Desmistificando a LGPD

A Lei Geral de Proteção de Dados Pessoais (LGPD) – Lei nº 13.709, aprovada em 14 de agosto de 2018, dispõe sobre o tratamento de dados pessoais em âmbito nacional, com o objetivo de proteger os direitos fundamentais de liberdade, privacidade e a livre formação da personalidade de cada indivíduo.

Seu principal foco é oferecer ao titular dos dados maior conhecimento, controle e transparência na coleta, processamento, uso e compartilhamento de suas informações pessoais, tanto aquelas armazenadas em bancos de dados das instituições privadas e de órgãos públicos como aquelas disponíveis em meios físicos.

A LGPD existe com o objetivo de controle e proteção dos direitos fundamentais de liberdade, privacidade e a livre formação da personalidade de cada indivíduo, através da criação de parâmetros para o tratamento destes dados, conforme Art. 6º (princípios) e Art. 7º (hipóteses de tratamento) da lei.

A lei existe desde agosto/2018, tendo tido as instituições um prazo de dois (2) anos para providenciar sua regularização.

Na esfera jurídica, as empresas já respondem desde ago/2020 e na esfera administrativa, desde ago/2021.

A LGDP se aplica a qualquer pessoa, física ou jurídica (pública ou privada) que faça o tratamento de dados pessoais, inclusive aqueles coletados antes do início da obrigatoriedade. Caso sua empresa trate informações de pessoas físicas, ela deve se adequar à lei.

Importante ressaltar que a RESOLUÇÃO CD/ANPD Nº 2, de 27 de janeiro de 2022 em seu Art. 2º, inciso I, define a obrigatoriedade da adequação, também, para os entes despersonalizados, onde incluem-se os condomínios.

Toda informação (ou conjunto de informações) relativa à pessoa física identificada ou identificável é considerada um dado pessoal. Porém, esta definição possui uma segmentação, que é o dado pessoal sensível. Este é caracterizado como toda informação que pode acarretar prática discriminatória, por isso, eles possuem uma proteção maior na LGPD. Observe abaixo:

 

Dados pessoais: é toda e qualquer informação relacionada a pessoa natural identificada ou identificável. Entre os exemplos de dados pessoais podemos citar o nome, RG, CPF, e-mail, telefone fixo e celular, endereço residencial, etc. Não são considerados dados pessoais aqueles relativos a uma pessoa jurídica, como CNPJ, razão social, endereço comercial, entre outros.

 

Dados pessoais sensíveis: conforme Art. 11, é todo dado pessoal que pode gerar qualquer tipo de discriminação, tais como os dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.

A lei considera a imagem da pessoa como um dado pessoal, mais ainda, como um dado pessoal sensível, o que exige um cuidado mais rigoroso em seu tratamento, independentemente de serem gravadas ou não.

Via de regra, o tratamento de dado pessoal sensível é possível desde que o titular do dado manifeste seu consentimento (autorização) para o uso de acordo com uma finalidade pré-determinada. Entretanto, conforme artigo 11, II, alínea “e”, da LGPD, há dispensa do consentimento para tais imagens/filmagens desde que para a finalidade de proteção da vida, integridade física do titular do dado ou de terceiros, mas o uso dessas imagens deve cumprir estritamente esta finalidade.

Sim, conforme previsto em seu Art. 1º esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Sim, condomínios residenciais e comerciais precisam adequar suas políticas e procedimentos à Lei 13.709/2018 (LGPD). Alguma dúvida que pudesse haver em relação à esta necessidade, foi plenamente esclarecida com o advento da RESOLUÇÃO CD/ANPD Nº 2, de 27 de janeiro de 2022, que em seu Art. 2º, inciso I, equiparou os entes despersonalizados (condomínios) às empresas de pequeno porte.

Esta resolução estabelece alguns benefícios no processo de adequação das pequenas e microempresas às exigências da LGPD.
Dentre os principais benefícios, podemos destacar:

– possibilidade de cumprir a obrigação de elaboração e manutenção de registro das operações de tratamento de dados pessoais, constante do art. 37 da LGPD, de forma simplificada.

– prazos em dobro para o atendimento das obrigações.

– dispensa da indicação do Encarregado pelo Tratamento de Dados Pessoais (DPO).

 

Muito importante, na análise desta resolução, considerar as exceções previstas no Art. 3º e complementadas no Art. 4º.

As empresas que não realizarem o processo de adequação de suas políticas e procedimentos à LGPD estarão descumprindo a lei 13.709/2018, e desta forma, sujeitas às sanções previstas em seu Art. 52 e seguintes, que variam desde uma notificação, até multas diárias e proibição do exercício da atividade.

O processo de adequação envolve, entre outros:

Identificar os processos que utilizam dados pessoais e seus responsáveis;
Adequar processos internos que envolvam captação ou armazenamento de dados pessoais, inclusive quando envolvem prestadores de serviços terceirizados (como em caso de portaria virtual);
Adequar instrumentos utilizados – contratos, cadastros, CFTV, banco de dados, sistemas de informática, e demais ferramentas ou instrumentos utilizados;
Designar formalmente o Encarregado de Proteção de Dados (Data Protection Officer – DPO);
Estabelecer plano de avaliação constante e manutenção da regularidade.

Os personagens, por parte das empresas são:

 

O controlador – É a própria empresa. É quem determina os fins, os meios de tratamento, implementa medidas, técnicas e políticas apropriadas à proteção de dados. Tem o dever de garantir o cumprimento dos requisitos necessários para resguardar os DP sobre seu poder.

 

O operador – pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. Um exemplo de operador seria um subcontratante do controlador, contratado para fazer o tratamento dos dados daquele.

 

O Encarregado de Proteção de Dados (DPO). É o intermediário entre os titulares dos dados pessoais, as empresas e instituições governamentais (os controladores) e a Autoridade Nacional de Proteção de Dados, atuando como um canal de comunicação entre esses. Esse cargo é fundamental para que a empresa tome decisões acertadas, implementando boas práticas e adequado compliance institucional.

O papel do controlador é determinar os fins e os meios de tratamento dos dados pessoais, implementar medidas técnicas e políticas apropriadas à proteção de dados. O controlador tem o dever de garantir o cumprimento dos requisitos necessários para resguardar os dados pessoais sobre seu poder e também é o responsável pela indicação do DPO da empresa.

Conforme definido no Art. 41 da LGPD, as principais responsabilidades do Encarregado de Dados (DPO) são:

I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II – receber comunicações da autoridade nacional e adotar providências;

III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

O operador é pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador e possui sua responsabilidade descrita no Art. 39 da LGPD como sendo a de realizar o tratamento dos dados pessoais segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria.

Todas as instituições desempenharão o papel de “Controlador” em relação ao tratamento dos dados pessoais sob sua responsabilidade e deverão exceto aquelas beneficiadas pela RESOLUÇÃO CD/ANPD Nº 2, de 27 de janeiro de 2022, indicar o Encarregado de Dados (DPO).

A figura do “operador” não é obrigatória, sendo que esta aparecerá sempre que a instituição (Controlador) terceirizar a realização de alguma de suas atividades à outro. Neste caso, podemos citar a utilização de um escritório jurídico ou contábil terceirizados, estes terão o papel de operadores em relação à instituição que os contratou.

O cooperador é pessoa física ou jurídica, contratada pelo Operador, para realizar uma tarefa de tratamento de dados pessoais que estava sob responsabilidade deste.

O cooperador também responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador.

Conforme previsto na LGPD em seu Art. 41 § 1º, a identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.

Recomenda-se que es informações do Encarregado de Dados (DPO) também sejam divulgadas em placas, disponíveis nas recepções de empresas e portarias de edifícios e condomínios.

As figuras do Controlador e do Operador de Dados Pessoais são definidas de acordo com as atividades que desempenham, estes não são nomeados.

O Controlador é quem determina os fins, os meios de tratamento, implementa medidas, técnicas e políticas apropriadas à proteção de dados. Já o operador é toda pessoa natural ou jurídica que processa dados pessoais em nome do controlador

Um dos setores que mais sente a necessidade de adaptação com a LGPD é o de Tecnologia da Informação (TI), principalmente quanto às ações no mundo digital. É necessário muito cuidado na hora de manter todas as operações legais, no que tange aos dados pessoais que estão de posse da instituição, portanto, tornar os bancos de dados mais seguros, por exemplo, é uma das atribuições da TI. Qualquer vazamento de dados irá recair sobre a instituição portadora dessas informações.

Além disto, para estar adequada a LGPD, a estrutura de TI necessita estar atenta e preparada para atender aos direitos dos titulares de dados que vão desde uma simples consulta sobre a existência dos dados, até a exclusão, quando necessário.

A Autoridade nacional de Proteção de Dados (ANPD) é o órgão fiscalizador, monitora e faz cumprir a aplicação da LGPD.

Nos casos em que a ANPD identificar a falta de adequação da instituição ao estabelecido na 13.709/2018, poderá fazer uso das sanções previstas no Art. 52 e seguintes, que vão desde um notificação formal, até multas diárias e possibilidade de proibição do exercício das atividades.

Em caso de fiscalizações, será necessário mostrar que a instituição está adequada a lei 13.709/2018 através de suas políticas, processos, comprovações de treinamento e ferramentas de proteção aos dados pessoais.