Afinal, o que é a LGPD?
A Lei Geral de Proteção de Dados, segue a tendência global de fornecer maiores direitos aos indivíduos sobre seus dados pessoais. Isto é realizado através da regulamentação da forma como as pessoas físicas e jurídicas coletam e processam os dados, direta ou indiretamente, identificáveis de pessoas naturais (artigo primeiro da lei). Esta lei aplica-se a qualquer operação de tratamento realizada em território nacional, tratamento que tenha por objetivo a oferta ou fornecimento de bens ou serviços para indivíduos localizados no território brasileiro ou tratamento de dados que foram coletados no território nacional (artigo terceiro).
A lei categoriza ainda, quais dados pessoais são considerados sensíveis, como: opinião política, dado genético ou biométrico, dentre outros (artigo quinto). No total são fornecidas dez bases legais para o tratamento de dados pessoais (artigo sétimo). As quatros bases mais comuns são:
Mediante o fornecimento de consentimento pelo titular
Cumprimento de obrigação legal ou regulatória pelo controlador
Quando necessário para execução de contrato
Quando houver legítimo interesse pelo controlador ou terceiros
Titular, controlador, operador e encarregado de dados
Segundo a LGPD, o titular dos dados é quem detém os dados em si. Por exemplo, o RG de uma pessoa pertence tão somente a ela (artigo quinto).
O controlador dos dados é o responsável pela tomada de decisões sobre o tratamento de dados pessoais. Ele deverá ainda, elaborar relatório de impacto à proteção de dados pessoais, caso requisitado pela autoridade nacional (artigo trigésimo sétimo e trigésimo oitavo).
O operador realiza o tratamento de dados pessoais em nome do controlador. O tratamento deverá ser realizado conforme instruções fornecidas pelo controlador (artigo trigésimo nono).
O encarregado de dados é a pessoa indicada pelo controlador e operador para canalizar a comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Por exemplo, ele deverá aceitar reclamações e comunicações, prestar esclarecimentos e adotar providências, conforme necessário (artigo quadragésimo primeiro).
Sanções Administrativas: quais são?
Tanto o controlador quanto o operador estão suscetíveis às sanções administrativas em caso de infrações cometidas às normas previstas na lei. São elas:
- Advertência, com prazo para adoção de medidas corretivas;
- Multa simples de até 2% do faturamento, respeitando o limite de R$ 50 milhões;
- Publicização da infração após devido apuramento;
- Bloqueio dos dados pessoais referentes a infração;
- Eliminação dos dados pessoais referentes a infração;
- Suspenção parcial do funcionamento do banco de dados por até 6 meses, prorrogável pelo mesmo período;
- Suspenção do exercício de atividades de tratamento dos dados pessoais por até 6 meses, prorrogável pelo mesmo período;
- Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Sanções Administrativas: como ameniza-las
Existem alguns fatores que serão considerados para amenizar as sanções aplicadas, como:
- A boa-fé do infrator;
A vantagem obtida ou pretendida pelo infrator; - A condição econômica do infrator;
- A reincidência;
- O grau do dano;
- A cooperação do infrator;
- A adoção contínua e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados;
- A adoção de política de boas práticas e governança;
- A pronta adoção de medidas corretivas;
- A proporcionalidade entre a gravidade da falta e a intensidade da sanção.
Problema de mercado
A LGPD já está em vigor, porém as empresas ainda não sabem exatamente como se adequar a mesma. Embora haja vários artigos sobre o tema, não há um caminho único para todas as empresas, o que pode causar muitas dúvidas e dificuldades, mas existem algumas estratégias gerais que poderão servir de guia para obter-se sucesso nessa jornada.
Como Trabalhamos:
A Tecnews.NET possui uma abordagem prática e dinâmica para atender as diferentes necessidades de cada negócio. Para tal, utilizamos um framework próprio onde unimos três especialidades distintas, com o intuito de preencher cada lacuna dessa jornada. As três áreas são: Tecnologia da Informação, Jurídico e Negócio. Com a junção do conhecimento destes pilares fundamentais, a conformidade (compliance) com a nova lei poderá ser obtida de forma concreta. Veja a seguir alguns exemplos do que cada área entregará:
T.I.
Antivírus, Firewall, Gestão de acessos, DLP, Anti-Spam, Gestão de Vulnerabilidade
Jurídico
Estudo de impacto jurídico no setor de atuação, Gestão de contratos, Enquadramento do tratamento dos dados nas bases legais.
Negócio
Mapeamento de fluxo de dados internos e externos (fornecedores), Otimização de processo de tratamento de dados, Gestão de consentimento.
DPO
DPO, pois o mesmo será responsável também pela interoperabilidade das áreas envolvidas. Caso não saiba as atribuições de um DPO, confira mais neste artigo
Nosso Framework
Caso deseje conhecer o nosso framework, entre em contato para receber o conteúdo, onde explicamos de forma detalhada como trabalhamos.
