Lei Geral de Proteção de Dados
Após diversos adiamentos, a Medida Provisória n.º 959 foi sancionada pelo Presidente da República e a Lei Geral de Proteção de Dados passa a viger a partir de hoje (18.09.2020). As sanções, no entanto, só serão aplicadas a partir do dia 1º de agosto de 2021.
A LGPD prevê a mudança na forma de coleta, armazenamento, uso e compartilhamento dos dados das pessoas. O objetivo é garantir mais privacidade, segurança e transparência no trato de informações pessoais, permitindo que os cidadãos tenham maior controle sobre seus próprios dados.
Por dados pessoais, entendem-se aqueles que permitem identificar uma pessoa ou torná-la identificável, como por exemplo o nome, endereço, números de documentos, dados de saúde entre outros (art. 5º, I, da LGPD). As empresas ainda devem se atentar aos chamados “dados pessoais sensíveis”, que incluem informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, bem como dado genético ou biométrico (art. 5º, II, da LGPD).
Como regras genéricas, a LGPD determina que todas as empresas devem (i) incorporar a privacidade a todos os estágios de tratamento de dados; (ii) tratar apenas os dados pessoais necessários para uma finalidade específica; e (iii) possibilitar que o titular dos dados acesse às informações armazenadas, revogue o consentimento fornecido e requeira a correção ou eliminação dos seus dados.
Nesse sentido, todos os dados tratados (armazenados) por uma empresa devem estar amparados em uma base legal (finalidade específica), a destacar as seguintes:
- Consentimento do titular
- Cumprimento de uma obrigação legal
- Execução de políticas públicas
- Estudos por órgãos de pesquisa
- Execução de contrato
- Exercício de direitos em processos judiciais
- Proteção da vida e integridade físicas
- Tutela da saúde
- Legítimo interesse
- Proteção do crédito
Ademais, a legislação prevê que as empresas deverão designar profissionais responsáveis para decidir sobre o tratamento dos dados (controlador); realizar o tratamento dos dados (Operador); bem como atender a demanda dos titulares dos dados e interagir com a Autoridade Nacional de Proteção de Dados – competente para fiscalizar o cumprimento da lei.
Eventuais incidentes que levem à perda, alteração ou compartilhamento indevido de dados acarretarão nas seguintes sanções administrativas:
Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: (Vigência)
I – advertência, com indicação de prazo para adoção de medidas corretivas;
II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III – multa diária, observado o limite total a que se refere o inciso II;
IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI – eliminação dos dados pessoais a que se refere a infração;
X – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Neste cenário, certamente as empresas terão que adequar suas estruturas e criar um planejamento de proteção de dados para observar as exigências da LGPD.
Para maiores informações, entre em contato com o escritório e agende uma reunião.
