LEI GERAL DE PROTEÇÃO DE DADOS (LGPD)

Em 18 de agosto de 2020 entrará em vigor a LGPD que irá impactar a forma como as empresas tratam dados pessoais de brasileiros.

A lei entende por “dados pessoais” as informações relacionadas à pessoa natural identificada ou identificável, e por “tratamento de dados” toda operação realizada com dados pessoais, como as que se referem à coleta, classificação, utilização, acesso, reprodução, processamento, armazenamento, eliminação, controle da informação, entre outros. Isso significa que praticamente todas as empresas serão afetadas de uma forma ou de outra pela lei.

O objetivo da LGPD é adequar as empresas brasileiras a padrões já utilizados em outros países, principalmente a GDPR (General Data Protection Regulation) da união europeia, regulamentada em 2018 que inclusive foi utilizada como base na definição da lei brasileira. Ela trata, entre outras coisas, da responsabilização das empresas que cometerem erros ou excessos ao trabalharem com dados pessoais de clientes, funcionários ou terceiros.

Pode-se dizer que a grande maioria das empresas só poderá tratar dados pessoais em duas hipóteses: quando o titular dos dados forneceu o consentimento para o tratamento dos dados, e aqui é importante ressaltar que a empresa (controlador de dados) tem o ônus da prova de que obteve este consentimento; ou alegar o legítimo interesse de tratar as informações sem consentimento do titular, o que exigirá das empresas um controle ainda maior, além da exigibilidade de manter de forma clara, a justificativa formal do legítimo interesse, a política de segurança da informação praticada entre outros procedimentos.

Em 29 de maio de 2019, o Senado Federal aprovou a medida provisória nº 869, que cria a Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD e garantir os direitos do titular, dentre eles:

  • Ao término do tratamento de dados, o controlador deverá eliminar (ou, em algumas hipóteses, anonimizar) os dados;
  • O titular tem o direito de poder revogar o consentimento ou questionar a existência de tratamento por parte do controlador;
  • O titular poderá solicitar a informação de quais dados são mantidos pelo controlador;
  • O titular poderá solicitar a eliminação de dados desnecessários;
  • O titular poderá solicitar a transferência de seus dados a outra empresa;
  • A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais (documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco), quando o tratamento tiver como fundamento seu interesse legítimo.

A não observância no disposto na lei por parte das empresas controladoras e/ou operadoras de dados pessoais ou a ocorrência de quebra de segurança, sigilo ou vazamento dos dados pode sujeitar os envolvidos a sanções e multas que podem chegar a 2% do seu faturamento bruto, além da reparação do dano.

Analisando com atenção as informações acima, percebe-se a necessidade que as empresas têm em adequar seus processos internos, sistemas e infraestrutura para garantir a conformidade com os requisitos da LGPD.

Perguntas Frequentes:

  • Quando a Lei entrará em vigor?
  • A Lei Geral de Proteção de Dados entrará em vigor em 16 de agosto de 2020.

  • Minha empresa só faz negócios com pessoas jurídicas. A Lei não trata somente de empresas que fazem negócios com pessoas físicas?
  • A Lei dispõe sobre o tratamento (coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, entre outros) de dados de pessoas físicas, logo, não somente as operações comerciais das empresas, mas todo o setor que tratar dados pessoais será diretamente impactado. Por exemplo, departamento pessoal, recursos humanos, relacionamento com o cliente, marketing, entre outros. Sendo assim, é fácil concluir que praticamente todas as empresas terão que adequar seus processos internos e organização a fim de estar em conformidade com a Lei.

  • O que minha empresa tem que fazer para estar em conformidade?
  • A LGPD deixa claro em que hipóteses as empresas poderão fazer o tratamento de dados pessoais e quais cuidados e restrições estão sujeitas. A primeira atitude é conhecer as bases legais em que o tratamento de dados pessoais ocorre na empresa. Se não puder ser enquadrado, esse tratamento deverá ser revisto. Além disso, é importante entender que conforme o enquadramento há responsabilidades e obrigações respectivas, por exemplo: há consentimento? Os dados são coletados pois há legítimo interesse? Por quanto tempo eu preciso dos dados? Há dados pessoais sensíveis ou de crianças e adolescentes? Feita essa análise, o segundo passo é adequar os sistemas, processos internos e infraestrutura de segurança da informação, seguido pela criação/adequação da política de proteção dos dados. Por último e conforme o caso, deve-se criar a documentação exigida pela lei.

  • Se minha empresa não estiver adequada, o que pode acontecer?
  • A LGPD considera que todas as empresas devem estar adequadas a: coletar e manter arquivado o consentimento expresso dos titulares dos dados tratados, ter estrutura para receber uma solicitação de informações acerca dos dados tratados ou revogação de consentimento, além de comprovar que possuem uma política interna de segurança e boas práticas no tratamento de dados pessoais. Em caso de algum incidente envolvendo o vazamento de dados, além da obrigatoriedade da comunicação do fato à Autoridade Nacional de Proteção de Dados e da reparação do dano, a não comprovação da boa-fé e do cuidado em seguir o requisitado na lei, sujeita a empresa ao pagamento de multa que pode chegar a 2% de seu faturamento anual.

  • Se a Lei entra em vigor somente em 2020 porque devo me preocupar agora?
  • Há necessidade de adequação de processos internos, na infraestrutura de TI e sistemas, além do requisito de se obter consentimento prévio para o tratamento de alguns tipos de dados, ações que exigem uma operacionalização antes da entrada da Lei. Dependendo do estágio em que a empresa se encontra nesse processo evolutivo, podem ser necessários vários meses e investimento financeiro para que se esteja em conformidade.


A Smart Support auxilia seus clientes nessa caminhada, contando com certificação de proteção de dados (DPO) concedido pela ASSESPRO-RS e expertise em processos de boas práticas e governança de TI, incluindo as definidas na família ISO27000 que trata da Segurança da Informação e na Resolução 4.658 do Banco Central do Brasil.

Entre em contato conosco e saiba como podemos ajudá-lo.



Ficou interessado?
Entre em contato conosco e receba uma proposta de atendimento adequada ao seu negócio.