Qual o objetivo da Lei Geral de Proteção de Dados?
O objetivo da Lei Geral de Proteção de Dados é regulamentar o tratamento de dados pessoais por pessoas ou entidades do setor privado ou público, inclusive nos meios digitais, de consumidores, empregados, independente do país da sede ou no qual os dados estejam localizados.
Com o propósito de proteger a liberdade, a privacidade e o livre desenvolvimento da pessoa natural a Lei Geral de Proteção de Dados se aplica sempre que o tratamento seja realizado no território nacional e tenha por objetivo a oferta/fornecimento de bens/serviços ou o tratamento de dados de indivíduos localizados no território nacional ou ainda se os dados pessoais tenham sido coletados no território nacional.
Assim, não se trata de uma opção, mas de uma obrigação das empresas em se adequarem às normas brasileiras de proteção de dados pessoais.
O que são dados pessoais? O que são dados pessoais sensíveis?
Os dados pessoais são as informações relacionada ao titular, que pode ser a pessoa natural identificada ou identificável, podendo incluir nome, endereço, e-mail, idade, estado civil e situação patrimonial, obtido em qualquer tipo de suporte (papel, eletrônico, informático, som e imagem, etc).
Os dados sensíveis são aqueles dados pessoais sobre a origem racial ou étnica, as convicções religiosas, as opiniões políticas, a filiação a sindicatos ou a organizações de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural.
Quais são os principais direitos dos titulares dos dados?
O titular dos dados deverá ser informado sobre a finalidade do tratamento de seus dados, forma e duração, controlador, compartilhamento dos dados, responsabilidades das entidades detentoras dos dados e os direitos do titular, que deverão ser disponibilizadas de forma clara, adequada e ostensiva.
Os titulares dos dados pessoais tem direito a obter do controlador:
a) confirmação de tratamento;
b) acesso aos dados no prazo de até 15 dias do requerimento;
c) correção de dados;
d) anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou não tratados de maneira legítima;
e) portabilidade dos dados;
f) eliminação dos dados, ainda que fornecidos com consentimento prévio;
g) informações dos compartilhamentos de dados;
h) informações sobre a possibilidade de não fornecer o consentimento e suas consequências;
i) revogação do consentimento;
j) revisão de decisões tomadas unicamente com base em tratamento automatizado, incluindo definição de perfil pessoal, profissional, de consumo, de crédito ou os aspectos de sua personalidade.
E no caso de dados de criança, quais os cuidados adicionais?
O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou responsável legal. Somente poderão ser coletados dados pessoais de crianças sem o consentimento quando for necessário para contatar os pais ou responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiros sem o consentimento. A participação em jogos e aplicações de internet não poderá ser condicionada ao fornecimento de informações pessoais além das estritamente necessárias.
Quem são as empresas afetadas pela Lei Geral de Proteção de Dados? Apenas as empresas de tecnologia?
A Lei Geral de Proteção de Dados não afeta apenas as empresas de tecnologia. Ela afeta todas as empresas que tratem dados pessoais. A Lei Geral de Proteção de Dados caracterizou os agentes de tratamento. Eles podem ser tanto pessoa natural como jurídica, de direito público ou privado, como o controlador, a quem competem as decisões referentes ao tratamento de dados pessoais; e o operador, que realiza o tratamento de dados pessoais em nome do controlador, nos mesmos moldes do GDPR.
Quais são os cuidados que as empresas devem tomar ao obter o consentimento?
O consentimento deverá ser realizado para finalidades específicas, não podendo ser genérico, mas pode ser realizado por qualquer meio que demonstre a manifestação de vontade do titular, desde que conste em cláusula destacada das demais. Além disso, o consentimento poderá ser revogado a qualquer momento, mediante manifestação expressa do titular, mediante procedimento gratuito e facilitado.
Caberá ainda ao controlador do tratamento dos dados o ônus da prova de que o consentimento foi obtido. Entretanto, estará dispensado o consentimento quando os dados forem tornados manifestamente públicos pelo titular.
As empresas podem transferir dados para fora do país?
Os dados pessoais podem ser transferidos para fora do país somente quando:
a) os países possuam grau de proteção de dados pessoais compatível com a lei brasileira;
b) o controlador comprovar as mesmas garantias previstas na Lei Geral de Proteção de Dados, por meio de: 1) cláusulas contratuais específicas para uma determinada transferência; 2) cláusulas-padrão contratuais; 3) normas corporativas globais; d) selos, certificados e códigos de conduta regularmente emitidos;
c) for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução;
d) for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro;
e) a autoridade nacional autorizar a transferência;
f) for decorrente de acordo de cooperação internacional;
g) for necessária para execução de política pública ou atribuição legal do serviço público; h) o titular tiver fornecido o seu consentimento específico e em destaque; ou
i) necessário para cumprimento de obrigação legal, execução de um contrato ou exercício regular de um direito em processos.
Quais as penalidades e responsabilidade de quem não cumprir a Lei Geral de Proteção de Dados?
Quem não cumprir a Lei Geral de Proteção de Dados ficará sujeito as penalidades de advertência. São elas: multa de até 2% (dois por cento) do faturamento, limitada a R$ 50 milhões por infração, publicização da infração, bloqueio ou eliminação dos dados.
O controlador do tratamento de dados que causar dano patrimonial, moral, individual ou coletivo, é obrigado a reparar, estando ainda sujeito a inversão do ônus da prova a favor do titular dos dados e a solidariedade com o operador, quando diretamente envolvido no tratamento.
O operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador
Como as empresas precisam se preparar?
– Criando Relatório de Impacto à Proteção de Dados;
– Registro do tratamento: As empresas deverão manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse;
– Encarregado pelo Tratamento de Dados Pessoais (A regra geral foi que as empresas deverão indicar um encarregado pelo tratamento de dados pessoais.)
Este será responsável por:
a) aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
b) receber comunicações da autoridade nacional e adotar providências;
c) orientar os funcionários e os contratados sobre as normas de proteção de dados pessoais; e
d) executar as demais atribuições determinadas pela empresa ou normas complementares.
– Segurança: As empresas deverão verificar se o tratamento de dados pessoais está sendo realizado de maneira segura.
– Comunicação de vazamento: O controlador deverá comunicar a autoridade nacional E ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
Ainda, é possível que a figura do ENCARREGADO, determinada na lei Lei nº 13.709/18, seja tanto uma pessoa física quanto jurídica, havendo portanto, a possibilidade de contratar serviço de “DPO as a service“, modalidade de prestação de serviços prestada por nosso escritório, onde atuamos como encarregados pela proteção de dados pessoais de nossos clientes, gerando economia e tranquilidade, uma vez que nossa equipe está sempre atualizada e pronta para atender às especificidades da lei e da Agência Nacional de Proteção de Dados Pessoais- ANPD.
