No presente artigo se realiza uma breve apresentação da Lei Geral de Proteção de Dados – LGPD e, em particular, se destaca sua abrangência às associações civis, organizações sindicais, partidos políticos e suas candidaturas. Boa leitura.
O QUE É A LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS – LGPD?
Segundo a LGPD o tratamento de dados pessoais pode ser realizado “mediante fornecimento de consentimento pelo titular por escrito ou por outro meio que demonstre a manifestação de vontade do titular”. Daí que, as intenções devem estar claras para o titular dos dados, que deverá consentir seus usos.
APLICAÇÃO DA LGPD
A LGPD se aplica a dados que podem identificar uma pessoa obtido em qualquer tipo de suporte (papel, eletrônico, informático, som e imagem, etc). Esses dados podem ser números de documentos como RG, CPF, PIS, endereço, ou aqueles considerados pela norma como “sensíveis” — por exemplo: origem racial ou étnica, filiação à organizações políticas ou religiosas, informações genéticas e de biometria ou de orientação sexual.
No caso da internet, a relevância da norma para a proteção das informações fornecidas quando em sites, redes sociais e outros se evidencia quando vislumbrados os dados da “Tecnologia da Informação e Comunicação – TIC” no Brasil em 2019. Segundo a pesuisa, a Internet era utilizada em 82,7% dos domicílios brasileiros. A maior parte desses domicílios fica concentrada nas áreas urbanas das Grandes Regiões do país, conforme mostra o gráfico abaixo:
Com a LGPD o titular dos dados a ter os seguintes direitos de uso e disposição de seus dados:
- Confirmação da existência de tratamento;
- Acesso aos dados;
- Correção de dados incompletos, inexatos ou desatualizados;
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na Lei;
- Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador;
- Eliminação dos dados pessoais tratados com o consentimento do titular, exceto quando tratar de dados para cumprimento de obrigação legal ou regulatória pelo controlador; estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; transferência a terceiro; ou uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
- Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
- Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
- Revogação do consentimento, mediante manifestação expressa do titular, por procedimento gratuito e facilitado
USO LEGITIMO DOS DADOS
Os dados cedidos como, por exemplo, nome, CPF, domicílio, endereço eletrônico, devem ser usados para propósitos legítimos, específicos e informados ao titular e, limitados ao mínimo necessário para o alcance de tais fins, não podendo ser utilizados para motivos alheios aos objetivos que levaram à coleta das informações.
ABRANGÊNCIA DA LGPD
A LGPD regula o tratamento de dados realizado por pessoa natural ou jurídicas de direito público ou privado. As pessoas de direito público são os órgãos estatais, e as pessoas jurídicas de direito privado conforme conta no Código Civil, são as associações, fundações, sociedades limitadas, sociedades por ações, organizações religiosas, partidos políticos e suas candidaturas.
Indivíduos e Empresas
Assim, as empresas devem observar em suas práticas as normas de coleta e tratamento de dados dos consumidores (as) e usuários (as). Os indivíduos, devem cumprir com a LGPD quando realizam uma atividade econômica, por exemplo, no caso do empresário individual.
Sindicatos, Associações, ONGs, Partidos, Candidaturas
A observância da LGPD pelos sindicatos, associações, organizações não governamentais (ONGs), partidos e suas candidaturas é relevante eis que, ademais das informações e documentos referentes a seus dirigentes e funcionários (as) são igualmente coletados, armazenados e manuseados dados de associados (as) e filiadas com vistas ao devido registro associativo, ao envio de informativos, cobranças, convites e avisos diversos. Ademais, como atualmente praticamente todas as organizações possuem sítios na internet os que os acessam acabam por ter diversas informações coletadas como, por exemplo, , endereço IP, termos de busca, cookies, etc.
Da mesma forma, é de referir que partidos, candidaturas e prestadores de serviço para campanhas eleitorais devem garantir os direitos dos titulares de dados pessoais cujos dados utilizem. Tanto assim que, a Resolução n. 23610/2019 do TSE, que disciplinou as eleições municipais de 2020 dispõe que o “tratamento de dados pessoais, inclusive a utilização, doação ou cessão destes por pessoa jurídica ou por pessoa natural, observará as disposições da Lei nº 13.709/2018 (LGPD)”, § 4º , art. 31.
Nestes termos, da mesma forma que as empresas, ONGs, entidades sindicais, partidos políticos e suas candidaturas devem observar os requisitos necessários para o tratamento de dados pessoais, certificando-se de que dispõem de autorização legal para a realização de análises de dados visando a traçar o perfil dos titulares bem como, adotarem as medidas necessárias à proteção dos dados.
O QUE MUDA COM A LGPD?
Uma das mudanças mais importantes é que a nova lei prevê o consentimento expresso dos clientes para o uso das informações. Isso significa que as é necessário deixar nítido para que as informações coletadas serão utilizadas.
Daí que, será necessário adaptar seus sites, criar áreas dedicadas ao cumprimento de solicitações dos titulares dos dados, alterar processos internos de coleta e tratamento assim como, passar a adotar ou reforçar a segurança contra-ataques cibernéticos que podem resultar no vazamento de informações coletadas.
O QUE FAZER PARA SE ADAPTAR?
Para se adequar à LGPD, é necessário alterar culturas e procedimentos referentes ao recebimento, guarda e gestão de arquivos bem como, realizar investimentos em segurança da informação tanto em meio físico quanto, digital.
Assim, em relação a dados físicos é prudente adotar práticas de certificação de recebimento de documentos que identifiquem quem os entregou e recebeu e possuir arquivos sob controle.
Em relação aos dados em formato digital cumpre incorporar às rotinas o uso de programas de segurança da informação, estabelecer responsáveis pelo acesso e manejo dos dados e, estabelecer nitidamente as formas de recebimento, envio e destinação dos dados manejados. De notar que, em alguns casos, a serem avaliados concretamente, é altamente recomendável a contratação de especialistas em tecnologia e segurança da informação.
Entre as exigências da LGPD está a criação do cargo de DPO (sigla em inglês para Data Protection Officer), um profissional que deve ficar inteiramente responsável pela segurança dos dados (de funcionários, indivíduos de fora da organização ou ambos). A lei não exige formação especifica, no entanto, deverá ser pessoa com conhecimento legal referente a matéria e na área de tecnologia e segurança da informação.
De lembrar que, caberá a esse profissional prestar contas à Autoridade Nacional de Proteção de Dados – ANPD através do envio de relatórios sobre os impactos da proteção dos dados.
Inicialmente se recomenda que a organização faça um mapeamento e documentação dos dados que possui e classifique as informações bem como, verificar se os dados estão armazenados de maneira segura, se foram coletadas mediante consentimento e para qual finalidade.
Em relação aos sítios na internet se recomenda, que seja estabelecida e publicizada uma política de privacidade e uso de cookies na página da organização para que associados (as), filiados (as) e usuários saibam quais são os dados coletados durante a navegação na página e como eles serão utilizados, e os aceite, formalmente. Igualmente, é importante que seja descrita de forma nítida quais as informações e usos dos dados coletados, respeitando essa regra.
No entanto, as medidas acima referidas serão inócuas se os funcionários e funcionárias que manuseiam os dados não adotarem práticas que garantam o sigilo das informações como, por exemplo, não repassar informações a terceiros não expressamente autorizados informações sobre o titular dos dados.
FISCALIZAÇÃO E SANÇÕES ANPD
A fiscalização e a regulação da LGPD ficará a cargo da Autoridade Nacional de Proteção de Dados Pessoais (ANPD), órgão que vai definir punições em caso de descumprimento da lei.
A LGPD abrange sanções aplicadas a sujeitos internos, ou seja, controladores, operadores e encarregados de dados pessoais. De acordo com a LGPD, o titular poderá denunciar a irregularidade à Autoridade Nacional de Proteção de Dados (ANPD), que aplicará as sanções cabíveis.
As sanções previstas são as seguintes:
- Advertência, com indicação de prazo para adoção de medidas corretivas;
- Multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
- Multa diária, observado o limite total acima referido;
- Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
- Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
- Eliminação dos dados pessoais a que se refere a infração;
- Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
- Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
- Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
As punições e multas previstas pelo decreto só serão aplicadas a partir de agosto de 2021.
Sanções Por Dano Moral
De notar que ademais das sanções acima referidas, o vazamento de dados pessoais sensíveis (origem racial ou étnica, filiação à organizações políticas ou religiosas, informações genéticas e de biometria ou de orientação sexual) poderá fazer com que a organização responda ação cível e eventualmente seja condenada ao pagamento de indenização por danos morais causados a funcionários (as), associados (as) e filiados (as).
No caso de transgressão cometida por um sujeito externo, como um hacker, as penalidades serão aplicadas com base no Código Penal Brasileiro e demais leis específicas.
Conheça as orientações da ANPD sobre incidentes de segurança.