Conformidade, Conhecimento, Controles Internos, Opinião, Risco Empresarial

Direitos e penalidades previstos na lei brasileira de proteção de dados – Parte 2

Em nosso último artigo começamos a falar sobre a Lei Brasileira de Proteção de Dados Pessoais (LPDP), seu alcance, tratamento e também as condições em que se aplicam seu término. Neste, vamos ampliar um pouco mais o tema e tratar sobre os direitos garantidos para dados pessoais, inclusive internacionalmente, e quais são as sanções aplicadas em caso de infrações.

Os direitos garantidos pela LPDP para o titular dos dados

A LPDP garante a titularidade dos dados pessoais bem como o direito de obter do controlador, a qualquer momento e mediante requisição:

  1. confirmação da existência de tratamento;
  2. acesso aos dados;
  3. correção de dados incompletos, inexatos ou desatualizados;
  4. anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta lei;
  5. portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador;
  6. eliminação dos dados pessoais tratados com o consentimento do titular;
  7. informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
  8. informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
  9. revogação do consentimento.

Tratamento de dados pessoais pelo poder público

O tratamento de dados pessoais pelas pessoas jurídicas de direito público deverá ser realizado quando se tratar de uma finalidade pública, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que:

  1. sejam informadas as hipóteses para o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos;
  2. seja indicado um encarregado quando realizarem operações de tratamento de dados pessoais.

Um ponto importante a destacar é que os serviços notariais e de registro exercidos em caráter privado, por delegação do poder público, terão o mesmo tratamento dispensado às pessoas jurídicas referidas acima. Da mesma forma, as empresas públicas e as sociedades de economia mista, quando estiverem operacionalizando políticas públicas e no âmbito da execução delas, terão o mesmo tratamento dispensado aos órgãos e às entidades do poder público mencionados acima.

Os dados deverão ser mantidos em formato interoperável e estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação, e ao acesso das informações pelo público em geral.

LPDP 2a parteQuando houver infração a esta lei em decorrência do tratamento de dados pessoais por órgãos públicos, a autoridade nacional poderá enviar informe com medidas cabíveis para fazer cessar a violação.

 

Transferência internacional de dados

A LPDP estabelece alguns casos possíveis para a transferência internacional de dados:

  1. para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na lei;
  2. quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos nesta lei, na forma de:
  1. cláusulas contratuais específicas para determinada transferência;
  2. cláusulas-padrão contratuais;
  3. normas corporativas globais;
  4. selos, certificados e códigos de conduta regularmente emitidos;
  1. quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional;
  2. quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro;
  3. quando a autoridade nacional autorizar a transferência;
  4. quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;
  5. quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público;
  6. quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades;
  7. para o cumprimento de obrigação legal ou regulatória pelo controlador;
  8. quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
  9. para o exercício regular de direitos em processo judicial, administrativo ou arbitral.

 

Segurança e sigilo dos dados

Os agentes de tratamento de dados devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

No caso de ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, cabe ao controlador comunicar o fato à autoridade nacional e ao titular. A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:

  1. a descrição da natureza dos dados pessoais afetados;
  2. as informações sobre os titulares envolvidos;
  3. a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
  4. os riscos relacionados ao incidente;
  5. os motivos da demora, no caso de a comunicação não ter sido imediata;
  6. as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

De acordo com a gravidade do incidente, a autoridade nacional poderá determinar ao controlador a adoção de providências, tais como:

  1. ampla divulgação do fato em meios de comunicação;
  2. medidas para reverter ou mitigar os efeitos do incidente.

Para preservar os dados pessoais e diminuir os riscos de incidentes, a autoridade nacional estimulará a adoção de padrões de que facilitem o controle pelos titulares dos seus dados pessoais e adicionalmente de boas práticas e governança que minimizem os incidentes de segurança e sigilo dos dados pessoais, e que as mesmas estejam adaptadas à escala e ao volume das operações dos controladores e operadores, bem como à sensibilidade dos dados tratados.

Penalidades da LPDP

Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas na lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:

  1. advertência, com indicação de prazo para adoção de medidas corretivas;
  2. multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
  3. multa diária, observado o limite total a que se refere o item ii;
  4. publicização da infração após devidamente apurada e confirmada a sua ocorrência;
  5. bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
  6. eliminação dos dados pessoais a que se refere a infração.

As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios:

  1. a gravidade e a natureza das infrações e dos direitos pessoais afetados;
  2. a boa-fé do infrator;
  3. a vantagem auferida ou pretendida pelo infrator;
  4. a condição econômica do infrator;
  5. a reincidência;
  6. o grau do dano;
  7. a cooperação do infrator;
  8. a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados;
  9. a adoção de política de boas práticas e governança;
  10. a pronta adoção de medidas corretivas;
  11. a proporcionalidade entre a gravidade da falta e a intensidade da sanção.

A LPDP entra em vigor 18 meses após sua publicação que foi em 14 de agosto de 2018. Período este em que as empresas deverão criar, adaptar, transformar e melhorar seus processos, procedimentos, métodos, sistemas, bases de dados para mitigar os riscos de incidentes de segurança e sigilo de dados.

Cabe ressaltar que a Autoridade Nacional de Proteção de Dados prevista nesta lei foi vetada pelo Poder Executivo em virtude que a criação da ANPD é de alçada deste Poder. Por esta razão foi publicada a Medida Provisória Nº 869 de 28/12/2018 que cria a ANPD.

Publicaremos um terceiro artigo sobre este tema no próximo mês.

 

José Ricardo Formagio Bueno – engenheiro e consultor especialista em gestão de Arquitetura Empresarial, Automação e Robotização de processos. CEO e Fundador da Automatum Soluções Empresariais – Automatum

Padrão
Conformidade, Conhecimento, Controles Internos, GDPR, Gestão empresarial

A Lei Brasileira de Proteção de Dados Pessoais – Lei 13.709 de 14/08/2018

Em nosso último artigo, discutimos a “General Data Protection Regulation”, conhecida como GDPR, no contexto da União Europeia. Nos próximos, abordaremos a Lei 13.709 de 14 de agosto de 2018 que dispõe sobre a Lei Proteção de Dados Pessoais (LPDP), a qual tomou como base para sua criação a GDPR.

lei de protecao de dados imagem

 

O alcance da LPDP; a LPDP define como principais fundamentos da proteção de dados:

 

 

  • o respeito à privacidade;
  • a autodeterminação informativa;
  • a liberdade de expressão, de informação, de comunicação e de opinião;
  • a inviolabilidade da intimidade, da honra e da imagem;
  • o desenvolvimento econômico e tecnológico e a inovação;
  • a livre iniciativa, a livre concorrência e a defesa do consumidor;
  • os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

A LPDP se aplica a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado quando:

  • a operação de tratamento é realizada no território nacional;
  • a atividade de tratamento tem por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional;
  • os dados pessoais objetos do tratamento sejam coletados no território nacional.

Existem algumas situações que não são impactadas pela LPDP, por exemplo, se o tratamento de dados é realizado:

  • por pessoa natural para fins exclusivamente particulares e não econômicos;
  • para fins exclusivamente jornalístico e artístico ou acadêmico;
  • para fins exclusivos de segurança pública, defesa nacional, segurança do Estado, atividades de investigação e repressão de infrações penais;
  • proveniente de fora do território nacional e que não seja objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência.

Entre os princípios considerados pela LPDP, para questões de criticidade, impacto e riscos se destacam os seguintes:

  • finalidade;
  • adequação;
  • necessidade;
  • livre acesso;
  • qualidade dos dados;
  • transparência;
  • segurança;
  • prevenção;
  • não discriminação;
  • responsabilização e prestação de contas.

Tratamento dos dados pessoais e acesso pelo titular; a LPDP estabelece algumas condições para a realização do processamento de dados de pessoais, que são as seguintes:

  1. o fornecimento de consentimento escrito ou por outro meio que demonstre a manifestação de vontade pelo titular dos dados;
  2. para o cumprimento de obrigação legal ou regulatória pelo controlador;
  3. pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;
  4. para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
  5. quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
  6. para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
  7. para a proteção da vida ou da incolumidade física do titular ou de terceiro;
  8. para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
  9. quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
  10. para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Quanto ao acesso das informações processadas pelo controlador, é importante ressaltar que estas informações deverão ser disponibilizadas ao titular sempre que este solicitar. As informações deverão ser fornecidas, de forma clara, adequada e ostensiva, para o atendimento entre outros do princípio do livre acesso.

Tratamento de dados pessoais sensíveis; a LPDP define duas condições possíveis para o tratamento de dados pessoais sensíveis:

  1. quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
  2. sem fornecimento de consentimento do titular, nas hipóteses em que o dado for indispensável para:

a) cumprimento de obrigação legal ou regulatória pelo controlador;

b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;

c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;

d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);

e) proteção da vida ou da incolumidade física do titular ou de terceiro;

f) tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;

g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.

Tratamento de dados pessoais de crianças e adolescentes: o tratamento de dados pessoais de crianças e de adolescentes é possível somente em condições especiais, tais como:

  1. com o consentimento específico e em destaque dado por, pelo menos, um dos pais ou pelo responsável legal;
  2. Poderão ser coletados dados pessoais de crianças sem o consentimento a que se refere o item acima quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento referido acima;
  3. O controlador deve realizar todos os esforços razoáveis para verificar que o consentimento referido acima foi dado pelo responsável pela criança, consideradas as tecnologias disponíveis;
  4. As informações sobre o tratamento de dados deverão ser fornecidas de maneira simples, clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de recursos audiovisuais quando adequado, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança.

Término de tratamento de dados pessoais; existem quatro situações definidas na LPDP para o término de tratamento de dados:

  1. verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
  2. fim do período de tratamento;
  3. comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme descrito anteriormente, resguardado o interesse público;
  4. por determinação da autoridade nacional, quando houver violação ao disposto nesta lei.

Por outro lado, a LPDP estabelece algumas situações onde os dados poderão ser mantidos bem como suas finalidades:

  1. cumprimento de obrigação legal ou regulatória pelo controlador;
  2. estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
  3. transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta lei; –
  4. uso exclusivo do controlador, vedado seu acesso por terceiros, e desde que anonimizados os dados.

Em nossos próximos artigos vamos continuar a falar sobre a Lei 13.709 que trata da proteção de dados pessoais e seus direitos garantidos.


José Ricardo Formagio Bueno – engenheiro e consultor especialista em gestão de Arquitetura Empresarial, Automação e Robotização de processos. CEO e Fundador da Automatum Soluções Empresariais – Automatum

Padrão