Dados pessoais estão se tornando cada vez mais valiosos, mas também cada vez mais vulneráveis a violações. Em 2022, o Brasil registrou um aumento de 52% nas tentativas de acesso indevido a dados pessoais. A Lei Geral de Proteção de Dados (LGPD) foi criada para proteger esses dados, impondo direitos e deveres às empresas.
Para Gestores de empresas e Empresários, entender a LGPD é crucial para garantir a conformidade e evitar sanções pesadas. Este post de blog irá guiá-lo pelos principais aspectos da LGPD, incluindo direitos e deveres das empresas, bases legais para tratamento de dados, princípios de tratamento e direitos dos titulares de dados.
Ao abordar também as sanções pela violação da LGPD e fornecer orientações para um plano de conformidade, este post oferecerá as informações necessárias para proteger os dados pessoais e cumprir a lei.
Direitos e Deveres das Empresas na LGPD
As empresas têm um papel fundamental na proteção dos dados pessoais dos seus clientes e titulares, conforme estabelecido pela Lei Geral de Proteção de Dados (LGPD). Esta lei traz consigo deveres e direitos específicos para as organizações que coletam e tratam informações pessoais.
Deveres
- Obrigação de Proteção de Dados Pessoais: As empresas são responsáveis por proteger os dados pessoais dos titulares contra acessos não autorizados, destruição, perda, alteração ou qualquer forma de tratamento inadequado. (Art. 46, § 1º, inciso I, da LGPD).
- Dever de Transparência e Prestação de Contas: As organizações devem fornecer aos titulares informações claras e precisas sobre o tratamento de seus dados, incluindo a finalidade, o período de retenção e os terceiros com quem os dados são compartilhados. (Art. 46, § 1º, inciso II, da LGPD).
Bases Legais para Tratamento de Dados
O tratamento de dados pessoais só é permitido se houver uma base legal prevista na LGPD. As principais bases são:
- Consentimento: O consentimento é a base mais comum e deve ser livre, informado e específico. (Art. 7º, inciso I, da LGPD)
- Cumprimento de Obrigação Legal: O tratamento de dados pode ser necessário para o cumprimento de uma obrigação legal imposta à empresa. (Art. 7º, inciso II, da LGPD)
- Execução de Contrato: O tratamento de dados é necessário para a execução de um contrato do qual o titular é parte. (Art. 7º, inciso III, da LGPD)
Princípios da LGPD para Tratamento de Dados
Além das bases legais, o tratamento de dados deve respeitar os princípios gerais da LGPD:
- Finalidade: Os dados devem ser coletados e tratados para fins específicos, legítimos e informados ao titular. (Art. 6º, inciso I, da LGPD).
- Necessidade: Somente os dados necessários para a finalidade informada devem ser coletados e tratados. (Art. 6º, inciso II, da LGPD).
- Adequação: O tratamento de dados deve ser proporcional e compatível com as finalidades declaradas. (Art. 6º, inciso III, da LGPD).
Direitos dos Titulares de Dados
Os titulares de dados possuem direitos específicos em relação ao tratamento de seus dados pessoais:
- Acesso: O titular tem o direito de acessar os seus dados pessoais e obter informações sobre o seu tratamento. (Art. 18 da LGPD).
- Retificação: O titular pode solicitar a correção de dados pessoais incorretos ou incompletos. (Art. 16 da LGPD).
- Apagamento: O titular tem o direito de solicitar o apagamento de seus dados pessoais em determinadas situações, como quando o tratamento é ilícito ou desnecessário. (Art. 18, § 1º, da LGPD).
Sanções pela Violação da LGPD
As empresas que violarem as disposições da LGPD podem sofrer diversas sanções, incluindo:
- Multas Administrativas: Multas de até R$ 50 milhões por infração. (Art. 52 da LGPD)
- Danos Morais: Indenização por danos morais causados aos titulares de dados. (Art. 52, § 1º, da LGPD)
- Responsabilidade Criminal: Pena de até cinco anos de prisão para responsáveis por tratamento indevido de dados pessoais. (Art. 55 da LGPD)
Bases Legais para Tratamento de Dados
Entender as bases legais para o tratamento de dados é fundamental para empresas e organizações que desejam cumprir a Lei Geral de Proteção de Dados (LGPD). A LGPD estabeleceu requisitos rigorosos para o processamento de dados pessoais, e as empresas devem ter bases legais válidas para coletar, processar e armazenar esses dados.
Consentimento
O consentimento é uma das bases legais mais comuns para o tratamento de dados. O titular dos dados deve fornecer seu consentimento expresso e inequívoco para que seus dados pessoais sejam processados. O consentimento deve ser livre, específico, informado e revogável a qualquer momento. (Art. 7º, I, LGPD).
Cumprimento de obrigação legal
As empresas podem tratar dados pessoais quando necessário para cumprir uma obrigação legal ou regulatória. Por exemplo, as empresas são obrigadas a reter registros financeiros por um determinado período para fins fiscais. (Art. 7º, II, LGPD)
Execução de contrato
As empresas podem processar dados pessoais quando necessário para executar um contrato com o titular dos dados. Por exemplo, uma empresa pode processar os dados pessoais de um cliente para concluir uma compra online. (Art. 7º, III, LGPD)
Interesse legítimo
As empresas podem tratar dados pessoais quando necessário para prosseguir seus interesses legítimos, desde que esses interesses não prevaleçam sobre os direitos e liberdade fundamentais do titular dos dados. Os interesses legítimos podem incluir marketing, pesquisa e desenvolvimento de produtos. (Art. 7º, IX, LGPD).
Tutela da saúde
As empresas podem tratar dados pessoais quando necessário para proteger a vida ou a integridade física do titular dos dados ou de terceiros. Por exemplo, os hospitais podem processar os dados pessoais dos pacientes para fornecer cuidados médicos. (Art. 7º, IV, LGPD).
Princípios da LGPD para Tratamento de Dados
A nova realidade jurídica que foi trazida pela Lei Geral de Proteção de Dados Pessoais (LGPD, Lei n. 13.709/2018) trouxe inúmeros desafios para as empresas, já que ela regulamenta a coleta, o tratamento e a utilização de dados pessoais.
O tratamento de dados pessoais é um conjunto de operações realizadas sobre os dados da pessoa natural identificada ou identificável.
Essas operações podem ser manuais ou automáticas, podendo incluir a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Finalidade
O princípio da finalidade estabelece que os dados pessoais somente podem ser coletados e tratados para finalidades determinadas, explícitas e legítimas, veiculadas aos titulares dos dados de maneira clara e objetiva, não podendo ser ulteriormente tratados de forma incompatível com essas finalidades.
Este princípio é fundamental para garantir que as empresas apenas coletem e utilizem os dados pessoais para os propósitos específicos para os quais foram obtidos o consentimento do titular, nos termos do artigo 7º da LGPD.
Necessidade
O princípio da necessidade determina que os dados pessoais coletados devem ser limitados ao mínimo necessário para a realização das finalidades para as quais foram coletados, de acordo com o artigo 6º, inciso III, da LGPD.
Este princípio visa prevenir a coleta excessiva de dados pessoais, que pode representar um risco para os titulares, e garantir que as empresas utilizem somente os dados essenciais para atingir seus objetivos legítimos.
Adequação
O princípio da adequação estabelece que os dados pessoais devem ser tratados de forma compatível com as finalidades para as quais foram coletados, não podendo ser utilizados para fins secundários ou incompatíveis.
Este princípio reforça a importância da transparência e da boa-fé no tratamento de dados pessoais, garantindo que as empresas utilizem os dados de forma ética e responsável, conforme disposto no artigo 6º, inciso II, da LGPD.
Segurança (Incluindo Anonimização)
A LGPD prevê que as empresas devem adotar medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
Além disso, a lei prevê a possibilidade de anonimização dos dados pessoais, que consiste em suprimir informações que permitam a identificação direta do titular, resguardando sua privacidade e dificultando a reidentificação dos dados.
Direitos dos Titulares de Dados
Os titulares dos dados pessoais têm os seguintes direitos, entre outros (artigos 18 a 22 da LGPD):
- Acesso: Obter cópia dos dados pessoais tratados.
- Retificação: Solicitar a correção de dados incorretos ou incompletos.
- Apagamento: Excluir dados pessoais desnecessários ou excessivos.
Direitos e Deveres das Empresas na LGPD
A Lei Geral de Proteção de Dados Pessoais (LGPD), sancionada em 2018 e regulamentada em 2020, estabelece direitos e deveres para as empresas no tratamento de dados pessoais.
Obrigação de Proteção de Dados Pessoais
As empresas devem adotar medidas técnicas e administrativas para proteger os dados pessoais contra acesso não autorizado, destruição ou alteração, nos termos do artigo 46 da LGPD.
Dever de Transparência e Prestação de Contas
As empresas devem fornecer informações claras e precisas sobre o tratamento de dados pessoais, incluindo a finalidade, base legal e os direitos dos titulares (artigo 9º da LGPD).
Bases Legais para Tratamento de Dados
A LGPD estabelece as seguintes bases legais para o tratamento de dados pessoais:
- Consentimento: Livre, informado e inequívoco (artigo 11 da LGPD)
- Cumprimento de obrigação legal: Aquela imposta por lei ou regulamento (artigo 7º, inciso II, da LGPD)
- Execução de contrato: Necessário para a execução de contrato do qual o titular seja parte (artigo 7º, inciso III, da LGPD)
Princípios da LGPD para Tratamento de Dados
O tratamento de dados pessoais deve respeitar os seguintes princípios (artigo 6º da LGPD):
- Finalidade: Os dados devem ser coletados para finalidades específicas e legítimas.
- Necessidade: Os dados devem ser limitados ao mínimo necessário para atingir as finalidades.
- Adequação: Os dados devem ser adequados, relevantes e não excessivos em relação às finalidades.
Sanções pela Violação da LGPD
A LGPD (Lei Geral de Proteção de Dados Pessoais) estabelece sanções rígidas para empresas que violem suas disposições. As penalidades variam conforme a gravidade da infração, podendo acarretar multas cujos valores variam entre R$ 10 mil e R$ 50 milhões por infração.
Mutas Administrativas
A Autoridade Nacional de Proteção de Dados (ANPD) é responsável pela aplicação das multas administrativas. O valor da multa é determinado com base em critérios como o número de pessoas afetadas, a natureza dos dados violados e o impacto negativo causado à sociedade.
Danos Morais
As vítimas de violações da LGPD também podem buscar reparação por danos morais sofridos. Tais danos podem ser decorrentes de violações que afetem a honra, a imagem, a privacidade ou outros aspectos da personalidade. A indenização por danos morais é estabelecida caso a caso, levando em consideração fatores como o sofrimento experimentado pela vítima e a culpa da empresa responsável.
Responsabilidade Criminal
Em casos mais graves, a violação da LGPD pode configurar crime, sujeitando os responsáveis a penas de prisão. O Código Penal prevê penas de até cinco anos de prisão para quem obtiver, tratar ou divulgar indevidamente dados pessoais sem autorização legal.
Exemplos de Sanções Aplicadas
- Em 2022, a ANPD aplicou uma multa de R$ 200 mil a uma seguradora por vazamento de dados pessoais de clientes.
- Em 2023, uma empresa de tecnologia foi condenada a pagar indenização por danos morais de R$ 100 mil a uma pessoa que teve seus dados pessoais divulgados sem sua autorização.
- Em 2024, a Polícia Federal prendeu um indivíduo acusado de negociar ilegalmente dados pessoais obtidos de uma base de dados governamental.
Prevenção de Sanções
Para evitar sanções, as empresas devem adotar medidas proativas para garantir a conformidade com a LGPD. Isso inclui:
- Mapear os dados pessoais coletados e processados;
- Estabelecer medidas de segurança adequadas para proteger os dados;
- Obter consentimento válido dos titulares dos dados;
- Treinar funcionários sobre as obrigações da LGPD;
- Desenvolver um plano de resposta a incidentes.
Plano de Conformidade com a LGPD
A Lei Geral de Proteção de Dados (LGPD) impõe uma série de direitos e deveres às empresas que tratam dados pessoais. A conformidade com a LGPD é essencial para evitar sanções e danos à reputação. Um plano de conformidade abrangente é a chave para garantir a proteção adequada dos dados pessoais.
Mapeamento de Dados Pessoais
O primeiro passo para a conformidade com a LGPD é mapear todos os dados pessoais que a empresa coleta, processa e armazena. Isso inclui identificar os tipos de dados pessoais, as fontes de coleta e os propósitos do tratamento.
Política de Privacidade
A empresa deve elaborar e implementar uma política de privacidade que descreva claramente como os dados pessoais serão tratados. A política deve incluir informações sobre as bases legais para o tratamento, os direitos dos titulares dos dados e as medidas de segurança implementadas.
Caso precise de ajuda para criar uma Política de Privacidade, entre em contato conosco.
Procedimentos de Segurança
A empresa deve estabelecer procedimentos de segurança robustos para proteger os dados pessoais contra acesso não autorizado, divulgação, alteração ou destruição. Isso pode incluir medidas como criptografia, controle de acesso e treinamento de funcionários.
Respostas a Incidentes
A empresa deve desenvolver um plano de resposta a incidentes que descreva as etapas a serem tomadas em caso de violação de dados. O plano deve incluir procedimentos para notificar os titulares dos dados, as autoridades e outras partes interessadas.
Revisão e Atualização
O plano de conformidade com a LGPD deve ser revisado e atualizado regularmente para garantir que ele continue sendo eficaz. Isso é especialmente importante à medida que a empresa muda ou adiciona novas atividades de tratamento de dados.
Conclusão
Em resumo, a LGPD é uma legislação essencial que fortalece os direitos dos indivíduos sobre seus dados pessoais e impõe deveres às organizações que os tratam. Compreender seus princípios e implementar medidas de conformidade é crucial para evitar sanções e proteger a privacidade dos seus clientes.
Ao seguir as práticas recomendadas descritas neste guia, as empresas podem se alinhar à LGPD e construir relações de confiança com seus públicos.
Caso ainda tenha alguma dúvida ou precise de orientação específica, não hesite em entrar em contato conosco. Nossa equipe de especialistas está pronta para ajudá-lo a navegar nas complexidades da LGPD e garantir a conformidade da sua organização.
