LGPD

Prévia do material em texto

LGPD – SENAI - Lei Geral de Proteção de Dados Pessoais - tem por objetivo proteger os dados pessoais, preservando a privacidade das pessoas, ao determinar às organizações diretrizes para o tratamento de dados pessoais dos indivíduos, evitando práticas abusivas e criminosas.
Portanto, a LGPD não tem o intuito de engessar o desenvolvimento tecnológico e econômico, mas sim regulamentar o tratamento dos dados para que sejam utilizados de forma ética e responsável.
Dados e informações
Quando falamos da quantidade de dispositivos, pessoas e a crescente expansão da internet, precisamos esclarecer alguns pontos importantes e o primeiro deles é a diferença entre dados e informações.
E é assim que dados e informações são relacionados: as pecinhas do quebra-cabeça são os dados que, quando organizados e processados, tornam-se informações úteis, conforme mostra o esquema a seguir.
Dados pessoais e dados pessoais sensíveis
A LGPD aborda nossos dados em duas situações:
Dados pessoais
São aqueles que se traduzem em informação relacionada à pessoa natural (ou física) identificada ou identificável, permitindo ou não a individualização do titular, direta ou indiretamente, por meio dos dados utilizados.
Exemplos: nome, nome dos pais, RG, CPF, número da carteira de habilitação etc.
Em outras palavras, informação identificada refere-se aos dados que identificam imediatamente o seu titular, como nome, RG, CPF etc. Já informação identificável trata-se de dados que estão relacionados ao titular, mas indiretamente, como a placa de um carro, perfis comportamentais (tendências de consumo, gostos e interesses), geolocalização (sua localização precisa, por meio do uso do GPS de celulares, por exemplo).
Dados pessoais sensíveis
São dados pessoais que podem trazer um perigo maior relacionado a situações de preconceito ou de segurança às pessoas.
Exemplos: origem étnica, convicção religiosa, opinião política, filiação a sindicato, dados referentes à saúde ou à vida sexual, dado genético ou biométrico, entre outros.
A LGPD tem o objetivo de proteger os direitos fundamentais de liberdade e de privacidade, bem como o livre desenvolvimento da personalidade da pessoa natural. Por isso, os dados protegidos pela LGPD são aqueles que se traduzem em informação relacionada à pessoa natural identificada ou identificável
Assim que os dados são cruzados e analisados com inteligência de mercado, eles se tornam informações e ganham valor. E quando tratados em larga escala, considerando os dados de muitas outras pessoas, geram tendências e perfis de consumo que movimentam a economia mundial, das pequenas às grandes empresas.
Para você entender como os dados são transformados em informações, faremos uma analogia com a produção de uma cadeira feita de madeira. A madeira é considerada a matéria-prima que ganha valor agregado após a produção do móvel.
As organizações, tanto públicas quanto privadas, executam um processo similar quando coletam os dados que fornecemos direta ou indiretamente para elas, com ou sem o nosso consentimento.
Esses dados são uma matéria-prima valiosa que, após serem analisados, permitem a definição de estratégias de mercado. Por exemplo, os dados coletados no senso demográfico, após analisados pelo governo, permitem definir estratégias para o bom uso dos recursos públicos, como educação, saneamento básico, cultura, criação de programas, entre outros. Já uma empresa privada utiliza os dados coletados dos seus clientes para desenvolver e aprimorar produtos e serviços, direcionar publicidade, criar experiências personalizadas, entre outras ações.
. Como os dados são coletados?
A coleta de dados é realizada por meio dos formulários e cadastros, físicos ou eletrônicos, que preenchemos com nossos dados pessoais para contratação de serviços, por exemplo.
Essa coleta, que já é um tratamento de dados, conforme você verá na próxima unidade, ocorre a todo momento em muitos contextos, nas organizações públicas ou privadas, visando diversas finalidades. Para uma empresa realizar atividades de vendas online, por exemplo, precisará, no mínimo, dos dados cadastrais, financeiros e do endereço dos consumidores para executar seus serviços. Da mesma forma, uma empresa que queira implementar o trabalho remoto precisará usar os dados cadastrais para autenticar seus funcionários, fazer o controle da jornada de trabalho e mitigar o risco de horas extras, mantendo os registros eletrônicos de acesso.
Na internet, a troca de dados e informações entre as pessoas e o mundo digital começa a ocorrer a partir do momento em que nos conectamos pelos nossos celulares e computadores.
No caso dos celulares que estão conectados a todo momento pelas redes móveis, podemos entender que o acesso aos nossos dados é praticamente contínuo.
Dessa forma, a tecnologia permite individualizar você e seus passos pelo mundo (digital ou físico) e também consegue mapear seus interesses.
Você já deve ter recebido telefonemas ou mensagens de várias organizações, oferecendo produtos ou serviços, mesmo não tendo nenhum vínculo ou passado alguma informação para essa empresa, certo?
O caso a seguir exemplifica como esse tipo de situação ocorre:
A coleta e a utilização de dados são importantes e necessárias às atividades das organizações públicas e privadas, sendo a moeda da economia digital, de forma geral. No entanto, a partir de agora, há uma legislação específica, visando a proteção de dados, que determina às organizações diretrizes para a coleta e o uso de dados pessoais dos indivíduos.
Situações como as apresentadas acima, como a coleta e o compartilhamento de dados, sejam por meio de formulários físicos ou automáticos, sem a ciência e o consentimento do titular dos dados, não são mais permitidas pela LGPD, além de serem passíveis de sanções administrativas, conforme você verá mais à frente.
Proteção da privacidade
Se por um lado as grandes empresas disputam nossos dados, por outro devemos nos preocupar com a privacidade dos dados que compartilhamos pela internet, cópias de documentos que fornecemos ou simplesmente informamos para preencher determinado cadastro.
A Constituição Federal de 1988 em seu artigo 5º, inciso X, estabelece o direito à proteção da nossa privacidade, assim como a Declaração Universal dos Direitos Humanos em seu artigo 12:
“São invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, […]”.
“Ninguém será sujeito a interferências em sua vida privada, em sua família, em seu lar ou em sua correspondência, nem a ataques à sua honra e reputação. Todo ser humano tem direito à proteção da lei contra tais interferências ou ataques”.
A privacidade, além de direito assegurado, é também pilar fundamental para o equilíbrio nas relações humanas, de forma que o indivíduo contribua na sua essência para a construção de um mundo melhor, de forma livre e conforme suas convicções
A preocupação em preservar a privacidade do indivíduo foi expressa no fundamento da autodeterminação informativa, que protege os direitos do titular sobre seus dados, ou seja, é assegurado ao indivíduo o poder de decidir sobre seus dados quanto ao uso que as organizações farão dele, sejam públicas ou privadas.
Nesse contexto, cabe apresentar a revogação da MP (Medida Provisória) 945 que autorizava o Estado a utilizar dados pessoais de toda população em estratégias de gestão pública, aplicadas durante a pandemia da COVID-19. Tal revogação se tornou marco histórico no Brasil em termos de proteção de dados pessoais.
O coletivo deste mundo em que vivemos é a soma de bilhões de diferenças que tornam únicos cada um dos seres humanos.
Assim, essa proteção que já existe no mundo real é transferida para o mundo digital à medida que avançamos na transição do mundo físico para o mundo digital, carregando a privacidade sobre a nossa vida e nossos dados para este novo ambiente.
Dessa forma, não distante da preocupação com o nosso futuro, está a preocupação com o nosso passado, ou seja, com as pegadas digitais que vamos deixando nas diversas interações que fazemos. Esse termo remete aohistórico de dados e informações que inserimos na internet e nunca mais serão removidos, como, por exemplo, uma fotografia.
Importância da LGPD para a economia digital
A coleta e a utilização de dados são relevantes para a economia digital, para que serviços sejam aprimorados e prestados de forma cada vez melhores, seja por organizações privadas, seja para execução de políticas públicas. O uso dos dados é, nos dias de hoje, determinante para a evolução das relações e se faz necessário para uma gestão cada vez mais eficaz, eficiente, rápida e precisa.
Nesse sentido, a LGPD é uma ferramenta reguladora que atua na relação entre pessoas e organizações, visando a proteção dos dados pessoais e pessoais sensíveis do indivíduo.
É importante salientar que a LGPD não visa impedir, tampouco proibir, qualquer tipo de operação com dados pessoais, mas sim protegê-los, estabelecendo regras específicas para que tais operações sejam realizadas com segurança, preservando, assim, a privacidade das pessoas, diante da rápida evolução tecnológica, em que os dados são coletados automaticamente.
Nesse propósito, busca-se o equilíbrio dessas relações, de forma que o progresso social mundial seja desenvolvido sob o amparo legal, ético e responsável.
Glossário
Inteligência de mercado: estratégia utilizada para filtrar e analisar dados e informações com o objetivo de fornecer insights para a tomada de decisão de uma empresa.
Pessoa natural: ser humano dotado da capacidade de assumir direitos e obrigações.
Personalidade: possibilidade que o indivíduo tem de ser titular de direitos e obrigações na esfera civil.
Todos os direitos assegurados pela LGPD
uando falamos de proteção de dados pessoais, devemos reconhecer a autodeterminação informativa. E a LGPD trata esse fundamento assegurando a pessoa natural (eu e você) como titular do poder de decisão sobre o tratamento das informações por parte das empresas.
Por tratamento de dados, a lei dispõe a seguinte informação:
Toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Portanto, tratamento de dados pessoais significa praticar alguma atividade que envolva os dados de uma pessoa COM CONSENTIMENTO DELA OU NÃO
Nesse sentido, a LGPD estabelece diversos direitos, visando nos proteger em relação à coleta, ao tratamento e ao compartilhamento de dados pessoais por parte de qualquer tipo de organização de diferentes setores e serviços, seja pública ou privada.
Direitos dos indivíduos
Para que possamos exercer o poder de titularidade das nossas próprias informações, devemos reconhecer os seguintes direitos:
relação pessoa x dados x empresa.
Confirmação da existência de tratamento
Esse direito trata-se de:
Esse conhecimento refere-se à nossa análise quanto ao uso dos dados que fornecemos antes de decidir comprar um produto, contratar um serviço ou até mesmo navegar por um site.
Assim, é necessário que o comprador, neste caso, o Fernando, tenha a preocupação com a privacidade dos seus dados, principalmente em relação ao tratamento que será realizado. Exigir esse conhecimento é o primeiro dos seus direitos assegurados pela Lei.
Importante!
A confirmação de existência de tratamento ou o acesso aos dados pessoais deve ser providenciada mediante requisição do titular:
· em formato simplificado, imediatamente; ou
· por meio de declaração clara e completa, fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular, indicando a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial.
Informação sobre a possibilidade de não fornecer consentimento e as consequências da negativa
Ao conhecer o tratamento que a organização realizará em seus dados, é muito importante que você o avalie. A lei permite, em alguns casos, que você decida se deseja ou não autorizar determinado tratamento e que você mude de ideia sempre que quiser.
Considere um diferencial se a organização lhe fornecer explicações sobre o tratamento, apresentando as implicações, caso você não os compartilhe, ou eventuais benefícios que você terá em fornecer suas informações.
No entanto, no caso de cumprimento de obrigação legal, interesses legítimos de uso dos nossos dados por parte do Governo ou exercício regular de direito da organização, não poderemos nos opor a esse tratamento.
A organização deve sempre oferecer a opção do não consentimento. Clareza e transparência no tratamento dos dados pessoais são características que selecionam e fortalecem o posicionamento das boas organizações no mercado
Portanto, ter a liberdade de permitir ou não o tratamento dos seus dados, de acordo com cada caso, é mais um direito garantido pela LGPD
Revogação do consentimento
No caso de o tratamento lhe parecer incompatível com o que foi apresentado ou a organização não esclarecer o uso que fará de seus dados, a LGPD lhe permite a revogação, que é o arrependimento do consentimento emitido incialmente.
Imagine que Fernando consentiu que a concessionária fizesse o armazenamento de seus dados pessoais, mas não consentiu que ela os compartilhasse com outras organizações, como empresas de seguro, por exemplo. Caso a empresa faça esse compartilhamento, ela estará violando o acordo que firmou com o titular das informações.
Nesse caso, Fernando tem o direito de solicitar à concessionária a revogação do consentimento para armazenar seus dados.
Conforme já mencionado, esse arrependimento na revogação total ou parcial do tratamento só é possível se a lei permitir, pois alguns dados fazem parte das estratégias de gestão do Governo, além de poderem ser utilizados por entidades privadas para cumprimento de obrigação legal ou exercício regular de direito, independentemente da vontade do titular.
Acesso aos dados
Após conhecermos e entendermos o tratamento dos dados, podemos solicitar, a qualquer momento, o acesso às nossas informações.
O benefício desse direito consiste em conhecer quais dados foram coletados e estão sendo tratados pela organização.
Assim, você saberá e poderá analisar se a organização detém mais informações sobre você do que você forneceu.
Acesso facilitado às informações
De acordo com o artigo 9º da LGPD, a organização deve promover ao titular o acesso facilitado às informações sobre o tratamento de seus dados, disponibilizando-os de forma clara para o atendimento do princípio do livre acesso, contendo os seguintes itens:
· Finalidade específica do tratamento.
· Forma e duração do tratamento, observados os segredos comercial e industrial.
· Informações de contato do controlador de dados, ou seja, a quem competem as decisões referentes ao tratamento de dados pessoais. Você estudará o papel do controlador mais à frente, na unidade 4.
· Informações sobre o uso compartilhado de dados pelo controlador e a finalidade.
· Responsabilidades dos agentes que realizarão o tratamento.
· Menção explícita aos direitos do titular.
Além disso, a LGPD determina que, nos casos em que o consentimento é requerido, ele será considerado nulo, caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente.
· Caso haja também mudanças da finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original, a organização deverá informar previamente o titular sobre tais mudanças, podendo o titular revogar o consentimento se discordar das alterações.
· Ou, ainda, quando o tratamento de dados pessoais for condição para o fornecimento de produto ou de serviço ou para o exercício de direito da organização, o titular deverá ser informado com destaque sobre esse fato e sobre os meios pelos quais o titular poderá exercer os seus direitos.
Correção de dados
Após consultar seus dados, você poderá alterá-los se identificar informaçõesincompletas, incorretas ou desatualizadas.
Essa possibilidade permite que você atualize seu endereço de e-mail ou residencial com o objetivo, por exemplo, de receber corretamente a fatura ou boleto para o pagamento de suas obrigações.
Isso evita que você tenha problemas, caso não receba esses documentos, como ter seu nome negativado nos órgãos de controle ao crédito, por exemplo.
Portabilidade de dados
O direito à portabilidade assegura ao titular a possibilidade de transferir seus dados pessoais para outra organização, de forma análoga aos casos de portabilidade de financiamento entre bancos.
Essa alternativa também pode ocorrer para transferências de dados entre escolas, no caso de mudança do aluno de instituição, por exemplo.
Importante!
A portabilidade dos dados para outro fornecedor de serviço ou produto deve ser realizada mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial.
Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade
De acordo com o inciso XI do artigo 5º da LGPD, anonimização trata-se de:
“utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo”.
Anonimização
O procedimento de anonimização elimina a possibilidade de identificação do indivíduo a partir do tratamento de seus dados, observadas determinadas condições e circunstâncias previstas na LGPD.
Pseudonimização
Este é outro procedimento que deve ser aplicado neste contexto. A LGPD traz o seguinte conceito para pseudonimização:
“(...) tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro”.
Em outras palavras, é como se as informações fossem embaralhadas e armazenadas em locais diferentes e, para serem utilizadas ou serem identificadas, devem ser reunidas e reorganizadas.
No exemplo do quebra-cabeça, apresentado na unidade anterior, a imagem é desconstruída e as peças são armazenadas em locais diferentes.
Por que anonimizar ou pseudonimizar?
Essas técnicas visam zelar pela privacidade do indivíduo, assegurando igualdade entre todos, evitando discriminação ou que, no caso de acessos indevidos aos nossos dados, eles possam ser identificados e utilizados.
Portanto, essas duas alternativas são nossos direitos e principalmente deveres da organização, perante os dados do titular.
Eliminação de dados pessoais tratados
Caso não deseje mais que seus dados sejam tratados pela organização, você tem o direito de solicitar a eliminação deles de sua base de dados.
No entanto, a organização deve manter os dados se tiver de cumprir determinado requisito legal ou por exercício regular de um direito.
É fundamental que a eliminação das informações seja realizada conforme documentos e procedimentos internos da organização, atendendo às boas práticas de segurança da informação.
	A ISO 27002, em seu tópico 10.7.2, preceitua que:
“Convém que as mídias sejam descartadas de forma segura e protegida quando não forem mais necessárias por meio de procedimentos formais.”
O item “a” esclarece que: “mídias contendo informações sensíveis sejam guardadas e destruídas de forma segura e protegida, como, por exemplo, através de incineração ou trituração [...]”.
Por mídias entende-se fitas, discos, pendrives, HDs, CDs e DVDs, papéis etc.
Compartilhamento de dados
Caso a organização tenha que compartilhar seus dados com outras entidades públicas ou privadas, deverá informá-lo sobre este trâmite.
Comunicar esse compartilhamento faz parte do processo de tratamento que deve ser informado de modo claro e transparente ao titular dos dados e pode estar também relacionado ao seu consentimento, nos casos em que a Lei autoriza.
A transferência de dados entre entidades privadas pode ocorrer no navegador de nossos computadores, por meio do uso dos cookies. Trata-se de arquivos que são gerados por sites que visitamos e que são salvos em nosso computador, por meio do navegador, a fim de nos identificar, personalizar a página de acordo com nosso perfil etc. Neles são armazenados fragmentos de dados que podem ser lidos ou transferidos a outros sites sem nosso consentimento, até agora.
ATENÇÃO!
Revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais
De acordo com o artigo 20, a LGPD determina que:
“O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.”
Isso significa que a LGPD busca minimizar os riscos desencadeados pelo crescente uso de algoritmos e inteligência artificial (IA) para realização de julgamentos e avaliações das pessoas.
Por exemplo, uma mídia social consegue analisar as preferências de um usuário por meio de postagens, curtidas, localização, serviços acessados, histórico etc. Dessa forma, ela vai disponibilizar a esse usuário determinadas informações, restringir outras, atraí-lo para o consumo de determinado produto por meio da personalização de anúncios ou até mesmo manipular uma opinião.
Portanto, para garantir o mínimo de transparência dessas ações, a LGPD determina que a organização controladora dos dados deverá fornecer, sempre que solicitadas pelo titular, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.
iolação de direitos
Se algum dos direitos que a Lei assegura for descumprido total ou parcialmente, ou se você estiver desconfortável com alguma situação, você deve contatar, primeiramente, a organização que violou seus direitos.
Caso a reclamação não seja solucionada no prazo estabelecido em regulamentação, você pode, então, acionar a Autoridade Nacional de Proteção de Dados (ANPD) para a defesa dos seus direitos.
De acordo com o artigo 55-J, inciso V, compete à ANPD:
“apreciar petições de titular contra controlador após comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação;
Proteção de dados de crianças e adolescentes
O direito à privacidade é fundamental para a manutenção das relações sociais e proteger esse direito dos mais vulneráveis, como as crianças e os adolescentes, é responsabilidade de todos.
O Estatuto da Criança e do Adolescente (ECA) considera que crianças são as pessoas até 12 anos de idade incompletos, e adolescentes são aquelas entre 12 e 18 anos de idade.
E, para estes casos, a LGPD define que o tratamento deverá ser realizado em seu melhor interesse e com o consentimento específico, no caso de crianças, de pelo menos um dos pais ou responsável legal.
A importância desse cuidado é assegurar que os dados pessoais dos menores estejam amparados por todas as leis aplicáveis neste país.
Assim, o direito sobre o tratamento das informações das crianças e adolescentes pode ficar comprometido pela restrição de alcance da lei nacional.
Glossário
Algoritmos: fórmulas matemáticas aplicadas para selecionar e mostrar quais conteúdos e páginas aparecem primeiro para um determinado usuário.
Exercício regular de direito: conduta considerada um direito de agir, diante de uma permissão do ordenamento jurídico.
Inteligência artificial: sistemas que simulam a inteligência humana.
Nas unidades anteriores, você viu os direitos que a LGPD assegura a todo cidadão, perante a privacidade e a titularidade dos seus dados nas relações com as empresas, instituições, associações, órgãos públicos, ONGs (Organizações Não Governamentais), entre outros.
Dessa forma, é importante lembrar que a Lei não visa interromper o tratamento de dados, que já ocorre por parte dessas organizações. Seu objetivoé regular e proteger os nossos interesses, de forma que sejam criados mecanismos de controle para uma relação saudável e equilibrada entre elas (organizações) e as pessoas.
É importante ressaltar que os direitos que, por um lado, são assegurados aos cidadãos, por outro, se tornam parte dos deveres e das responsabilidades das organizações, ao tratarem os dados pessoais de seus clientes, parceiros, funcionários e de todas as pessoas que, por ventura, a elas tiverem acesso.
Em linhas gerais, os deveres de toda organização são zelar pela nossa privacidade e respeitar os nossos interesses.
Requisitos para a realização do tratamento de dados
As organizações devem analisar e enquadrar o tratamento de dados que já realizam ou pretendem realizar dentro de ao menos uma das bases legais previstas na LGPD, como, por exemplo:
· mediante o consentimento do titular;
· para cumprimento de obrigação legal;
· pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis;
· para a proteção da vida ou da segurança física do titular ou de terceiro;
· para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária, entre outros.
O artigo 7º da LGPD determina as hipóteses para o tratamento de dados pessoais e o artigo 11º traz as hipóteses para o tratamento de dados pessoais sensíveis.
Deveres das organizações perante os direitos dos titulares dos dados
Para assegurar os nossos direitos, as organizações precisam mapeá-los e traduzi-los na perspectiva da LGPD. Elas devem avaliar toda a estrutura de dados, de forma que seja feita uma adequação no modelo atual de negócio para comportar a nova realidade sobre a privacidade do indivíduo. É como se o atual modelo de negócio fosse comparado com a proposta da Lei, na utilização de um checklist, por exemplo.
A Lei consolida alguns princípios, estabelecendo um direcionamento e uma padronização das responsabilidades das organizações perante os interesses e direitos dos titulares dos dados a serem atendidos.
Finalidade
A finalidade é uma condição que determina o motivo pelo qual os dados pessoais serão tratados pelas organizações. Dela deriva os dados mínimos necessários para se alcançar determinado objetivo.
É preciso que o tratamento a ser realizado com o dado pessoal tenha propósitos legítimos, específicos, explícitos e informados ao indivíduo, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.
Pense o tipo de tratamento de dados que sua empresa precisa fazer e faça as seguintes perguntas:
· Qual a finalidade de coletar dados pessoais e armazená-los?
· Há alguma conexão direta entre os dados pessoais e/ou pessoais sensíveis na execução da atividade?
· Se tiver que coletar dados pessoais e/ou pessoais sensíveis, qual será a finalidade?
Adequação
Deverá haver, obrigatoriamente, uma exata correspondência entre o que foi informado com o que de fato é executado.
Não basta apenas informar ao titular sobre os possíveis tratamentos. Assim, ao iniciar o tratamento dos dados, com a sua coleta, a empresa deverá respeitar a decisão do indivíduo.
Pensando na finalidade, deve ser feita uma adequação visando o alinhamento do tratamento com o propósito.
Necessidade
Essa responsabilidade de atender à necessidade de finalidade e adequação busca determinar que a empresa não realize o tratamento dos dados além do necessário.
Esse necessário é relativo ao desempenho da atividade de tratamento do dado almejado pela organização.
Portanto, o mapeamento adequado dos processos internos é fundamental para assegurar maturidade nas estratégias e nas suas adequações.
Livre acesso
A empresa deve assegurar livre acesso aos dados do titular.
Essa postura estabelece uma relação transparente e responsável, pois permite que o indivíduo audite, de certa forma, as suas próprias informações e seja parceiro da empresa na sinalização de sua insatisfação com algum tratamento realizado.
E isso tem impacto direto na experiência do usuário como um todo e pode impactar positivamente na imagem que o cliente ou usuário constrói da instituição.
Qualidade dos dados
É fundamental que os dados estejam corretos e atualizados de forma que erros não gerem prejuízos aos titulares.
É importante que existam mecanismos de validação das informações, desde o momento de sua coleta, para que um número de CPF não seja coletado e armazenado incorretamente, por exemplo.
O processo de desenvolvimento da qualidade dos dados vai além da relação organização x pessoa x dados pessoais. Ela determina mudança e aprimoramento dos processos internos e no fluxo dos dados e informações que circulam no ciclo do negócio.
Segurança
Considerando que a organização se torna portadora das informações, a partir de sua coleta, deve atentar-se à utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas.
De nada adianta assegurar a finalidade, garantir transparência, livre acesso e não ter políticas internas, processos, procedimentos e tecnologias atuais para efetivar a adequação aos preceitos da LGPD, protegendo a segurança dos dados.
Segurança da Informação (dados) X Privacidade
Segurança da Informação (dados) e Privacidade são conceitos complementares.
Clique nos itens a seguir e conheça cada um deles:
Prevenção
É preciso desenvolver uma nova perspectiva conjunta de prevenção e proteção dos dados que estão ou estarão sob responsabilidade direta e indireta de todos.
A prevenção exige uma mudança na estrutura de pensamento das pessoas e na forma como participam dos processos, até então executados.
O desenvolvimento de políticas internas, treinamentos, atualizações de conhecimento e também uso de sistemas e tecnologias modernas compreendem detalhes que, somados, ampliam a capacidade de prevenção a incidentes relativos à privacidade dos indivíduos.
Não discriminação
A discriminação é vedada e combatida em todos os âmbitos da relação social, como no caso de você ter seu cadastro ou acesso a um determinado serviço suspenso por questões religiosas, políticas ou de saúde, por exemplo.
O tratamento dos dados pessoais deve criar oportunidades que atendam aos interesses dos titulares e das empresas, mas nunca será utilizado em caráter discriminatório, de forma que possa segregar a humanidade em suas características íntimas.
Responsabilização e prestação de contas
O princípio da responsabilização não deve transmitir a ideia punitiva perante o texto da Lei e sim a postura de responsabilidade e diligência na tratativa dos dados.
Essa responsabilização deve coexistir na missão, na visão e na oferta dos produtos e serviços da organização. Essa demonstração de medidas eficazes e capazes de comprovar a observância da LGPD deve coexistir com as demais obrigações da organização.
Nesse caso, o uso de tecnologias modernas, treinamentos e capacitações também colaboram para demonstrar a responsabilidade e a prestação de contas de parte das ações tomadas pelas organizações.
Transparência
Ser transparente, informando claramente o tratamento realizado com dados pessoais diferencia a organização que respeita o interesse das pessoas.
Se antes o tratamento de dados era realizado sem fiscalização, a palavra de ordem passa a ser confiança. Para isso, é necessário que a ética e a responsabilidade estejam presentes em todas as ações de uma organização.
A transparência é uma conduta que, de certa forma, engloba todos os outros princípios já citados.
Exemplo:
Um site informa e solicita a você autorização para utilizar cookies, conforme orienta a LGPD. Você não autoriza, mas mesmo assim, o site executa essa ação, ferindo o dever da transparência.
E, nesse contexto de transparência, cabe ressaltar que o uso de uma linguagem simples e didática oferece ao cidadão maior oportunidade de compreensão das informações referentes ao tratamento de seus dados.
Assim, é fundamental evitar termos jurídicos e fazer uso da propostado legal design (visual law em inglês) que busca traduzir os termos para uma linguagem mais acessível à toda população.
GOVERNANÇA PARA PROTEÇÃO
DA PRIVACIDADE
or isso, esse novo momento exige delas (organizações) a reavaliação dos processos internos, além do mapeamento das atividades que, de alguma forma, tratam dados pessoais.
Essa adequação é um processo constante e contínuo que deve conectar o propósito de todas as áreas e departamentos, no que chamamos aqui de Governança de dados.
Pode-se dizer que a governança envolve a implementação de regras, práticas, processos, procedimentos e controles, visando o crescimento de uma organização de forma organizada e sustentável, respeitando a legislação e a sociedade como um todo.
No contexto da administração de empresas, esse entendimento é conhecido como governança corporativa.
Segundo o Instituto Brasileiro de Governança Corporativa (IBGC, 2019), essa expressão significa:
Sistema pelo qual as empresas e demais organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre sócios, conselho de administração, diretoria, órgãos de fiscalização e controle e demais partes interessadas.
As boas práticas de governança corporativa convertem princípios básicos em recomendações objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor econômico de longo prazo da organização, facilitando seu acesso a recursos e contribuindo para a qualidade da gestão da organização, sua longevidade e o bem comum.
Nesse sentido, a governança corporativa abarca também a governança de dados que, de acordo com o DAMA - Data Maturity Body of Knowledge (2017, p. 67), trata-se de:
exercício de autoridade e controle (planejamento, monitoramento e execução) sobre o gerenciamento de ativos de dados.
A LGPD determina que as organizações implementem regras e boas práticas de governança, com procedimentos específicos para todas as pessoas envolvidas no tratamento de dados pessoais e que seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta.
Governança de dados
Uma das características da governança de dados, no contexto da LGPD, é a ideia do Privacy by Design ou Privacidade no Design, em português. Tal ideia envolve os seguintes preceitos ou princípios.
Proativo e não reativo
Estabelece uma cultura de atenção e cuidado antecipado na privacidade dos dados. Nesse sentido, deve-se realizar o gerenciamento dos riscos de forma que sejam vislumbradas ou reveladas possíveis situações desastrosas ou prejudiciais, tratando-as adequadamente e preventivamente.
Privacidade por Padrão (Privacy by Default)
Determina que a privacidade apareça em todos os processos, desde a fase de concepção do produto ou do serviço até a sua execução, assim como o sol aparece no horizonte. Essa analogia traz a ideia de que a privacidade deve iluminar os caminhos a serem seguidos no desenvolvimento e na oferta dos produtos ou serviços, sendo o objetivo primordial que antecede qualquer atividade.
Funcionalidade
Estabelece que a privacidade no uso dos dados deve ser feita de tal forma que não prejudique o produto ou serviço desenvolvido, oferecendo equilíbrio entre as partes na relação ganha-ganha.
Isso significa que as interações entre pessoas e organizações, no contexto da privacidade, devem ser benéficas, justas e equilibradas para ambas as partes.
Pouco adianta restringir o uso absoluto e total dos nossos dados, se isso impedir a empresa de prestar corretamente o seu serviço.
Esse preceito da funcionalidade se conecta com o da necessidade e adequação que a empresa faz para o tratamento dos nossos dados.
Visibilidade e transparência
Conforme preceitua a LGPD, o acesso aos dados e a transparência no tratamento realizado são fundamentais para que as organizações protejam os direitos dos titulares dos dados.
Privacidade no Design
Orienta que a proteção aos interesses e à privacidade do usuário deve ser incluída na concepção de produtos ou serviços, da mesma forma que um engenheiro deve prever, na construção de uma casa, o encanamento para o fornecimento de água, por exemplo. Caso não o faça no momento do planejamento, corre-se o risco de ter que quebrar as paredes para essa adequação, gerando um imenso transtorno no que se refere a prazo, orçamento e até mesmo segurança de uma construção.
Segurança
A segurança dos dados pessoais e pessoais sensíveis deve ser incorporada em um ciclo constante de avaliação. Aqui é importante lembrar que, em um mundo conectado, a nossa imersão e interação é cada vez maior no mundo digital, gerando um alto volume de dados e pegadas digitais que precisam ser protegidos.
Respeito
Essa premissa já faz ou deveria fazer parte da missão e visão de qualquer organização na oferta de seus produtos e serviços para a sociedade. Dessa forma, as organizações devem se utilizar dos dados pessoais e pessoais sensíveis respeitando, em primeiro lugar, os direitos dos titulares desses dados.
	
A soma desses sete preceitos determina um outro conceito conhecido por Privacy by Default ou Privacidade por Padrão, em português, que resume a importância de a privacidade ser incorporada no desenvolvimento de todas atividades, sempre como um padrão a ser seguido e mantido.
A soma desses sete preceitos determina um outro conceito conhecido por Privacy by Default ou Privacidade por Padrão, em português, que resume a importância de a privacidade ser incorporada no desenvolvimento de todas atividades, sempre como um padrão a ser seguido e mantido.
Segundo a Lei, o controlador é pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
O operador (ou processador) é pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Encarregado
A LGPD também determina que seja nomeado um responsável, conhecido como encarregado, que é a pessoa indicada pelo controlador e pelo operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Esse profissional também pode ser denominado DPO (Data Protection Officer) ou Oficial de Proteção de Dados, em português.
Ele também deve orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais e executar as demais atribuições determinadas pelo controlador ou estabelecidas em outras normas.
Importante!
De acordo com a LGPD, agentes de tratamento são os controladores e os operadores, responsáveis pelo cumprimento da lei, e serão os responsabilizados no caso de descumprimento dela. O encarregado não é agente de tratamento, mas cumpre um papel fundamental para os agentes de tratamento na avaliação constante de conformidade para a respectiva organização que ele atende.
Você se lembra do Fernando?
Ele contratou um serviço de TV e Internet para o uso em sua residência. Ao solicitar o serviço, a empresa, chamada Intertv, iniciou o processo de tratamento com a coleta de seus dados pessoais. Neste momento, ela se tornou controladora dos dados que coletou de Fernando e poderá dar um ou mais tratamentos, conforme informado previamente e consentido por ele.
Para executar o serviço de atendimento ao cliente, a Intertv contrata uma empresa de call center chamada Alôvoice. Nesse contexto, ela fará o papel da operadoras dos dados, pois será quem terá contato com Fernando, por meio dos dados coletados.
A Intertv tem a obrigação de nomear um encarregado. A Alôvoice tem a opção de também nomear (encarregado), de acordo com sua percepção de necessidade ou não para mitigar os riscos legais.
Tanto o controlador quanto o operador devem demonstrar comprometimento e responsabilidade em relação às diretrizes da LGPD, aos processos e políticas internas da organização que assegurem o cumprimento das práticas relativas à proteção de dados pessoais.
O encarregado controlará a conformidade com a LGPDe as demais normas aplicáveis, incluindo o compartilhamento de responsabilidades, a sensibilização e a formação dos profissionais competentes em relação às operações de tratamento de dados, informando a organização sobre o necessário para que possam tomar as respectivas decisões.
Segurança da informação
Um dos procedimentos imprescindíveis para a governança de dados envolve a elaboração de políticas e procedimentos, visando a segurança da informação. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas.
Aprimorar tais medidas é algo que está, ou deveria estar, embutido na rotina de desenvolvimento das atividades de toda organização.
A segurança da informação contém três estruturas básicas que organizam seu objetivo.
CONFIDENCIALIDADE: O acesso à informação é feito somente por pessoas autorizadas.
INTEGRIDADE: O conteúdo deve ser protegido de forma que não seja alterado ou corrompido.
DISPONIBILIDADE: A informação deve ser devidamente protegida, desde que esteja disponível quando necessária.
É importante ressaltar que tais estruturas podem variar de acordo com o entendimento e alguns autores utilizam quatro ou cinco aspectos diferentes.
A segurança da informação é determinante para a proteção da privacidade. No entanto, cabe ressaltar que ela pode existir sem conexão com a privacidade dos dados, pois proteger as informações estratégicas e administrativas que circulam dentro da organização faz parte do escopo de qualquer organização, sem relação alguma com dados pessoais.
Em outras palavras, é possível que exista segurança da informação sem foco na privacidade, mas é impossível existir proteção à privacidade sem segurança da informação.
Sendo assim, é necessário que as organizações implementem algumas ações estabelecendo regras e padrões para proteção da informação, para que sejam respeitados os requisitos da Lei.
· Política de segurança da informação
Define as regras para acesso, controle e compartilhamento das informações em uma organização.
· Classificação das informações
A norma ISO (International Organization for Standardization, ou Organização Internacional para Padronização, em português) 27.002:2013, em seu item 8.2.1, traz a seguinte orientação em relação à classificação da informação:
“Convém que a informação seja classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para evitar modificação ou divulgação não autorizada”.
A ISO 27.701:2019 também aponta que:
“o sistema de classificação da informação da organização considere explicitamente DP (dados pessoais) como parte do esquema que ela implementa”.
Nessa premissa, cabe a cada organização definir suas próprias estruturas de classificação conforme os riscos identificados nas informações que utiliza.
A seguir é apresentado um exemplo de possíveis modelos de classificação:
. Pública: informação sem restrições de divulgação, podendo ser repassada a qualquer indivíduo, dentro ou fora da organização, ser publicada na internet etc.
. Interna: informação restrita à organização, podendo ser compartilhada entre todos os colaboradores e prestadores de serviço, porém não pode ser repassada a indivíduos externos, ou seja, não deve ser divulgada publicamente.
. Confidencial: informação restrita ao mínimo possível de colaboradores e seu acesso deve ser controlado e auditado. Deve ser mantida em sigilo e repassada somente às pessoas que irão utilizá-la em suas atribuições.
. Pessoal: documento contém dados pessoais e/ou pessoais sensíveis. Essa categorização auxilia no processo de governança dos dados, pois permite maior conhecimento, controle e rastreabilidade sobre o seu tratamento. Isso reflete diretamente na proteção da privacidade dessas informações.
· Termo de confidencialidade
Qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista na LGPD em relação aos dados pessoais, mesmo após o seu término.
Assim, políticas empresariais devem estabelecer a responsabilidade de colaboradores e parceiros que tiveram, tenham ou terão qualquer tipo de relação que envolva dado pessoal. Qualquer pessoa física ou jurídica que venha a ter acesso a dados pessoais devem saber da responsabilidade em relação à proteção da informação.
A segurança da informação envolve o ambiente organizacional, as pessoas, os processos e a tecnologia. Por isso, é imprescindível que as organizações busquem sua melhoria contínua. Isso traz segurança ao tratamento dos dados e maior proteção à privacidade, além de evitar imprevistos e gastos para a reparação de possíveis danos.
A norma ISO 27.001:2013 estabelece os requisitos para implementar, manter e melhorar continuamente um sistema de gestão de segurança da informação.
Gerenciamento de riscos
O gerenciamento de riscos também é fundamental para que a administração das organizações possa monitorar e tratar os riscos referentes à privacidade das informações no âmbito da LGPD. Implementar esse gerenciamento é ampliar a capacidade de as pessoas identificarem problemas no ambiente, para tratá-los da forma correta.
Boas práticas de governança de dados
As boas práticas de governança de dados se referem às ações e às atitudes que refletem um comportamento comum entre pessoas e organizações.
No caso das organizações, a LGPD, em seu capítulo VII, art. 50, estabelece:
“Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
§ 1º Ao estabelecer regras de boas práticas, o controlador e o operador levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular.”
A LGPD ainda orienta, em seu artigo 50, parágrafo 2º, inciso I, que a organização deve implementar um programa de governança em privacidade que, no mínimo:
a. demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
b. seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;
c. seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;
d. estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
e. tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;
f. esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;
g. conte com planos de resposta a incidentes e remediação; e
h. seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas.
Aqui, as boas práticas se referem a processos e procedimentos modernos, atuais, eficazes e eficientes que coloquem a empresa na postura preventiva e antecipada do gerenciamento dos riscos relativos à privacidade dos dados dos indivíduos.
Inventariar a situação atual da organização, a fim de entender como os dados já são tratados, se já houve alguma situação de vazamento, pensar na coleta e na finalidade antes de pensar na segurança são os primeiros passos na busca da proteção da privacidade.Exemplo:
Um exemplo de boa prática é a adoção de treinamentos e capacitações que atualizem o conhecimento das pessoas ou determinem a operação das atividades, segundo os melhores modelos aplicados no mercado.
Outra prática recomendada é o uso de tecnologias modernas e robustas que protejam as informações que forem, de alguma forma, tratadas pela organização, conforme orienta o artigo 46 da LGPD:
“Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.”
Dessa forma, a organização, seja pública ou privada, constrói um ambiente que promove a cultura de proteção à privacidade, considerando que as estratégias, processos, procedimentos e todos os colaboradores estão em sintonia com o mesmo propósito.
Cultura de privacidade dos dados
O principal pilar no sucesso da adequação à LGPD é a criação de uma nova cultura relativa à Privacidade dos Dados. Entender o contexto é fundamental para se aproximar dos direitos, enquanto cidadão, e participar ativamente no cumprimento dos deveres, enquanto partes de uma organização.
É importante reconhecer a necessidade e a oportunidade que os dados criam para o desenvolvimento das organizações e no seu uso responsável e ético.
Portanto, participar desse processo, dessa evolução, nos reconecta ao escopo da missão e da visão das nossas organizações.
RESPONSABILIDADES
ADMINISTRATIVA E CIVIL
a infração de qualquer um dos direitos do cidadão e o não atendimento às responsabilidades abrem a possibilidade de uma sanção administrativa, responsabilização civil, além da imagem negativa que a organização pode ter perante a sociedade, decorrente da inadequada utilização ou proteção dos dados pessoais.
Dessa forma, uma outra perspectiva da LGPD considera os possíveis incidentes que podem ocorrer, como no caso de vazamento de dados pessoais.
Essa questão é muito importante, pois, conforme você viu na primeira unidade, dados e informações circulam a todo momento, ocasionando cada vez mais casos de ataques cibernéticos às grandes empresas, uma vez que tais informações representam um valor alto e isso desperta os interesses de muitas pessoas e empresas com intenções duvidosas.
Assim, garantir a segurança das informações é garantir os direitos do cidadão. As empresas não são donas das nossas informações e estão apenas na posse delas, para o uso regulado, conforme os princípios da Lei.
Vazamento de dados
O tratamento dos dados realizado pelas empresas deve acontecer da mesma forma que ocorre quando alugamos uma casa: não somos donos da propriedade e devemos fazer uso deste patrimônio, conforme a finalidade combinada, zelando pela integridade do imóvel. É nessa analogia que a LGPD estabelece a relação que a empresa deve ter com nossos dados pessoais e pessoais sensíveis.
No caso do comprometimento dessa segurança, nós, como titulares e partes mais fracas nas relações com as organizações, temos um prejuízo que muitas vezes pode ser irreparável.
Um exemplo real do possível comprometimento da segurança foi uma determinada rede social que armazenou por muito tempo a senha dos usuários, utilizando-se de técnica totalmente insegura. E essa atitude poderia ter prejudicado a proteção da privacidade dos usuários, visto que um hacker poderia ter acessado o local de armazenamento das senhas e as informações pessoais contidas em seus perfis.
Portanto, a organização deve estar de acordo com as boas práticas, métodos e técnicas atuais de proteção dos nossos dados e informações e, caso ocorra algum incidente envolvendo dados pessoais, o art. 48 da LGPD define que:
 
O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
Essa comunicação é importante, pois permite que tanto a ANPD quanto o titular dos dados possam acompanhar o ocorrido. É uma atitude nobre, da mesma forma como ocorre, caso alguém bata em algum carro parado em um estacionamento e procure o dono para notificá-lo e reparar os danos.
O comunicado ou relatório de incidente deve conter a descrição dos envolvidos, quais dados foram afetados, como ocorreu o incidente, quem foram as pessoas impactadas, quais eram os mecanismos utilizados na prevenção a incidentes e o que está sendo feito para reparar o dano, conforme indica o parágrafo 1º ainda no artigo 48:
 
§ 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:
I - a descrição da natureza dos dados pessoais afetados;
II - as informações sobre os titulares envolvidos;
III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
IV - os riscos relacionados ao incidente;
V - os motivos da demora, no caso de a comunicação não ter sido imediata; e
VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
Em resumo, esse relatório formaliza o ocorrido, permitindo que o órgão responsável avalie as ações que foram ou venham a ser tomadas, mensurando a eficácia e eficiência delas.
Sanções administrativas
Qualquer violação à LGPD, em especial no que se refere ao vazamento de dados pessoais, acidental ou ilícito, além de infringir os direitos do cidadão e prejudicar a imagem da organização perante a sociedade, traz consequências que a LGPD tipifica como sanções administrativas.
· Advertência
Apresenta indicação de prazo para adoção de medidas corretivas.
· Multa simples
Aplica multa de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil em seu último exercício, excluídos os tributos, limitada, no total, a R$50.000.000,00 (cinquenta milhões de reais) por infração.
· Multa diária
Aplica multa diária, observando o limite total a que se refere o item anterior.
· Publicização da infração
Torna a infração pública, após devidamente apurada e confirmada a sua ocorrência.
· Bloqueio dos dados pessoais
Bloqueia os dados pessoais referentes à infração até a sua regularização.
· Eliminação dos dados pessoais
Elimina os dados pessoais referentes à infração.
· Suspensão parcial do funcionamento do banco de dados
Suspende parcialmente o funcionamento do banco de dados a que se refere a infração, pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador.
· Suspensão do exercício da atividade de tratamento dos dados pessoais
Suspende o exercício da atividade de tratamento dos dados pessoais a que se refere a infração, pelo período máximo de 6 (seis) meses, prorrogável por igual período.
· Proibição parcial ou total do exercício de atividades
A ANPD pode proibir, parcial ou totalmente, as atividades relacionadas ao tratamento de dados pessoais.
Compete à Autoridade Nacional de Proteção de Dados (ANPD) fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação.
No caso de suspensão parcial de funcionamento do banco de dados e do exercício da atividade de tratamento dos dados pessoais, bem como proibição parcial ou total de atividades, essas sanções serão aplicadas:
· somente após já ter sido imposta ao menos 1 (uma) das sanções anteriores (advertência, multa, publicização, bloqueio e eliminação dos dados pessoais);
· no caso de controladores submetidos a outros órgãos e entidades com competências sancionatórias, após esses órgãos serem ouvidos.
A LGPD, no artigo 52, parágrafo 1º, determina também que as sanções devem ser aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de acordo com as peculiaridades de cada caso, considerados os seguintes parâmetros e critérios:
· Gravidade e natureza das infrações e dos direitos pessoais afetados.
· Boa-fé do infrator.
· Vantagem obtida ou pretendidapelo infrator.
· Condição econômica do infrator.
· Reincidência.
· Grau do dano.
· Cooperação do infrator.
· Adoção de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados.
· Adoção de política de boas práticas e governança.
· Pronta adoção de medidas corretivas.
· Proporcionalidade entre a gravidade da falta e a intensidade da sanção.
Em relação ao cálculo do valor da sanção de multa, a ANPD poderá considerar o faturamento total da empresa ou grupo de empresas, quando:
· não dispuser do valor do faturamento no ramo de atividade empresarial em que ocorreu a infração; e
· o valor for apresentado de forma incompleta ou não for demonstrado de forma clara e confiável.
A autoridade nacional definirá, por meio de regulamento próprio e de consulta pública, sobre as sanções administrativas e as metodologias que orientarão o cálculo do valor-base das sanções de multas.
A LGPD prevê ainda que as metodologias sejam previamente publicadas, para ciência dos agentes de tratamento, e apresentem as formas e as medidas para o cálculo do valor das sanções de multa, que deverão conter fundamentação detalhada de todos os seus elementos.
Saiba mais...
Um artigo divulgado pela IBM aponta que as empresas brasileiras perdem aproximadamente R$4,7 milhões de reais com incidentes referentes a violações de dados em território nacional.
Responsabilidade e ressarcimento de danos
Conforme você estudou, tanto o controlador quanto o operador são figuras centrais para assegurar a proteção dos dados pessoais. Portanto, diante das atribuições que lhes são conferidas, caso ocorra algum dano aos titulares em decorrência de algum incidente envolvendo o vazamento de dados, devem responder juridicamente e reparar os danos causados, conforme trata o artigo 42, parágrafo 1º da LGPD:
 
O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
 
O operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador;
Os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente.
É interessante notar que a Lei acaba estreitando aqui a relação entre os titulares e as empresas, na figura dos agentes de tratamentos de dados. O texto legal busca, na definição e nomeação desses agentes, ampliar a rastreabilidade de um “responsável” por qualquer violação na privacidade do indivíduo.
Dessa forma, evita-se o “empurra-empurra” entre as partes responsáveis e define-se logo de início quem serão essas pessoas.
A ideia é forçar, indiretamente, a adequação das organizações aos preceitos da Lei, visto que está claro quem serão as principais pessoas responsabilizadas, pressionando para que medidas preventivas e boas práticas de governança dos dados sejam sempre executadas.
	O que será feito?
	Deve ser realizada a adequação de todos os processos internos, no respeito à privacidade do indivíduo, quanto ao uso de dados pessoais e pessoais sensíveis.
	Por quê?
	A Lei busca regular o mercado e as relações entre pessoas e organizações, protegendo as partes mais vulneráveis nesta relação, que são as pessoas.
	Onde?
	Em todas as áreas de todas as organizações que, de alguma forma, tratam dados pessoais, no desenvolvimento de suas atividades.
	Quando?
	A Lei entrou em vigor em 18 de setembro de 2020, em que pese as sanções previstas valerem apenas a partir de agosto de 2021.
	Por quem?
	Existem 5 atores importantes neste contexto: o titular dos dados (indivíduo), os agentes de tratamento (operador e controlador), o encarregado e a ANPD, que é o órgão regulador.
	Como?
	O processo de adequação deve seguir a definição da Lei em todo o seu escopo. Cada organização deve refletir sobre o uso dos dados pessoais, perante os fundamentos da Lei, os direitos, deveres e responsabilidades.
	Quanto vai custar?
	A adequação na proteção da privacidade, com responsabilidade social e na prevenção de incidentes, deve ser considerada um investimento estratégico no posicionamento de mercado.
Além da adequação de todos os processos internos, tal contexto coloca todos nós, de um lado, como usuários comuns de produtos e serviços e, de outro, como colaboradores que integram o cenário corporativo e utilizam os dados de outras pessoas na execução de diversas atividades.
E que isso nos lembre de defender e proteger os dados de outras pessoas como se fossem os nossos próprios.