Principais disposições da LGPD

Principais disposições da LGPD

Até a aprovação da Lei Geral de Proteção de Dados Pessoais existiam diversas legislações sobre o tema no Brasil, o que gerava insegurança jurídica para os titulares dos dados e para as empresas. Tais regulamentações podem ser observadas no Código de Defesa do Consumidor, Lei do Cadastro Positivo, Marco Civil da Internet, Lei de Acesso à Informação, em regulações setoriais da ANVISA, BACEN, CVM, entre diversas outras.

Até há pouco tempo, a LGPD previa a entrada em vigor de tal nova legislação no dia 14 de agosto de 2020. No entanto, criou-se a Medida Provisória nº 959/2020 que adiou a entrada em vigor para dia 03 de maio de 2021. O grande complicador é que se a MP 959 for rejeitada ou perder a validade, prevalecerá o começo da vigência para 14 de agosto de 2020, como estabelecido pela Lei 13.853, de 2019, responsável pela criação da Autoridade Nacional de Proteção de Dados. Sem qualquer dúvida, essa incerteza jurídica está prejudicando o planejamento de adequação de todas as empresas brasileiras! 

Definições

A LGPD, em resumo, tem o objetivo de regulamentar maior segurança e efetividade o tratamento de dados pessoais por qual pessoa, jurídica ou natural, que o realize com finalidade econômica. Para fins da LGPD, não importa se os dados são tratados de forma online, através de softwares, ou offline, por fichas de cadastro em papel, pois a lei tem como objetivo proteger os direitos fundamentais de liberdade e de privacidade das pessoas.

Assim sendo, a referida legislação vai ser aplicada independente de como, do país da sede da empresa ou de onde estão localizados os dados, se:

  • a operação de tratamento for realizada no Brasil, incluindo-se a coleta;
  • a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços no Brasil; OU
  • o tratamento seja de dados de indivíduos localizados no Brasil.

Por outro lado, não se aplicará a LGPD aos tratamentos de dados que sejam:

  • realizados por pessoa natural para fins exclusivamente particulares e não econômicos, tal qual uma lista de aniversário em um condomínio residencial;
  • realizados com dados anonimizados, ou seja, que não podem identificar ninguém;
  • realizados para fins exclusivamente jornalístico, artísticos ou acadêmicos;
  • realizados para fins exclusivos de segurança pública, defesa nacional, segurança do Estado, atividades de investigação e repressão de infrações penais;

Antes de entrarmos nos detalhes básicos desta novidade legal brasileira, é importante alinharmos o entendimento a respeito de alguns dos principais conceitos trazidos:

  1. Dado pessoal: Informação relacionada a pessoa natural identificada ou identificável. Como exemplo de dados identificados, costumeiramente, podemos citar nome completo, endereço, RG, CPF, CNH, etc.  Quanto aos dados que isoladamente não identificam nenhuma pessoa, mas que quando combinados e analisados conjuntamente podem identificá-la, podemos citar geolocalização, sexo, cookies, cor do cabelo, e-mail, dispositivo eletrônico, entre outros, como espécie de “quebra-cabeça”, no qual uma peça solta não contém a imagem formada após estar montado. 
  2. Dado Pessoal Sensível: Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
  3. Tratamento de dados pessoais: Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

Neste novo contexto, independente da regra a ser aplicada pelas empresas para o tratamento dos dados pessoais, estas sempre deverão considerar os seguintes princípios:

  1. Finalidade: Apenas tratar dados pessoais para fins legítimos, informando ao titular a finalidade do tratamento.
  2. Adequação: Disponibilizar todas as informações sobre o tratamento dos dados pessoais de forma honesta e adequada para a operação.
  3. Necessidade: Manter e utilizar apenas os dados pessoais estritamente necessários, apagando-os quando deixarem de ser essenciais;
  4. Precisão: Manter os dados precisos a todo momento, deletando ou atualizados os dados inexatos;
  5. Livre Acesso: Ter a capacidade de apresentar ao titular todos os dados que refiram a si e como são processados, caso haja requisição neste sentido;
  6. Transparência: Informar ao titular, de maneira clara e acessível, sobre os seus direitos e riscos no que disser respeito aos seus dados pessoais.
  7. Segurança: Tomar todas as medidas administrativas e técnicas aptas a proteger os dados pessoais de danos, furtos ou perdas.
  8. Prevenção: Tomar todas as medidas preventivas necessárias para a proteção dos dados pessoais.
  9. Não discriminação: Não utilizar os dados pessoais para fins discriminatórios, ilícitos ou abusivos;
  10. Responsabilidade: Adotar todos os princípios citados e ter as condições de comprovar a adesão em todos setores da empresa.

Como é feito o tratamento dos dados pessoais

Mas, afinal, como a sua empresa pode se identificar dentro das obrigações da legislação e o que deve ser uma preocupação? As empresas classificam-se perante tal lei como CONTROLADOR ou OPERADOR, conforme decida ou não a respeito do tratamento dos dados pessoais.

O controlador dos dados pessoais é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais, e deve, em resumo:

  1. Implementar medidas técnicas e organizacionais apropriadas, projetadas para implementar os princípios de proteção de dados e para integrar as salvaguardas necessárias no processamento.
  2. Implementar medidas técnicas e organizacionais apropriadas para garantir que, por padrão, somente os dados pessoais necessários para cada finalidade específica do processamento sejam processados.
  3. Manter registro das atividades ligadas ao processamento de dados pessoais, constando informações de detalhes de identificação do CONTROLADOR e do DPO, finalidades de tratamento, descrição das categorias de titulares, categorias de terceiros que recebem dados pessoais compartilhados, transferência internacional, períodos de uso e armazenamento, descrição das medidas de segurança.
  4. Demonstrar o cumprimento das obrigações legais de processamento às quais o controlador está sujeito (legalidade).
  5. Documentar violações de dados para auxiliar na verificação da conformidade com a obrigação de notificação pela autoridade supervisora.
  6. Cooperar com a ANPD.

Por outro lado, o operador dos dados pessoais é pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador, e deve, em resumo:

  1. processar apenas dados pessoais de acordo com as instruções documentadas do controlador
  2. não processar dados adicionais para outros fins incompatíveis;
  3. subcontratar ou terceirizar serviços que envolvam acesso aos dados pessoais, apenas com a autorização prévia e por escrito dos controladores
  4. adotar medidas de segurança adequadas para proteger os dados pessoais;
  5. Disponibilizar ao controlador todas as informações que demonstrem a conformidade com a LGPD.
  6. Cooperar com a ANPD.
  7. Informar o controlador, imediatamente, sobre uma violação de dados;
  8. manter registro das operações de tratamento que realizar, apontando as medidas de segurança, categorias de tratamento e para quais controladores, dados de identificação do operador,  transferência internacional.

A LGPD estabeleceu que o controlador deverá indicar o ENCARREGADO, conhecido internacionalmente como DPO – Data Protection Officer, pelo tratamento de dados pessoais, sendo que a identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico.

As atividades do encarregado consistem em:

I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II – receber comunicações da ANPD e adotar providências;

III – orientar os funcionários e os contratados a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Idealmente, tal profissional deverá ter bons conhecimentos em regulamentação legal de proteção de dados, gestão de projetos e em segurança da informação, não sendo obrigatória nenhuma certificação para tal atuação no Brasil até o momento. No entanto, existem diversas certificações de mercado que possibilitam um selo mínimo de conhecimentos deste profissional, tal como a EXIN e a IAPP, que são entidades internacionais de certificação em privacidade.

Sobre este ponto, a Autoridade Nacional de Proteção de Dados, que está iniciando a sua estruturação, poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, INCLUSIVE HIPÓTESES DE DISPENSA DA NECESSIDADE DE SUA INDICAÇÃO, CONFORME A NATUREZA E O PORTE DA ENTIDADE ou o volume de operações de tratamento de dados.

De qualquer forma, sem dúvida alguma, o tópico que mais demandará atenção e necessidade de alterações de processos internos e documentação dirá respeito aos DIREITOS DO TITULAR. A LGPD trouxe que tal titular tem direito a obter, a qualquer momento e mediante pedido:

  1. confirmação da existência de tratamento de seus dados pessoais;
  2. acesso aos seus dados pessoais;
  3. correção de dados incompletos, inexatos ou desatualizados;
  4. informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
  5. revogação do consentimento;
  6. anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade;
  7. eliminação dos dados pessoais tratados com o consentimento do titular, (…);
  8. portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa(…);
  9. informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados
  10. peticionar em relação aos seus dados contra o controlador perante a ANPD.
  11. opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei.

Como pode-se imaginar, cada direito do titular merecia destaque em um artigo especial – o que poderemos fazer futuramente neste canal. Contudo, para que possamos dar sequência nas principais disposições da LGPD, é importante ficar claro que outros direitos estão espalhados por diversos artigos desta lei, como, por exemplo, quando o tratamento tiver origem no consentimento do titular ou em contrato, o titular poderá solicitar cópia eletrônica integral de seus dados pessoais, nos termos de regulamentação da ANPD, em formato que permita a sua utilização subsequente, inclusive em outras operações de tratamento, bem como o direito de realizar a revisão de decisões automatizadas que afetem seus interesses, como, por exemplo, na formação de profiling, incluindo o perfil de crédito e de consumo.

Após ter os cenários acima claros, é importante que as empresas que sejam controladoras de dados pessoais tenham ciência dos casos que podem fazer uso lícito de dados pessoais. Primeiramente, é necessário deixar claro que existem 10 hipóteses legais para uso destes dados, conforme a LGPD, e que não há sobreposição dentre as hipóteses. Isto é, não existe hipótese “mais forte” que a outra, dependendo exclusivamente da análise de cenário e identificação da mais adequada para a operação do tratamento em questão.

Disposições

A primeira hipótese legal de tratamento de dados pessoais e, talvez, mais conhecida, é o CONSENTIMENTO do titular, que deverá ser livre, específico, informado e explícito, mediante declaração ou ato positivo inequívoco de tal titular. Ou seja, deve ser uma verdadeira escolha para os titulares e se o titular dos dados não puder exercer uma verdadeira escolha, se sentir coagido a dar o consentimento ou sofrer consequências negativas caso não consinta, então o consentimento não é válido. Além disto, se o consentimento estiver agregado a uma parte não negociável das condições gerais do contrato, presume-se que não foi dado livremente. Em termos gerais, qualquer elemento que constitua pressão ou influência desadequada sobre o titular dos dados (que se pode manifestar de formas muito diversas) e que o impeça de exercer livremente a sua vontade tornará o consentimento inválido. 

Como exemplo, não se consideram consentimento inequívocos quando houver a utilização de opções pré-assinaladas de adesão, o silêncio ou a inatividade da parte do titular dos dados, a mera utilização de um serviço, aceite conjunto com o contrato principal, perturbar desnecessariamente o UX, redação ambígua ou complexa.

Para que tal consentimento seja “informado”, é necessário informar o titular dos dados acerca de determinados elementos cruciais:

  1. finalidade específica do tratamento;
  2. forma e duração do tratamento, observados os segredos comercial e industrial;
  3. identificação do controlador;
  4. informações de contato do controlador;
  5. informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
  6. responsabilidades dos agentes que realizarão o tratamento; e
  7. direitos do titular, com menção explícita aos direitos contidos no art. 18 desta Lei.

A segunda hipótese legal de tratamento de dados pessoais é o LEGÍTIMO INTERESSE, que deve ser usado com muita cautela e apenas quando ela for necessária, mediante realização de um teste para validá-lo, pois a comprovação dessa base legal é muito maior do que para qualquer outra!

O “legítimo interesse” considera-se como apoio e promoção de atividades do controlador; e a proteção dos direitos do titular ou prestação de serviços que o beneficiem. Quando o tratamento dos dados pessoais for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados e o controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse.

A terceira hipótese para o tratamento de dados pessoais é para o CUMPRIMENTO DE OBRIGAÇÃO LEGAL OU REGULATÓRIA PELO CONTROLADOR, como, por exemplo, a necessidade de envio de transações financeiras para o Banco Central, envio de informações de colaboradores da empresa para o Governo, entre outras possíveis.

Como quarta e quinta hipóteses legais e que, geralmente, não serão costumeiramente aplicadas nas empresas, podemos citar o tratamento pela administração pública dos dados pessoais necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres; bem como para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais.

Ainda, como sexta hipótese legal, a empresa poderá tratar os dados pessoais quando for necessário para a execução de contrato ou de procedimentos preliminares relacionados ao contrato da qual o TITULAR seja parte, a pedido deste.

A empresa também poderá tratar os dados pessoais de forma lícita quando for necessário o exercício regular de direitos em processo judicial, administrativo ou arbitral (sétima hipótese), para a proteção da vida ou da incolumidade física do titular ou de terceiro (oitava hipótese) e para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais da área da saúde, serviços de saúde ou por autoridades sanitárias (nona hipótese).

Por fim, no que se aplica especialmente ao setor financeiro, as empresas poderão tratar dados pessoais de forma legal e sem consentimento para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente – o que certamente configura uma hipótese interessantíssima se for bem trabalhada.

No que diz respeito aos dados pessoais sensíveis, estes somente poderão ser tratados nas hipóteses abaixo, não sendo permitido o uso do legítimo interesse, por exemplo:

I – com CONSENTIMENTO, de forma específica e destacada, para finalidades específicas;

II – SEM FORNECIMENTO DE CONSENTIMENTO do titular, nas hipóteses em que for indispensável para:

  • cumprimento de obrigação legal ou regulatória pelo controlador; (…)
  • exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;
  • proteção da vida ou da incolumidade física do titular ou de terceiro;
  • tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; ou
  • garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.

Após discorrermos sobre os principais conceitos legais, direitos do titular, hipóteses legais para o tratamento dos dados pessoais, quando, afinal, os controladores deverão parar de realizar tal tratamento?

  1. verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
  2. fim do período de tratamento;
  3. comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento; ou
  4. determinação da ANPD, quando houver violação ao disposto nesta Lei.

Contudo, existem situações em que a empresa não pode excluir tais dados pessoais e cessar o seu tratamento e a LGPD elencou rol específico para deixar este ponto suficientemente claro. Portanto, são exceções para a EXCLUSÃO dos dados pessoais:

  1. cumprimento de obrigação legal ou regulatória pelo controlador; (GUARDA OBRIGATÓRIA)
  2. uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados. 
  3. estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
  4. transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei.

Quem regulamenta?

A ANPD – Autoridade Nacional de Proteção de Dados é o órgão da administração pública federal,  integrante da Presidência da República, responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional, tendo assegurada a autonomia técnica e decisória. Contudo, é importante ficar claro que não é somente a ANPD que poderá fiscalizar a aplicação da LGPD, pois, só para citarmos alguns outros órgãos fiscalizadores, incluem-se os PROCONS, os Ministérios Públicos Federal e os Estaduais, as associações de defesa do consumidor, as associações que tratem especificamente de proteção de dados, poder judiciário, etc.

No que diz respeito à competência da ANPD, dentre várias outras atividades, esta irá zelar pela proteção dos dados pessoais, nos termos da legislação; fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso; editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais; realizar auditorias, ou determinar sua realização, no âmbito da atividade de fiscalização, sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento, incluído o poder público; deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação da LGPD, as suas competências e os casos omissosimplementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com a LGPD; e EDITAR NORMAS, ORIENTAÇÕES E PROCEDIMENTOS SIMPLIFICADOS E DIFERENCIADOS, INCLUSIVE QUANTO AOS PRAZOS, PARA QUE MICROEMPRESAS E EMPRESAS DE PEQUENO PORTE, BEM COMO INICIATIVAS EMPRESARIAIS DE CARÁTER INCREMENTAL OU DISRUPTIVO QUE SE AUTODECLAREM STARTUPS OU EMPRESAS DE INOVAÇÃO, POSSAM ADEQUAR-SE A ESTA LEI

Conforme citado acima, a ANPD poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, principalmente caso utilize-os com base no LEGÍTIMO INTERESSE. No entanto, é claro que a elaboração do RIPD é prática extremamente recomendável, especialmente nos casos de atividades de risco alto aos titulares de dado (independentemente da base legal), sendo tal documento uma das formas mais claras de se comprovar atendimento ao princípio da responsabilização e prestação de contas (art. 6º, X), bem como de se evidenciar a existência de um programa de governança efetivo (art. 50).

Tal relatório deverá conter, no mínimo: 

  1. Descrição dos tipos de dados coletados
  2. Metodologia utilizada para a coleta e para a garantia da segurança das informações, e 
  3. Análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.

Regulações e Sanções

De forma a podermos finalizar esta sequência de artigos que tratam da LGPD, o que ocorrerá com as empresas que não cumprirem a legislação ou que sejam vítimas de violação de dados?

Como medida imediata, o CONTROLADOR deverá comunicar à ANPD e ao TITULAR DOS DADOS a ocorrência de violação de dados pessoais que possa acarretar risco ou dano relevante aos titulares. Tal violação de dados pessoais é considerada como uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento. Caso a empresa atue como OPERADOR, ela deverá comunicar ao CONTROLADOR a ocorrência de violação de dados pessoais.

Este comunicado será feito em prazo razoável, conforme definido pela ANPD, e deverá mencionar, no mínimo:

I – a descrição da natureza dos dados pessoais afetados;

II – as informações sobre os titulares envolvidos;

III – a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados;

IV – os riscos relacionados ao incidente;

V – os motivos da demora, no caso de a comunicação não ter sido imediata; 

VI – as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

Por outro lado, o tratamento de dados pessoais será considerado irregular quando a empresa deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:

I – o modo pelo qual é realizado;

II – o resultado e os riscos que razoavelmente dele se esperam;

III – as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.

Como não é novidade no ordenamento jurídico brasileiro, o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais causar dano é obrigado a repará-lo e estará sujeito às infrações administrativas previstas na LGPD citadas abaixo:

I – advertência, com indicação de prazo para adoção de medidas corretivas;

II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) POR INFRAÇÃO. No cálculo do valor da multa de até 2% do faturamento, a ANPD poderá considerar o faturamento total da empresa ou do grupo de empresas, quando não dispuser do valor do faturamento no ramo de atividade empresarial em que ocorreu a infração ou quando o valor for apresentado de forma incompleta ou não for demonstrado de forma inequívoca e idônea.

III – multa diária;

IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;

V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

VI – eliminação dos dados pessoais a que se refere a infração;

(VII, VIII, IX VETADOS)

X – suspensão do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;  

XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; 

XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.  

Importante ficar claro que as sanções previstas nos incisos X, XI e XII serão aplicadas somente após já ter sido imposta ao menos 1 (uma) das sanções de que tratam os incisos II, III, IV, V e VI do caput deste artigo para o mesmo caso concreto e em caso de controladores submetidos a outros órgãos e entidades com competências sancionatórias, ouvidos esses órgãos.   

É importante frisar novamente que a aplicação de sanções administrativas NÃO substitui as eventuais sanções judiciais. Assim sendo, além da referida multa administrativa a Empresa também pode ser responsabilizada perante as ações judiciais eventualmente propostas pelos titulares dos dados!

A LGPD, no que diz respeito ao debate a respeito de eventual infração, foi clara ao estabelecer a limitação do juiz poder inverter quem deverá provar que possui ou não infringiu o direito, de forma que a empresa poderá ser OBRIGADA A PROVAR que cumpriu a LGPD, ao invés do titular comprovar que teve o seu direito violado. Nesse sentido, pela LGPD, a empresa somente não será responsabilizada quando comprovar que:

I – que não realizaram o tratamento de dados pessoais que lhes é atribuído;

II – que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou

III – que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.

Afinal, como me adequar?

De forma objetiva, concluindo nossos estudos sobre o tema, podemos considerar que a adequação da empresa à LGPD contempla 6 (seis) etapas principais:

ETAPA 1 – CONSCIENTIZAÇÃO: Trata-se do momento de preparar a empresa para as atividades da conformidade com as regras de proteção de dados, bem como de realizar a conscientização inicial dos envolvidos. Esta etapa possui como objetivo familiarizar a organização e seus colaboradores com o método do projeto e identificar que a LGPD deve balizar todos negócios que dizem respeito ao tratamento de dados pessoais.

ETAPA 2 – MAPEAMENTO DE DADOS PESSOAIS: Trata-se do momento em que são identificadas as atividades de tratamento de dados pessoais na empresa e possui como objetivo conhecer e mapear detalhadamente as atividades de tratamento de dados materialmente relevantes, os fluxos de tais atividades, as suas relações contratuais com os fornecedores e parceiros e os documentos internos relevantes às atividades.

ETAPA 3 – ANÁLISE: Trata-se do momento que devem ser analisadas as atividades de tratamento mapeadas, bem como todos os documentos utilizados, com o objetivo de pontuar as lacunas em contraste com as regras da LGPD, de forma a identificar todos os descumprimentos da LGPD pela empresa.

ETAPA 4 – PLANEJAMENTO: Trata-se do momento em que a empresa definirá um cronograma para a execução das atividades necessárias à adequação da LGPD e tem como objetivo estabelecer por onde e como deve ser iniciada a implementação.

ETAPA 5 – IMPLANTAÇÃO: Trata-se do momento em que são implantadas todas as atividades que visam a conformidade técnica e organizacional da empresa à LGPD, bem como a prevenção de riscos, e tem como objetivo executar as demandas previstas no plano de ação, as quais costumeiramente incluem treinamentos, alterações de contratos com clientes e fornecedores, documentação para o departamento de recursos humanos e revisões de processos internos.

ETAPA 6 (PERMANENTE) – MONITORAMENTO: Trata-se de etapa permanente e que reinicia o ciclo das etapas anteriores através da manutenção de um programa de governança em proteção de dados pessoais e privacidade, com o objetivo de garantir que a empresa mantenha as suas atividades em nível adequado de conformidade legal mesmo diante de eventuais alterações no modelo de negócios.


Disclaimer: Este artigo foi escrito por Luiz Gustavo Garrido: Sócio do GTD Advogados; DPO | Data Protection Officer certificado pela EXIN, que certifica profissionais de TI em mais de 165 países, especialista em LGPD; Trabalha há 7 anos com a adequação jurídica de organizações às legislações a respeito de privacidade, já tendo atendido mais de 200 projetos (startups e companhias). | L.L.M. (Legum Magister) em Direito Corporativo pelo Instituto Brasileiro de Mercado de Capitais – IBMEC. | MBA em Gestão, Empreendedorismo e Marketing pela PUC/RS. | Membro da Comissão Especial de Relações Internacionais e Integração do Mercosul da OAB/RS.


Analise, compare e invista

A Comdinheiro oferece Soluções completas para uma análise confiável do mercado de ações, fundos, renda fixa e consolidação de ativos.