização do interesse legítimo como base legal para o processamento de dados tem ganhado destaque em várias leis de privacidade, proporcionando uma abordagem que pode simplificar o processo para controladores de dados. No entanto, é crucial ressaltar que as 10 bases legais previstas na LGPD não são hierarquizadas, sendo necessário determinar a mais adequada conforme as circunstâncias específicas. O interesse legítimo, embora represente uma alternativa eficiente, não deve ser a escolha automática ou a última opção, exigindo uma análise cuidadosa em cada contexto. Essa flexibilidade visa assegurar que o tratamento de dados seja conduzido com responsabilidade e consideração pelos direitos individuais, promovendo uma aplicação equilibrada das bases legais estabelecidas pela LGPD.
Significado e implicações do Interesse Legítimo na LGPD
O que significa interesse legítimo?
O termo “interesse legítimo” geralmente denota a utilização de dados pessoais de uma maneira que é razoavelmente esperada, geralmente pelo próprio titular dos dados, e que beneficia tanto o controlador quanto o titular, embora não seja uma exigência legal. A palavra “interesse” abrange uma gama ampla de motivos, desde interesses comerciais até o bem público.
Condições amplas de aplicação na LGPD (Artigo 10):
Sob a LGPD, o interesse legítimo, conforme delineado no Artigo 10, aplica-se em diversas condições amplas, incluindo:
- O processamento de dados oferece benefícios claros, mesmo que não seja legalmente exigido.
- Existe um baixo risco de o processamento violar a privacidade dos titulares dos dados.
- Os titulares dos dados podem razoavelmente esperar o uso de seus dados.
Limitações e requisitos adicionais:
Contudo, as organizações não podem simplesmente invocar o interesse legítimo para sua própria conveniência. O processamento deve ser necessário para uma finalidade específica, exigindo transparência adicional. O uso do interesse legítimo demanda o equilíbrio dos direitos dos titulares dos dados com os interesses dos controladores de dados e, quando aplicável, de terceiros.
Desafios e debates no contexto brasileiro:
No Brasil, o conceito de interesse legítimo é menos consolidado do que na União Europeia, gerando debates sobre o que constitui interesse legítimo e em que circunstâncias sua aplicação é apropriada. Desde a redação da lei, houve preocupações sobre o interesse legítimo ser interpretado como uma licença ampla para os controladores de dados.
Teste de Três Partes e Avaliação de Impacto na Proteção de Dados (DPIA):
Antes de optar pelo interesse legítimo como base legal, é considerada a prática recomendada um teste de três partes:
- Propósito: Qual é o interesse legítimo por trás do processamento?
- Necessidade: O processamento é realmente necessário para o propósito definido?
- Equilíbrio: Quais são os interesses do indivíduo/titular dos dados e como eles se equilibram?
A LGPD confere à ANPD a autoridade de exigir uma Avaliação/Relatório de Impacto na Proteção de Dados (Artigo 38) quando o controlador opta pelo interesse legítimo. Este mecanismo visa identificar e mitigar riscos associados ao processamento, garantindo que não seja mais arriscado do que aquele para o qual o consentimento é exigido. O debate persiste sobre se a DPIA é a abordagem ideal ou se uma avaliação específica de interesse legítimo seria mais apropriada em determinados casos.
Responsabilidades empresariais na Lei Geral de Proteção de Dados no Brasil
Quando uma legislação de privacidade entra em vigor, as organizações inevitavelmente se deparam com questionamentos cruciais sobre sua aplicação e as condições para conformidade. Sob a Lei Geral de Proteção de Dados (LGPD) do Brasil, essas questões são abordadas no artigo 6º, que estabelece os princípios fundamentais que regem o processamento de dados.
Princípios orientadores do processamento de dados:
Finalidade:
Realizar o processamento para fins legítimos, específicos, explícitos e informados ao titular dos dados, sem processamento adicional.
Adequação:
Garantir que o tratamento seja compatível com as finalidades informadas ao titular dos dados, de acordo com o contexto da atividade de tratamento.
Necessidade:
Limitar a atividade de tratamento ao mínimo necessário, com abrangência dos dados proporcional à finalidade declarada.
Acesso Livre:
Assegurar aos titulares dos dados consulta gratuita e fácil sobre a integridade de seus dados pessoais e detalhes sobre a atividade de tratamento.
Qualidade dos Dados:
Garantir a exatidão, clareza, relevância e atualização dos dados dos titulares de acordo com a necessidade e finalidade do tratamento.
Transparência:
Fornecer informações claras, precisas e de fácil acesso aos titulares dos dados sobre o tratamento e seus agentes, respeitando segredos comerciais e industriais.
Segurança:
Utilizar medidas técnicas e administrativas para proteger os dados pessoais contra acessos não autorizados, destruição, perda, alteração, comunicação ou disseminação.
Prevenção:
Adotar medidas para evitar danos decorrentes do tratamento de dados pessoais.
Não discriminação:
Impedir que o processamento seja realizado para fins discriminatórios ilícitos ou abusivos.
Responsabilidade e prestação de contas:
Adotar medidas eficazes para comprovar a observância e o cumprimento das regras de proteção de dados, demonstrando a eficácia dessas medidas.
Padronização de responsabilidades
As responsabilidades empresariais, em linhas gerais, seguem padrões bem definidos. É essencial estabelecer uma finalidade clara e legal para o processamento de dados, juntamente com uma base legal apropriada, antes de qualquer coleta de dados. A coleta e processamento devem ser realizados apenas para dados absolutamente necessários e durante o tempo necessário.
Assim, a segurança na coleta, acesso e armazenamento dos dados é imprescindível. Os titulares dos dados têm o direito de conhecer os detalhes do processamento de seus dados, de consentir ou recusar, e de acessar, corrigir ou excluir esses dados. A conformidade é exigida independentemente da localização da organização que realiza o processamento, desde que ocorra no Brasil e envolva titulares de dados localizados no país.
Diretor de Proteção de Dados (DPO) na LGPD: Um papel essencial
A LGPD estabelece a necessidade de incorporar a privacidade desde o início dos projetos organizacionais, sendo o Diretor de Proteção de Dados (DPO) um componente fundamental para essa abordagem. Cada controlador de processamento de dados (exceto processadores) é obrigado a designar um DPO, incumbido de assegurar o cumprimento das responsabilidades da organização.
O Artigo 40 da legislação detalha os requisitos para a função de Encarregado de Proteção de Dados. Em virtude de uma Ordem Executiva, o DPO não está mais restrito a ser uma pessoa física, permitindo a designação de um comitê, grupo ou terceirização por parte da organização. A lei não apresenta especificidades relacionadas ao porte ou natureza dos negócios da empresa em relação à necessidade de um DPO, com a possibilidade de refinamentos pela Autoridade Nacional de Proteção de Dados (ANPD) ao longo do tempo.
Conforme previsto pelo Artigo 41, a identidade e as informações de contato do DPO devem ser disponibilizadas publicamente. Não há requisitos específicos de credenciais ou experiência para ocupar o cargo, embora futuras alterações possam contemplar essa questão. No entanto, a posse de credenciais ou experiência específica pode facilitar o desempenho das responsabilidades atribuídas ao DPO.
O DPO desempenha um papel crucial na interação com os titulares dos dados, recebendo suas comunicações ou reclamações, fornecendo informações relevantes e adotando medidas que afetem esses titulares. Além disso, o DPO atua como ponto de comunicação e implementa medidas em relação à ANPD, a autoridade nacional.
Assegurar que os funcionários da organização e terceiros pertinentes, como contratados, sejam devidamente treinados nos requisitos de processamento de dados e medidas de segurança é uma responsabilidade central do DPO. Além disso, o DPO desempenha outras funções conforme exigido pela ANPD, contribuindo para a conformidade global com a LGPD.
Transferência de Dados sob a LGPD: Requisitos e considerações
Os requisitos e responsabilidades relacionados à transferência de dados, estabelecidos pela LGPD, guardam semelhanças com o Regulamento Geral de Proteção de Dados (GDPR). O Artigo 33 detalha as circunstâncias em que a transferência internacional de dados é permitida. Como a LGPD possui alcance extraterritorial, é importante observar que, se os titulares dos dados estiverem no Brasil durante o processamento, mesmo que este ocorra fora do país, a LGPD será aplicável, considerando-se que a transferência de dados ocorreu.
As organizações podem realizar transferências de dados pessoais para fora do Brasil, por exemplo, para fins de processamento, sob as seguintes condições:
- Para países ou organizações que oferecem um nível adequado de proteção de dados pessoais aceitável pela ANPD.
- Quando o controlador proporciona e assegura garantias de conformidade com os princípios da LGPD e os direitos dos titulares dos dados, inclusive por meio de cláusulas contratuais.
- Quando a transferência é necessária para cooperação jurídica internacional entre órgãos de inteligência pública, investigação e acusação, em conformidade com o direito internacional.
- Quando a transferência é indispensável para proteger a vida ou segurança física do titular dos dados ou de terceiros.
- Quando a ANPD autoriza explicitamente a transferência.
- Quando existe um acordo de cooperação internacional que permite a transferência.
- Quando a transferência é necessária para a execução de ordem pública ou no cumprimento de atribuição legal do serviço público.
- Quando o titular dos dados concede consentimento prévio e informado para a transferência, com propósito(s) específico(s).
- Quando necessário para atender às condições especificadas nos incisos II, V e VI do artigo.
Limitações podem existir enquanto a ANPD estiver em processo de plena operação e revisão das condições estabelecidas pela LGPD. Nesse ínterim, as empresas podem ficar restritas a condições específicas de transferência de dados, como o consentimento específico e informado ou a necessidade para efetuar a transferência. Embora a LGPD disponha de mecanismos adicionais de transferência, os mencionados acima são os mais relevantes para as operações comerciais em curso.
Procedimentos para relatar violações de dados sob a LGPD
Em caso de ocorrência de uma violação de dados, o controlador está obrigado a notificar a Autoridade Nacional de Proteção de Dados (ANPD) dentro de um prazo considerado “razoável”, caso seja provável ou tenha resultado em risco ou dano aos titulares dos dados. Conforme a orientação da ANPD em 2021, essa notificação deve ser realizada em até dois dias úteis após o conhecimento do incidente, sendo regulamentada pelo Artigo 48 referente aos Incidentes de Segurança de Dados Pessoais.
A notificação à ANPD deve conter as seguintes informações:
- Uma descrição da natureza dos dados pessoais afetados.
- Detalhes sobre os titulares dos dados envolvidos.
- Informações sobre as medidas de segurança em vigor no momento do incidente.
- Avaliação dos riscos criados pelo incidente.
- Justificativas para eventuais atrasos na comunicação.
- Medidas que foram ou serão adotadas para resolver a violação e evitar sua recorrência.
A entidade ou indivíduo responsável pelos dados é encarregado de avaliar o incidente, determinando a natureza, categoria e quantidade de titulares de dados afetados.
A ANPD avaliará a gravidade dos incidentes e poderá emitir ordens para que o controlador adote medidas que protejam os direitos dos titulares dos dados, podendo incluir a divulgação ampla do incidente à mídia, ou ações para mitigar ou reverter seus efeitos.
É importante observar que a ANPD pode estabelecer regras e isenções específicas para a LGPD, direcionadas a pequenas empresas, startups e organizações similares. Essas disposições podem oferecer certa flexibilidade, especialmente em relação à comunicação de incidentes à ANPD e aos titulares de dados, além de prazos para responder a solicitações dessas partes ou da própria ANPD.
Lei Geral de Proteção de Dados e seu impacto nas informações de crianças
A LGPD, à semelhança de várias leis de privacidade, dedica atenção especial à proteção dos dados de crianças, conforme estipulado no Artigo 14. Essas disposições estão alinhadas não apenas com as normativas para a segurança de crianças em outras leis brasileiras, mas também com os princípios constitucionais. Conforme a LGPD, uma criança é definida como qualquer pessoa com menos de 18 anos.
Embora o processamento dos dados de crianças seja permitido, a consideração primordial deve ser para com os melhores interesses das crianças, e o consentimento dos pais (ou de um representante legal) é uma condição obrigatória para todas as atividades de processamento, antes de sua execução.
Os controladores de dados têm a responsabilidade de apresentar informações de maneira clara e acessível sobre os dados solicitados, explicando a finalidade da coleta e uso dessas informações. Além disso, devem empregar esforços razoáveis, utilizando as tecnologias disponíveis, para assegurar a verificação efetiva de que o consentimento foi concedido por um pai ou representante legal.
As condições para o consentimento dos pais para o processamento dos dados de crianças seguem os mesmos princípios aplicados aos adultos – sendo livre, informado, inequívoco, específico e de qualidade excepcional. É proibido solicitar que crianças forneçam informações pessoais além do estritamente necessário ao se envolverem com aplicativos online, jogos ou atividades semelhantes.
Uma exceção parcial a esse requisito ocorre quando a coleta de dados é essencial para entrar em contato com o(s) pai(s) ou representante legal a fim de obter o consentimento para o processamento dos dados da criança. Nesse caso, os dados só podem ser utilizados uma vez e não podem ser armazenados ou compartilhados com terceiros sem o devido consentimento.
Atividades de pós-processamento nos Termos da Lei Geral de Proteção de Dados
Encerramento do processamento de dados
O Artigo 15 da LGPD delineia as circunstâncias nas quais o processamento de dados pessoais deve ser encerrado. Este encerramento ocorre nos seguintes casos:
- Quando a finalidade específica do processamento foi alcançada ou os dados não são mais necessários para alcançá-la.
- Ao término do período de processamento.
- Se o titular dos dados notificar a revogação do consentimento para o processamento.
- Quando a ANPD determina que houve violação das disposições da LGPD.
Exclusão de dados pessoais
O procedimento de exclusão dos dados pessoais coletados é abordado no artigo 16, onde geralmente se estabelece que os dados devem ser excluídos após o término do processamento. As exceções a essa regra incluem:
- Cumprimento de obrigação legal ou regulamentar por parte do controlador.
- Para fins de estudo de pesquisa, garantindo anonimização sempre que possível.
- Transferência para terceiros, desde que respeitados os requisitos legais pertinentes.
- Uso exclusivo do controlador, contanto que os dados sejam anonimizados e não acessados por terceiros.
Penalidades e execução
A ANPD assume o papel de apurar infrações e aplicar penalidades em casos de descumprimento das disposições da LGPD. Tais penalidades podem incluir multas de até 2% da receita anual da organização no Brasil, alcançando um máximo de 50 milhões de reais por violação (aproximadamente € 8-9 milhões ou US$ 9-10 milhões).
Ademais, a ANPD possui autoridade para bloquear o acesso aos dados, impedir o processamento adicional de dados ou exigir a exclusão dos dados pessoais coletados. Os indivíduos também detêm o direito de ação privada, possibilitando processar para buscar danos civis em casos de violações de privacidade.
Reparação de danos ao titular dos dados nos termos da LGPD
Conforme estipulado pelo artigo 42.º, se um controlador de dados ou operador cometer uma infração à Lei Geral de Proteção de Dados do Brasil, resultando em danos patrimoniais, morais, individuais ou coletivos relacionados à proteção de dados pessoais, eles são obrigados a reparar esses danos. Como mencionado anteriormente, titulares de dados individuais também têm o direito de buscar reparação por danos caso sejam prejudicados por uma violação de segurança de dados.
Em situações em que ocorre uma violação prejudicando os titulares de dados, é mais provável que o controlador seja responsável pelos danos. Contudo, quando o operador não cumpre as obrigações de proteção de dados ou não segue as instruções do controlador, ele é “conjunta e solidariamente responsável pelos danos causados pelo tratamento”, juntamente com o controlador.
Consultoria LGPD
A Lei Geral de Proteção de Dados do Brasil, embora recente, está fundamentada nas influências do GDPR e em leis já existentes no país. A Autoridade Nacional de Proteção de Dados (ANPD) desempenhará um papel crucial na maturação e evolução dessas regulamentações.
À medida que a tecnologia continua a avançar, as leis de proteção de dados devem se adaptar. Questões como cookies de terceiros, comércio internacional e proteção infantil são relevantes agora e permanecerão assim. Para manter a conformidade, as organizações precisarão priorizar a privacidade desde o início do design, conciliando-a com metas de receita e construindo relacionamentos sólidos com os clientes. Os riscos associados ao descumprimento são substanciais, e ferramentas como plataformas de gerenciamento de consentimento podem auxiliar as empresas na navegação pelos requisitos da LGPD e na comunicação efetiva com os usuários.