Artigos

Conhecendo a LGPD – Parte II

Como vimos na primeira parte desta série, a LGPD é uma legislação que veio para proteger o cidadão, pessoa física, de abusos que empresas vinham cometendo, quando de posse dos dados pessoais deste cidadão. 

Neste segundo artigo vamos falar sobre os novos “players” que foram introduzidos pela LGPD em nosso dia a dia. O principal destes Players é o Titular dos dados pessoais, que nada mais é do que a pessoa física a quem o dado pertence. Esta legislação também cria uma classificação para estes dados.  

- Dados pessoais: Todo o dado que possa identificar uma pessoa física como por exemplo: documento de identificação, cadastro de pessoa Física (CPF), nome e endereço, completos e por aí segue. 

- Dados sensíveis: São dados que, além de identificar a pessoa, podem expor a pessoa, como orientação sexual, filiação partidária, sindical, quadro Clinico, biometria entre outras. 

Temos também a figura do controlador que é a pessoa, natural ou jurídica, a quem compete as decisões acerca do tratamento dos dados pessoais. Seguindo o que rege a legislação, toda a responsabilidade pelo descumprimento recai sobre o controlador, que não pode transferir esta responsabilidade à terceiros.  

Cabe ao controlador, juntamente com o operador, indicar o Encarregado de dados (conhecido, também como DPO – Data Protection Officer, por força da GDPR). Este encarregado é o elo   entre controlador, titular dos dados e Autoridade Nacional. 

O Encarregado dos dados deve ser identificado publicamente, assim como suas informações de contato, inclusive no site da empresa, para que todos os titulares tenham fácil acesso a este, pois cabe a ele acolher as reclamações, esclarecer quaisquer dúvidas e adotar as providências para a ocorrência. Também cabe ao encarregado receber comunicações e notificações, oriundas da Autoridade Nacional. 

A Orientação a todos os usuários, internos e externos, acerca do tratamento de dados cabe, também, ao encarregado. Além disto a Autoridade Nacional poderá determinar novas atribuições aos encarregados. 

Já o operador é a pessoa que irá realizar o tratamento do dado pessoal, cabendo a ele o registro dos tratamentos efetuados seguindo orientações do controlador, especialmente quando a base for consentimento ou legitimo interesse. A LGPD trata o Operador como responsável, solidário ao controlador, pelos danos causados ao titular, e o controlador tem a possibilidade de se eximir desta responsabilidade se comprovar que o operador agiu contra as políticas implementadas pelo controlador. 

Falamos tanto em a Autoridade Nacional, mas quem é esta autoridade? ANPD, Autoridade Nacional de proteção aos Dados Pessoais, é responsável por estabelecer normas, zelar pela proteção de dados e fiscalizar o cumprimento desta lei, em todo o território Nacional. 

O tratamento de dados nada mais é do que a destinação que é conferida aos dados quando de posse do operador e controlador. Este tratamento não precisa necessariamente ser coletado no Brasil, mas a Pessoa, proprietária do dado precisa estar em território Nacional. Exemplo, uma pessoa que está no Brasil, acessa um site que está hospedado em outro país, então esta coleta de dados está sujeita a aplicação da LGPD. Importante ressaltar que a LGPD não trata como titular apenas pessoas naturais do Brasil, mas sim, todo e qualquer indivíduo que esteja em território Nacional, no momento da coleta dos dados. Desta forma, dados pessoais de pessoas estrangeiras que estejam em território Nacional no momento da coleta dos dados, também estão protegidos pela LGPD. 

Como falamos no artigo anterior, as sanções relacionadas a LGPD só serão aplicadas a partir de agosto de 2021, no entanto, os Titulares dos dados e/ou o Ministério Público, poderão acionar a justiça Civil com base na LGPD, que foi o que aconteceu recentemente. A Justiça do Distrito Federal acolheu um pedido do Ministério Público do Distrito Federal e determinou que a empresa Serasa Experian suspendesse a venda de dados pessoais de consumidores, sob pena de multa diária. Este caso nos mostra que, mesmo não havendo sansão prevista, a LGPD pode ser utilizada como base, inclusive de ações indenizatórias. 

Caso as sanções já estivessem sendo aplicadas a empresa estaria sujeita a multas que podem chegar a 2% do faturamento do exercício anterior, limitadas a 50 milhões. Importante ressaltar que estas multas são aplicadas por infração cometida pela empresa. Sendo assim, a cada infração pode ser determinada uma multa no percentual referido anteriormente. 

Além da sanção citada acima, ainda é possível a aplicação de multas diárias, publicização da infração, bloqueio dos dados pessoais, bem como dos bancos de dados, podendo chegar à suspensão da atividade de tratamento de dados. 

Como vimos nestes 2 artigos, a LGPD é uma legislação robusta e extensa, são 65 artigos e, mesmo assim, ainda temos lacunas a serem preenchidas, como, por exemplo, toda a pessoa jurídica precisa definir um encarregado de dados, independente do tamanho e/ou faturamento? Neste caso a LGPD diz que a autoridade nacional pode definir as hipóteses de dispensa de encarregado por parte do controlador. 

De fato o que temos é que a Autoridade nacional, nomeada recentemente, ainda não se manifestou acerca de normas e orientações a respeito da LGPD, portanto, toda a pessoa jurídica, independente do tamanho e da forma de tratamento de dados pessoais, precisa procurar a adequação para que não seja penalizada quando as sanções começarem a ser aplicadas. 

Atendimento
Precisa de ajuda?