LGPD – Em que me afeta e como atuar?



A LGPD – Lei Geral de Proteção de Dados Pessoais vem trazendo dor de cabeça a empresários de todos os segmentos, ramos de atuação e tamanhos. Basta você possuir dados pessoais de clientes, fornecedores ou funcionários para que seja afetado por essa lei.


Vamos entender melhor o que é, a quem se aplica, que tipo de informações devem ser protegidas, multas e sanções administrativas aplicáveis, órgãos reguladores e o mais importante, como e quais medidas adotar para estar protegido atendendo aos requisitos legais.


Tecnicamente falando, a LGPD – Lei Geral de Proteção de Dados Pessoais (Nº 13.709) de 14 de agosto de 2018 dispõe sobre a proteção de dados pessoais, altera o Marco Civil da Internet (Lei nº 12.965, de 23 de abril de 2014) e já sofreu alterações dispostas pela Lei Nº 13.853, de 8 de julho de 2019.


Essa lei brasileira foi desenvolvida com base em uma lei europeia de teor semelhante a GDPR (General Data Protection Regulation) aprovada em abril de 2016 e entrou em vigor em maio de 2018.



Vigência


Aprovada em agosto de 2018, o primeiro prazo estabelecido pela lei foi 28/12/2018, relacionado à criação do órgão regulamentador e do conselho:

  • Art. 55 – Criação da Autoridade Nacional de Proteção de Dados (ANPD)

  • Art. 58 – Criação do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade

Para o atendimento dos demais requisitos, o prazo é 15/08/2020.



Quem é impactado


Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados e conforme o artigo 4º esta Lei NÃO se aplica ao tratamento dos seguintes dados pessoais:


I - realizado por pessoa natural para fins exclusivamente particulares e não econômicos;

II - realizado para fins exclusivamente:

a) jornalístico e artísticos; ou

b) acadêmicos

III - realizado para fins exclusivos de:

a) segurança pública;

b) defesa nacional;

c) segurança do Estado; ou

d) atividades de investigação e repressão de infrações penais; ou

IV - provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto na Lei.



Tipo de dado impactado


Efetivamente, a Lei se aplica a dados que possam identificar a pessoa e dados pessoais sensíveis vinculados a uma pessoa natural, dispondo o seguinte:


I - dado pessoal:

  1. informação relacionada a pessoa natural identificada ou identificável;

II - dado pessoal sensível, quando vinculado a uma pessoa natural:

  1. dado pessoal sobre origem racial ou étnica;

  2. convicção religiosa;

  3. opinião política;

  4. filiação a sindicato ou a organização de caráter religioso, filosófico ou político;

  5. dado referente à saúde ou à vida sexual;

  6. dado genético ou biométrico.



Sanções Administrativas


Trazendo aqui o texto da Lei, no que tange as sanções administrativas.


“Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:


I - advertência, com indicação de prazo para adoção de medidas corretivas;


II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;


III - multa diária, observado o limite total a que se refere o inciso II;


IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;


V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;


VI - eliminação dos dados pessoais a que se refere a infração;”


Os valores e sanções não chegam a ser tão severos quanto os da lei europeia, mas não são brandos a ponto que possam ser negligenciados.


Antes da aplicação efetiva das sanções, os “acusados” terão oportunidade de ampla defesa e algumas práticas adotadas pelas organizações podem amenizar ou até anular as sanções, seguem algumas delas:

  • a reincidência;

  • o grau do dano;

  • a adoção de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados;

  • a adoção de política de boas práticas e governança;

  • a pronta adoção de medidas corretivas;

  • entre outras.



Macro etapas para um projeto de adequação


A fim de buscar o atendimento à legislação e minimizar seu impacto adverso sobre o negócio, preparamos alguns passos básicos que deveriam ser seguidos:

  1. Diagnóstico de tipo, quantidade e fluxos dos dados pessoais

  2. Identificação, classificação e rotulação de dados pessoais

  3. Análise e avaliação do nível de dano possível destes dados pessoais

  4. Avaliação dos controles existentes e o quanto esses controles reduzem os possíveis danos

  5. Planejamento e criação de um plano para reduzir os possíveis danos

  6. Criar o relatório de impacto à proteção de dados pessoais

  7. Criar e aplicar uma política de boas práticas e governança



E aí, gostou das dicas?


Como está o seu planejamento para adequar a sua empresa à LGPD?


Conte nos comentários e compartilhe nas redes sociais.


Posts Em Destaque

Posts Recentes

Arquivo

Procurar por tags

Siga

  • Facebook Basic Square
  • Twitter Basic Square
  • Google+ Basic Square

Todos os direitos reservados a Qualytool Consulting Group - 2001

qualytool@qualytool.com    Av. João Venzon Netto, 105 - Caxias do Sul, RS 

  • Facebook ícone social
  • LinkedIn Qualytool