Publicações

 
A Equilíbrio Auditores avalia a Lei de Proteção de Dados Pessoais e apresenta os principais impactos e desafios em sua implementação

 

08/04/2019

A lei de proteção de dados pessoais

 

O Brasil, desde de fim de 2018, dispõe de uma lei de proteção de dados pessoais (no mercado ela é chamada de LGPD, ainda que não exista em sua designação o termo geral). Por simplicidade e para ajustar ao nome utilizado no mercado em geral, iremos chama-la de LGPD daqui para frente.

 

Motivações

 

No Brasil, até a aprovação da Lei 13.209/18, não existia uma regra clara e generalizada para regular o tratamento de dados pessoais.

 

A inexistência deste mecanismo, além dos problemas que pode trazer aos cidadãos (vazamento de dados, abuso no uso destes dados e afins), estava causando, por exemplo, problemas diplomáticos. Um deles é o pedido de ingresso na OCDE, uma vez que uma das exigências para o ingresso na OCDE é possuir lei que regule a proteção de dados pessoais. Outro que podemos citar é o acordo comercial com o União Europeia.

arte_Lei_protecao_dados.jpg

Ambiente regulatório internacional

 

A Europa, desde meados dos anos 90, tem leis de proteção de dados pessoais. Em 2016 foi aprovada a GDPR (Regulamento Geral de Proteção de Dados), sendo ele muito mais abrangente que as leis existentes até o momento. As empresas tiveram o prazo de aproximadamente 2 anos para se adaptar para o cumprimento da lei. Ainda que a lei seja europeia, empresas que desejam fazer negócios com a Europa estão obrigadas a cumpri-la.

 

Nos Estados Unidos, ainda que não exista uma lei geral, existem diversas leis e normas pulverizadas que tratam da privacidade e proteção de dados pessoais, que podemos dizer, equivalem a uma lei geral.

 

Na América Latina, países como Chile, Argentina, Colômbia e Uruguai possuem leis de proteção de dados pessoais.

 

O que é a LGPD?

 

A LGPD é a lei que regula a proteção de dados pessoais. Ela regula o tratamento, armazenamento, distribuição, coleta e destruição dos dados pessoais em todos os âmbitos (seja privado, empresarial ou público). O que isto quer dizer? Não importa se quem quer utilizar o dado pessoal seja uma pessoa física, uma empresa ou o poder público, a LGPD regula este uso.

 

Para o correto entendimento e aplicação da LGPD, temos que entender alguns conceitos importantes:

 

O que são dados pessoais?

 

Segundo a LGPD, “dado pessoal: informação relacionada a pessoa natural identificada ou identificável;”. O que isso quer dizer? Que todo o dado que pode identificar, direta ou indiretamente, uma pessoa é um dado pessoal. Podemos exemplificar dados pessoas como nome, sobrenome, RG, CPF, endereço, e-mail, telefones, endereço IP e diversos outros. Como podemos ver o conceito de dados pessoais é bastante amplo e aberto, podendo embarcar uma miríade de dados.

 

E dados pessoais sensíveis?

 

Segundo a LGPD, “dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;”. Os dados pessoais sensíveis também identificam a pessoa, porem são considerados extremamente sensíveis pois seu uso incorreto ou malicioso pode ser extremamente danoso a seu proprietário. Entre os dados pessoais sensíveis estão por exemplo fotos (com o objetivo de identificação), impressões digitais, imagens da retina e etc. Por este motivo, a lei dedica um tratamento especial a eles.

 

De quem são os dados?

 

A LGPD define que o titular é o proprietário dos dados e isto é de extrema importância pois, segundo a LGPD, somente o titular pode autorizar o uso de seus dados.

 

Quem é atingido pela LGPD?

 

A redação da LGPD nos diz “Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados ...”. Esta definição também é bastante ampla e abarca praticamente todos, no Brasil, que necessitem tratar dados pessoais, sejam pessoas físicas, jurídicas ou o próprio estado.

 

O que é tratar os dados e quem é o controlador?

 

Controlador é quem efetivamente trata os dados pessoais. Para exemplificar é a empresa que utiliza (trata) os dados pessoais.

 

Tratamento de dados é o uso efetivo dos dados pelo controlador. Para exemplificar o extensão que a LGPD dá ao tratamento, veja como tratamento de dados está definido: “tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;...”

 

 O que a LGPD define?

 

A linha mestra da LGPD é garantir que os dados pessoais dos titulares sejam utilizados pelos controladores somente do modo informado aos titulares e que a segurança destes dados esteja garantida.

 

Levando em consideração este parágrafo, a LGPD parece muito simples e fácil de ser implementada. Entretanto, este simples parágrafo esconde algumas complexidades. Como garantir o que diz o parágrafo?

 

A LGPD define quais são as hipóteses que permitem o tratamento de dados pelos controladores, ou seja, o que permite que o controlador trate os dados dos titulares?

 

O artigo 7º define as possibilidades de tratamento de dados pessoais. Para exemplificar citamos 3 exemplos e o que querem dizer:

 

I – mediante o fornecimento de consentimento pelo titular;

 

O controlador informa quais tratamentos pretende dar e pede a autorização ao titular para realiza-los. Esta autorização deve ser expressa. Esta autorização é somente para os tratamentos solicitados

 

IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;

 

Nesta hipótese, o controlador não precisa pedir autorização, entretanto, deve existir previamente um estudo e uma justificativa para este “interesse legítimo”. É facultado ao titular e à autoridade nacional de proteção de dados (ANPD), solicitar estes estudos e justificativas.

 

X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

 

Nesta hipótese, o controlador também não precisa de autorização expressa para tratar os dados pessoais.

Outro detalhe é a diferença entre dados pessoais e dados pessoais sensíveis. O que muda entre eles são as hipóteses de tratamento. Os dados pessoais sensíveis, tem menos hipóteses de tratamento de dados.

 

O que muda com a LGPD?

 

Nas organizações, a LGPD irá trazer várias mudanças de como os dados pessoais são tratados hoje. Estas mudanças irão afetar toda a organização. Podemos salientar algumas delas:

 

  • O titular dos dados pessoais é o efetivo dono dos dados e ele decide se aprova ou não o uso dos dados. Mesmo quando a LGPD autoriza o tratamento de dados sem a prévia autorização, é necessário que haja uma justificativa. E é importante que esta justificativa esteja registrada de forma clara e inequívoca.

 

  • O controlador é responsável pelo tratamento dos dados mesmo que os transfira para um terceiro. Ele deve, ainda, informar o titular sobre estas movimentações e o que será feito por estes terceiros;

 

  • Cabe ao controlador o ônus da prova do cumprimento da LGPD e que o uso dos dados é condizente com o informado e autorizado. Também cabe ao controlador provar que toma todas as medidas de segurança para proteger os dados pessoais que estão sob sua responsabilidade e ainda é obrigado a informar caso venham a ocorrer vazamento destes dados;

 

  • O titular pode, a qualquer momento, solicitar a eliminação, revogar a autorização para o uso, pedir a transferência dos dados, pedir a alteração dos dados ou solicitar quais dados estão de posse do controlador;

 

Como se preparar para a LGPD?

 

O passo inicial para se preparar para a LGPD é definir um responsável pela gestão dos temas relacionados à ela. Ainda que este passo pareça óbvio, ele traz alguns desafios. Qual departamento irá ser o responsável (jurídico, segurança, compliance, administrativo, etc.)? As alterações são bastante ramificadas e atingem processos em todas as áreas da empresa, assim a escolha correta do responsável pode facilitar o desenvolvimento do projeto. Outro passo importante é envolver a alta administração no processo, pois é essencial que toda a corporação participe da implementação e sem o envolvimento da alta administração as dificuldades para o envolvimento de todos aumentam muito.

 

É imprescindível mapear corretamente os dados pessoais utilizados e os fluxos que estes dados percorrem dentro da organização.

A LGPD tem um capítulo todo dedicado à segurança e boas práticas. Ela exige que o tratamento dos dados pessoais ocorra dentro de normas de segurança da informação condizentes com o mercado e que as boas práticas sejam seguidas. Assim a existência e cumprimento de normas de segurança da informação é praticamente uma condição para que a LGPD seja implementada.

 

Conclusão

 

De acordo com a medida provisória 869/2018 a LGPD entra em vigor em 14 de agosto de 2020. O prazo parece longo, mas alguns pontos devem ser levados em consideração:

 

  • Na Europa, a aderência à GDPR causou muitos problemas às organizações, pois elas subestimaram a complexidade da implementação (e a Europa já seguia uma lei de proteção de dados desde meados dos anos 90).

 

  • O tempo de implementação em uma corporação pode variar conforme o nível de organização, processos e disponibilidade da mesma. As mudanças são extremamente ramificadas e atingem diversos níveis e processos, envolvendo alterações em normas, procedimentos operacionais, relações com terceiros e clientes, contratos, termos de serviços entre vários outros.

 

  • A não aderência a LGPD pode implicar em multas pesadas e publicidade negativa.

 

  • Não deixe para última hora, pois isso irá aumentar os custos e os riscos da implementação.

 

A Equilíbrio Auditores

 

A Equilíbrio Auditores Independentes é formada por profissionais com vasta experiência no atendimento às corporações e possui equipe multidisciplinar com conhecimentos técnicos comprovados na gestão de riscos, em governança corporativa, na avaliação da qualidade, integridade dos processos e sistemas de informações. Dentre os serviços prestados aos nossos clientes, destacamos a terceirização total da atividade de auditoria interna; a realização de trabalhos pontuais complementares às habilidades da equipe de auditoria interna, ou treinamentos voltados à capacitação técnica das equipes de auditoria interna; a criação de ambientes de governança corporativa e de segurança da informação e a criação de corpo normativo para garantir estes ambientes; Avaliação do ambiente corporativo em relação ao COBIT e SOX.

Para conhecer mais sobre os serviços que prestamos, acesse nossa webpage: www.equilibrioauditores.com.br

 

Para maiores informações sobre esse assunto, contate diretamente nossos especialistas:

 

Jansen Arruda – Especialista da área de sistemas e governança corporativa.

 

jansen.arruda@equilibrioauditores.com.br

 

Nilson de Lima Barboza – Auditor contábil, auditor interno, contador, perito com vasta experiência em gestão de riscos, compliance, controles internos e implementação de estruturas de governança corporativa.

 

nilson.lima@equilibrioauditores.com.br

 

 

Pronto para revolucionar o seu negócio?