A LGPD – Lei Geral da Proteção de Dados Pessoais (Lei 13.709/18) determina como os dados pessoais deverão ser coletados e tratados em território nacional, especialmente, mas não exclusivamente por meios digitais.
A Lei determina os direitos do Titular (dono dos dados coletados) e as obrigações dos agentes de tratamento ou transferência desses dados, seja ele o controlador ou apenas o operador. Abrange também os requisitos mínimos que os agentes devem seguir ao realizar a coleta de dados, e as sanções a que eles estão sujeitos.
As novas regras estão previstas para entrar em vigor em 14 de agosto de 2020.
A quem se aplica a lei?
A LGPD se aplica a qualquer pessoa natural ou jurídica de direito público ou privado que realize tratamento de dados pessoais, ou seja, exerça qualquer atividade em que se utilize de dados pessoais, tais como, coleta, acesso, armazenamento, controle, compartilhamento, exclusão, entre outros, inclusive por meios digitais.
O âmbito de aplicação da LGPD é extremamente abrangente e envolve a maior parte de projetos e atividades do dia a dia empresarial, independentemente do tamanho, negócio ou localização das empresas.
O que é dado pessoal?
Segundo a LGPD, dado pessoal é qualquer informação que possa levar à identificação de uma pessoa, de maneira direta ou indireta, tais como data de nascimento, profissão e nacionalidade, além daqueles classificados como dado pessoal sensível, que podem gerar discriminação à pessoa, tais como origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
A LGPD não proíbe o tratamento de dados, no entanto, estabelece uma série de requisitos que visa o tratamento legítimo do dado e proteção dos direitos fundamentais de liberdade, privacidade e livre desenvolvimento de personalidade do Titular. Um dos requisitos essenciais da LGPD é que se não for possível enquadrar o dado em uma base legal, não haverá legitimidade para fazer o seu tratamento.
Como as empresas terão que se adequar?
Para se adequar a LGPD as organizações deverão efetuar revisões e sensíveis mudanças em seus processos, práticas de segurança da informação, prevenção e governança, além da adoção de boas práticas na coleta e tratamento de dados.
Dentre os requisitos exigidos pela lei, as empresas deverão nomear um encarregado pelo tratamento de dados pessoais, o DPO – Data Protection Officer, que será responsável por orientar os empregados e terceiros contratados pela empresa a respeito das práticas em relação à proteção de dados pessoais, bem como orientar e avaliar o cumprimento da Lei.
Os principais pontos a serem observados no cumprimento da LGPD, são:
- provar que o consentimento para o tratamento do dado foi obtido em conformidade com a LGPD;
- manter os registros das operações de tratamento de dados pessoais;
- adotar medidas técnicas que garantam o tratamento de dados de forma segura;
- elaborar o relatório de impacto à proteção de dados;
- observar as boas práticas e padrões de governança corporativa; e
- comunicar ao titular dos dados quando houver alteração na finalidade de coleta e tratamento dos mesmos.
Quais são as penalidades da Lei?
A LGPD estabelece que as multas pelo descumprimento dos requisitos da Lei podem chegar a 2% do faturamento líquido anual, limitado ao valor de R$ 50 milhões por infração, além de eventual bloqueio e eliminação dos dados pessoais vazados e/ou indevidamente publicados.
Como podemos ajudar?
A PP&C possui especialistas em processos, tecnologia e consultores jurídicos para auxiliar as organizações na adequada avaliação das necessidades e de implantação da LGPD.
Para entender melhor sobre o tema entre em contato com nossa especialista:
Aline Poiani, Diretora de Advisory Services da PP&C Auditores Independentes
a.poiani@ppc.com.br – 55 11 3883-1600