LGPD: entenda o que é, quais são os seus 10 princípios e como se adequar

Saiba o que é e para que serve a LGPD

A Lei Geral de Proteção de Dados Pessoais (LGPD) estabelece diretrizes importantes e obrigatórias para o tratamento de dados pessoais. Por meio dela, passamos a ter uma série de obrigações e deveres ao realizar a coleta, o processamento e o armazenamento de dados pessoais.

No Brasil, a LGPD foi promulgada no dia 14 de agosto de 2018, por meio da Lei n. 13.709, tendo entrado plenamente em vigor apenas no dia 1º de agosto de 2021. Seu principal objetivo é o de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

A LGPD tem como fundamento o respeito à privacidade, a autodeterminação informativa, a liberdade de expressão, de informação, de comunicação e de opinião, a inviolabilidade da intimidade, da honra e da imagem, o desenvolvimento econômico e tecnológico e a inovação, a livre iniciativa, a livre concorrência e a defesa do consumidor, os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

A LGPD traz, ainda, algumas definições muito importantes, tais como a de dado pessoal, que nada mais é do que a informação relacionada a pessoa natural identificada ou identificável, a de titular, que é considerado a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento, e a de controlador, que é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

Como se percebe que a noção tradicional de privacidade, restrita quase que, exclusivamente, à proteção da intimidade e ao direito de ser deixado só (right to be alone), sucumbiu diante do direito de a pessoa natural ser informada, previamente, acerca da necessidade, finalidade e interesse da utilização dos seus dados pessoais (informative self-determination).

Não é por outra razão, aliás, que a autodeterminação informativa, ou em outras palavras, o controle pessoal exercido pelo titular dos dados pessoais, é condição sine qua non para o respeito à privacidade, a liberdade de expressão, de informação, de comunicação e de opinião; a inviolabilidade da intimidade, da honra e da imagem, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

E vamos muito além: por estarmos em uma economia movida por dados pessoais (data-driven economy), em que a informação estruturada representa a principal fonte de recurso imaterial, se faz absolutamente necessário regulamentar o seu adequado tratamento, a fim de se resguardar o desenvolvimento econômico e tecnológico, a inovação, a livre iniciativa, a livre concorrência e a defesa do consumidor.

A LGPD, portanto, serve não apenas para proteger e resguardar os direitos dos titulares de dados, como, também, para delimitar os parâmetros e os limites legais para a realização do tratamento dos dados pessoais.

Entenda os 10 princípios da LGPD para o tratamento de dados pessoais

A LGPD possui 10 princípios. São eles:

1. finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
2. adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
3. necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
4. livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
5. qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
6. transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
7. segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
8. prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
9. não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
10. responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Como se vê, a preocupação do legislador ultrapassou – e muito – a simples tutela do direito à privacidade, vindo a prestigiar a adoção de boas práticas que demonstrem transparência e, notadamente, a accountability.

A realização do tratamento de dados pessoais, nesse contexto, deve ter propósitos legítimos, específicos, explícitos e informados ao titular, ser compatível com as finalidades informadas e estar limitado ao mínimo necessário de informações para a realização de suas finalidades.

Além disso, deve se dar garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, de informações claras, precisas e facilmente acessíveis, bem como de utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

Por fim, deve-se buscar adotar medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais, não realizar o tratamento para fins discriminatórios ilícitos ou abusivos e, ainda, demonstrar que se adotou medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Sob essas lentes, não há dúvidas de que a LGPD pode ser vista como um verdadeiro contrapeso à tendência de monetização assimétrica dos dados pessoais, o que nos leva a refletir acerca das principais hipóteses legais de tratamento.

Confira quais são as bases legais da LGPD

A LGPD estabelece que o tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

• mediante o fornecimento de consentimento pelo titular;
• para o cumprimento de obrigação legal ou regulatória pelo controlador;
• pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres
• para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
• quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
• para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
• para a proteção da vida ou da incolumidade física do titular ou de terceiro;
• para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
• quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
• para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Em outras palavras, o legislador definiu as situações em que o controlador poderá realizar o tratamento de dados pessoais, ou seja, em que você poderá, por exemplo, coletar dados pessoais ou mesmo armazenar sem ter nenhum problema do ponto de vista de compliance regulatório.

Lembre-se, contudo, de que quando estamos falando em dados pessoais sensíveis, ou seja, aqueles relacionados a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural, não poderemos utilizar as bases legais da execução do contrato, do legítimo interesse e da proteção do crédito.

Então tome muito cuidado antes de definir uma base legal, pois ela sempre deverá ser escolhida previamente ao tratamento de dados pessoais e ser fiel à sua finalidade.

Saiba quais são as sanções da LGPD

A LGPD previu um rol de sanções administrativas no caso de descumprimento das obrigações de compliance pela empresa. São elas:

• advertência, com indicação de prazo para adoção de medidas corretivas;
• multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
• multa diária;
• publicização da infração após devidamente apurada e confirmada a sua ocorrência;
• bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
• eliminação dos dados pessoais a que se refere a infração;
• suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
• suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
• proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Lembre-se, ainda, de que as sanções administrativas previstas pela LGPD estão em vigor desde 1º de agosto de 2021 e são passíveis de aplicação somente pela ANPD, o que, por óbvio, atrai a necessidade de adequação imediata da sua empresa.

Veja 5 benefícios que a LGPD gera para sua empresa

Podemos elencar, pelo menos, 5 benefícios que a LGPD gera para a sua empresa. São eles:

1. Mudança da cultura organizacional da organização

O primeiro dos 5 benefícios que a LGPD gera para a sua empresa é a mudança do mindset da organização, em relação à sua cultura da privacidade, da proteção de dados e da segurança da informação. Todos os colaboradores e demais partes interessadas passam a entender que o tratamento adequado dos dados pessoais beneficia não apenas a empresa, como a todos de um modo em geral.

2. Criação de um ambiente sustentável para a realização de negócios

A adequação à LGPD proporciona um ambiente sustentável para a realização de negócios. É a partir dela, aliás, que a sua empresa consegue evidenciar que está pronta para atender tanto aos requisitos regulatórias, como às exigências dos parceiros de negócio.

3. Redução das perdas de receitas operacionais

A redução das perdas das receitas operacionais é cristalino com a adequação à LGPD. Ganha-se mais, perdendo-se menos, por meio da adoção de medidas mitigadoras de riscos, com foco na prevenção e não apenas na repressão. Busca-se, assim, fortalecer o sistema de controles internos, com base no enfrentamento às vulnerabilidades e aos incidentes de segurança da informação.

4. Melhoria da reputação corporativa

A reputação corporativa da sua empresa passa a ser ainda mais valorizada pelo mercado. É que se passa a construir, na prática, uma imagem empresarial mais sólida, transparente e socialmente responsável, proporcionando a atração de novos investidores. É a valorização do principal bem intangível da organização: a sua reputação.

5. Atenuação de sanções legais  

A adequação à LGPD previne, ainda, a aplicação de sanções legais, em razão do que dispõe a própria legislação, no sentido que a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, bem como a adoção de política de boas práticas e governança influenciam diretamente na parametrização da pena. Por óbvio, sem a existência de um programa efetivo governança em privacidade, as penas podem ser fixadas em patamares muito mais elevados.

Descubra os 3 passos para implementar e colocar em prática a LGPD na sua empresa

Há 3 passos essenciais para implementar e colocar em prática a LGPD na sua empresa.

Primeiro Passo: entender o contexto da organização

Antes de mais nada, é preciso entender o contexto da organização, conhecer as principais partes interessadas, formar o time de privacidade e sensibilizar os colaboradores.

É que sem engajar a todos, a LGPD torna-se apenas mais uma ferramenta burocrática dentro da organização. E lembre-se: não há um modelo único, por isso é necessário ter visão acerca das principais obrigações de compliance que a empresa, mandatoriamente ou voluntariamente, precisa cumprir.

Nessa fase, por exemplo, você pode definir quais serão as pessoas diretamente envolvidas com o projeto, levantar as principais preocupações da organização em relação ao tema e promover palestras de sensibilização na sua empresa.

Não se esqueça, também, de ter bem clara a definição de papéis e responsabilidades, especialmente, em relação ao exercício da função de encarregado pelo tratamento de dados pessoais.

Segundo Passo: realizar a avaliação de riscos de compliance

Este passo vai exigir de você um pouco mais de tempo, esforço e conhecimento técnico, em razão da necessidade de se buscar as principais fontes de riscos ligados à proteção de dados pessoais e segurança da informação dentro da sua empresa.

A avaliação de riscos de compliance envolve as etapas de identificação, análise, avaliação, tratamento e comunicação dos riscos, por meio da análise de documentos e realização de entrevistas pessoais com os pontos focais da organização.

É nessa fase também que você deve fazer o mapeamento do ciclo de vida dos dados pessoais da sua organização, com o objetivo de entender como ocorre a coleta, o processamento e o arquivamento de dados pessoais dentro da sua empresa. Como se percebe, este é um passo fundamental para o sucesso do compliance dentro da sua empresa.

Terceiro Passo: implementação dos planos de ação

O terceiro passo corresponde à implementação dos planos de ação levantados na etapa anterior. É chegada a hora de “botar a mão na massa”, para dar início à elaboração da Política de Privacidade, da Política de Segurança da Informação e à adequação dos processos e procedimentos relacionados.

Por fim, e não menos importante, você deve realizar treinamentos e capacitações a todas as partes interessadas, com o objetivo de engajar cada vez mais as pessoas responsáveis pelo dia-a-dia da sua empresa.

Conclusão: coloque em prática a LGPD

A LGPD deve ser posta em prática! Por isso sempre devemos buscar aplicá-la e amoldá-la de acordo com as obrigações de compliance e o contexto da nossa organização!

E nunca se esqueçam de acreditar no poder das pessoas…é apenas por meio delas que conseguiremos promover uma verdadeira transformação da cultura de privacidade, proteção de dados pessoais e segurança da informação na sua empresa!