LGPD: um guia sobre a lei e o papel do Advogado

E-BOOK
 
Por Modelo Inicial
29/08/2021  
LGPD: um guia sobre a lei e o papel do Advogado - Direito Digital
Confira um guia da LGPD e o seu papel

Neste artigo:
  1. O que é a LGPD?
  2. Como a LGPD tem impactado todo o mundo?
  3. Quais são os fundamentos da LGPD?
  4. Quais são os princípios da LGPD?
  5. Como fica a coleta e o tratamento de dados?
  6. Quem tem a função de fazer o tratamento de dados?
  7. Qual o papel do Advogado como a LGPD?
  8. Quais são os impactos da LGPD?
  9. Quais são as penalidades no caso de descumprimento da LGPD?

A Lei Geral de Proteção de Dados Pessoais (LGPD), representada pela Lei nº 13.709/2018, trouxe a regulamentação sobre o uso e tratamento de dados pessoais efetuados dentro do território brasileiro. Essa lei entrou em vigor em 18 de setembro de 2020. Contudo, as suas penalidades somente passarão a vigorar, de fato, a partir do dia 1º de agosto de 2021, conforme determina a Lei nº 14.010/2020.

O principal intuito do legislador foi conferir proteção aos direitos fundamentais de liberdade e privacidade. Diante desse cenário de mudanças, é essencial que empresas, advogados e demais operadores do Direito entendam sobre os novos dispositivos legais. Nesse sentido, a LGPD está se tornando um marco jurídico no que se refere ao tratamento de dados e a regulamentação das relações que se desenvolvem a partir dessa prática.

Quer saber como o setor da advocacia está relacionado com a LGPD? Este artigo contém um material completo sobre a LGPD. Você vai conhecer quais são os principais pontos abordados por essa lei e como as suas disposições legais têm impactado o país. Continue a leitura e saiba de todos os detalhes!

O que é a LGPD?

A LGPD (Lei nº 13.709/18) é a lei que determina a regulamentação do tratamento de dados pessoais de titularidade de qualquer pessoa, além de estabelecer penalidades para as empresas e indivíduos que descumpram as regras contidas na lei.

A Lei Geral de Proteção de Dados surgiu como inspiração à General Data Protection Regulation (GDPR), a legislação europeia que aborda o tratamento de dados dos seus cidadãos e contém regras sobre a privacidade e o sigilo das informações pertencentes aos cidadãos da União Europeia, protegendo os seus titulares contra a coleta não autorizada e o uso abusivo de seus dados pessoais.

O objetivo da LGPD é proteger os dados de pessoas naturais, contribuindo assim para a proteção da pessoa, principalmente no que se refere à defesa da sua intimidade, privacidade, a proteção do livre desenvolvimento da personalidade e a garantia da sua autodeterminação informacional.

Nesse sentido, a LGPD regulamenta os dados pessoais, incluindo no ambiente digital, por pessoa física ou jurídica, inclusive referentes aos dados que foram coletados antes do início dessa obrigatoriedade. O principal intuito da lei é proteger os direitos fundamentais de liberdade e de privacidade e propiciar o livre desenvolvimento da personalidade da pessoa natural, bem como proporcionar a liberdade de expressão, de informação, de comunicação e opinião, a inviolabilidade da intimidade, da honra e da imagem

Da mesma forma, a LGPD incide sobre qualquer atividade de tratamento de dados efetuada por pessoa jurídica de direito público ou privado, independentemente do meio em que ela é realizada e do país de sua sede ou do país em que os dados estejam situados. Mas para isso, é necessário observar os seguintes requisitos:

  • a operação de tratamento deve ser realizada no território nacional;
  • os dados pessoais objeto do tratamento devem ter sido coletados no território nacional.

Como a LGPD tem impactado todo o mundo?

A edição de leis específicas regulamentando a maneira de tratamento de dados e de informações pessoais fez surgir a obrigatoriedade de empresas, órgãos públicos e demais pessoas se adaptarem a essas novas disposições legais.

Nesse sentido, os escritórios de advocacia, empresas e demais instituições devem se adaptar a essa nova realidade por meio da implementação de uma cultura interna sustentável e baseada na proteção dos dados.

Diante desse cenário, pode ser necessário contratar uma equipe técnica especializada no assunto, de modo a analisar a situação da empresa e fazer as alterações devidas, de modo a garantir a obediência às determinações legais. Afinal, o não cumprimento da lei enseja a aplicação de penalidades, como multa. Por isso, é importante contar com o apoio de uma equipe jurídica forte e de colaboradores específicos em tecnologia da informação.

Quais são os fundamentos da LGPD?

A proteção de dados pessoais está baseada nos seguintes fundamentos:

  • o respeito à privacidade;
  • a autodeterminação informativa;
  • a liberdade de expressão, de informação, de comunicação e de opinião;
  • a inviolabilidade da intimidade, da honra e da imagem;
  • o desenvolvimento econômico e tecnológico e a inovação;
  • a livre iniciativa, a livre concorrência e a defesa do consumidor;
  • os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Quais são os princípios da LGPD?

As atividades de tratamento de dados pessoais devem obedecer aos seguintes princípios:

  • finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
  • adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
  • necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
  • livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
  • qualidade dos dados: garantia aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
  • transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comerciais e industriais;
  • segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
  • prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
  • não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
  • responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Como fica a coleta e o tratamento de dados?

O processo de coleta e tratamento de dados dos clientes passou por mudanças após a edição da lei. Mas antes disso, é importante entender o que são esses dados que a LGPD menciona. Confira, a seguir, a definição legal:

  • dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
  • dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Desse modo, fica fácil chegar à conclusão de que qualquer tipo de informação pessoal de titularidade dos cidadãos pode ser considerado como dado. É o caso do nome, orientação sexual, idade, CPF, número de telefone, endereço físico, endereço de e-mail, fotos, currículo, publicações em redes sociais etc. Também é importante fixar os seguintes conceitos:

  • titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
  • tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Quem tem a função de fazer o tratamento de dados?

A tarefa de tratamento de dados contará com dois agentes principais, cada um com seus papéis e responsabilidades bem específicos:

  • controlador: se trata da empresa ou organização responsável por tomar as decisões relativas aos dados pessoais dos indivíduos. Nesse sentido, os agentes determinam como, quando e a forma que os dados serão coletados, tratados, utilizados e armazenados, sendo uma tarefa de gestão;
  • operador: é a empresa ou organização que tem o papel de efetivar o processamento de dados pessoais seguindo as determinações do agente controlador. Sendo assim, o operador não tem o poder de tomar decisões, por si só, no que se refere ao uso dos dados pessoas.

Vamos dar um exemplo para que fique mais claro. Uma empresa que contrata o serviço de armazenamento em nuvem (cloud computing) com o objetivo de salvar os seus dados. Nesses casos, a instituição é tida como o agente controlador dos dados. Por outro lado, a empresa que foi contratada para executar o serviço de armazenamento dos dados é considerada como a operadora. Nesse sentido, é importante conhecer essas duas figuras, as suas funções e responsabilidades referentes à LGPD.

Qual o papel do Advogado como a LGPD?

Há uma estreita relação entre a LGPD e a advocacia. Com a vigência da LGPD, todas as empresas deverão se preocupar com o tratamento dos dados, para garantir a máxima proteção e evitar vazamentos. E aí entra a importância de implementar estratégias de compliance para se adequar à nova realidade que vem se consolidando. E nesse ponto o Advogado deve ser a peça chave para implementar novos procedimentos.

Confira, a seguir, as principais boas práticas de segurança da informação necessárias para se adequar às novas regras.

Elaboração de uma política de governança de dados

O momento inicial requer a organização de treinamentos e a efetivação de uma política eficaz de governança de dados. Isso pode ser alcançado por meio da implementação de boas práticas e governança dentro das empresas.

Dessa forma, os membros da equipe terão a oportunidade de adquirir mais conhecimentos sobre o tema e se capacitarem em práticas específicas, como medidas necessárias para garantir a segurança da informação, a privacidade, a defesa e a proteção de dados contra ações má intencionadas arquitetadas por terceiros, por exemplo.

Essas condutas têm caráter preventivo e de proteção, dotadas de sigilo e de confidencialidade. Trata-se, assim, de uma forma de impulsionar a cultura de proteção de dados no ambiente interno do escritório.

Revisão de contratos

A LGPD fez surgir a necessidade de se proceder à revisão de contratos com os clientes e parceiros que fornecem serviços ao escritório. Afinal, a lei trouxe várias mudanças no que se refere ao consentimento e tratamento dos dados.

Nesse sentido, se tornou essencial analisar e ajustar os contratos e inserir novas cláusulas de adesão de política de confidencialidade. Também é importante ter atenção a questões específicas, como o sistema interno do escritório, o ERP, provedores de internet, hosts de sites, entre outros elementos.

Inventário de dados tratados e armazenados

Os dados tratados e armazenados passam por um procedimento de conferência e organização. Nesse sentido, cumpre mencionar que a própria LGPD apresenta a diferença entre dados pessoais, dados sensíveis e anonimizados.

E aí vem a importância de realizar o inventário de dados e a posterior seleção deles. É uma forma de limpar e organizar esses elementos. Isso porque quanto mais bagunçados e desorganizados, maiores os riscos de problemas e esforço para protegê-los adequadamente, em dispositivos físico ou em nuvem. Além disso, o inventário torna mais simples indicar itens considerados desnecessários e que vão contra as determinações da lei, facilitando a exclusão dos mesmos.

Criação de controle de acesso

Os titulares de dados devem ter o aceso para consultar, modificar e alterar os dados que julgarem necessários. A disponibilização desses elementos é feita, de modo físico ou eletrônico, sempre que o titular solicitar. Por outro lado, os advogados têm o dever de assegurar a integralidade destas informações armazenadas.

Nesse sentido, o escritório de advocacia que deseja se manter nos conformes da LGPD deve elaborar uma política de acesso restrito aos processos e arquivos físicos, ou seja, às informações mantidas no sistema de informática. Esse método requer um procedimento de revisão periódica, com o intuito de reforçar a segurança e a validade para funcionários, sócios, correspondentes, parceiros etc.

Trata-se de uma verdadeira gestão de identidade e acessos. A partir da organização das credenciais dos membros que terão acesso ao sistema e a consequente revisão periódica, fica mais fácil proteger as informações e reduzir os riscos de invasão, furto, apropriação indevida e divulgação dos dados.

Contratação de profissionais capacitados

A equipe de TI exerce um papel essencial no que se refere à segurança do sistema informatizado. Esses profissionais têm o papel de proteger o sistema contra ações de criminosos mal-intencionados que têm o único intuito de furtar informações ou vazar arquivos sigilosos, prejudicando significativamente a imagem e a reputação da empresa e do escritório de advocacia.

É por isso que o setor de TI deve elaborar todo um planejamento estratégico para garantir a segurança dos sistemas. Claro que toda essa sistematização deve estar nos conformes daquilo que LGPD determina. Caso contrário, a empresa pode sofrer a imposição de penalidades.

O consentimento para a regularização da coleta de dados

A LGPD prevê, obrigatoriamente, a necessidade de consentimento para que o escritório de advocacia e empresas possam utilizar os dados coletados de seus titulares. Isso significa que é necessário obter autorização expressa do usuário.

Para isso, deve ser enviada uma solicitação ao usuário, esclarecendo a incidência da LGPD e explicando a sua imposição obrigatória de autorização para que seja possível utilizar os dados desse indivíduo. É necessário mencionar os fins, de maneira clara, para os quais as informações serão utilizadas. Se ocorrer mudança nesse sentido, deverá ser enviado um novo formulário de consentimento ao usuário. Caso não haja a comunicação prévia, o escritório de advocacia ou empresa estarão sujeitas às penalidades previstas na lei.

O usuário pode, livremente, suspender a autorização de tratamento de dados que concedeu anteriormente, caso assim desejar. Da mesma forma, ele pode modificar os elementos, corrigir, excluir ou complementar as informações que ache mais conveniente.

Se os dados forem de titularidade de menores de idade, o processo de coleta e tratamento desses dados somente é feito depois de ter recebido o consentimento expresso dos pais ou de seus responsáveis legais. Trata-se de uma maneira de proteger esses indivíduos.

Quais são os impactos da LGPD?

A LGPD traz impactos diretos para a área da advocacia. Conheça as principais consequências nesse sentido para os escritórios e departamento jurídico das empresas.

Ampliação do conceito de dados

A lei traz uma definição ampla sobre o termo "dados". Eles se incluem elementos como RG, CPF, gênero, data e local de nascimento, telefone, endereço residencial, endereço de e-mail, localização via GPS, prontuário de saúde, cartão bancário, renda individual e familiar, histórico de vacinação, posição política, retrato em fotografia, todo tipo de publicação em redes sociais etc.

Nesse sentido, os dados se referem a todos os elementos pessoais de um indivíduo, que podem estar contidos em registros em papel físico ou no mundo digital. Se for possível identificar, ainda que de modo direto ou indireto, o indivíduo, então se trata de um dado pessoal.

Proteção dos dados por terceiros

A LGPD estipula que os escritórios de advocacia e todas as demais instituições têm a obrigação de garantir a proteção dos dados no sistema. De qualquer forma, há a possibilidade de terceirizar essa função de gestão de segurança de informação para empresas especialistas nessa função, desde que sejam observados os devidos protocolos de segurança.

Possibilidade de acessar os dados pelos usuários

Os usuários devem ter a prerrogativa de terem acesso aos seus dados pessoais. Desse modo, eles podem tomar conhecimento sobre todas as informações que constam no sistema, bem como a destinação dessas informações.

De qualquer forma, esses dados também são disponibilizados por meio do sistema da ANPD (Autoridade Nacional de Proteção de Dados). Trata-se de um órgão federal que tem a tarefa de editar e criar normas para fiscalizar todos os procedimentos que envolvem as funções de gestão e proteção de dados de usuários.

Direito de corrigir, atualizar e modificar os dados

Os usuários têm o direito de editar, atualizar e fazer mudanças sobre os seus próprios dados que estão registrados no sistema e estejam incompletos, inexatos ou desatualizados. Os escritórios de advocacia e instituições não podem, de maneira injustificada, impedir esse direito, estando suscetíveis às sanções legais. Além disso, eles têm o direito de solicitar a eliminação de dados excessivos, fazer a portabilidade de dados para outra empresa e solicitar a revogação do consentimento.

Autorização dos usuários

Os dados pessoais dos usuários somente podem ser coletados, produzidos, acessados, reproduzidos, exibidos, utilizados, transmitidos, processos, arquivados e armazenados em sistemas pertencentes ao escritório e empresas após a prévia autorização dos usuários. Caso seja necessário efetuar mudanças na destinação dos dados, por exemplo, será necessário obter novo consentimento de seus titulares.

Quais são as penalidades no caso de descumprimento da LGPD?

Caso as instituições que realizem o tratamento de dados de usuários não cumprirem as determinações da LGPD, elas poderão estar sujeitas a penalidades determinadas pela própria lei. A sanção depende da gravidade do fato e os danos que foram causados. As punições podem acarretar prejuízos financeiros e alguns tipos de proibições.

Conheça as sanções previstas na lei:

  • a advertência será definida com prazo para que a instituição possa corrigir a situação;
  • multa simples: que pode atingir até 2% do faturamento da pessoa jurídica, observando o limite máximo de 50 milhões por infração;
  • multa diária;
  • proibição, de forma total ou parcial, das operações de tratamento de dados. Caso a conduta permaneça, poderá ser determinada a eliminação dos dados.

A LGPD surgiu para proteger princípios básicos dos indivíduos que se viam ameaçados diante da exploração descontrolada de seus dados pelas empresas. Atualmente, todas as instituições devem se adequar às disposições da lei, inclusive aquelas que oferecem serviços para o mercado brasileiro que coletam e processam dados de pessoas localizadas no país. Portanto, não perca tempo e comece a corrigir falhas e implementar as adaptações devidas no seu escritório de advocacia!

Que tal levar o conhecimento adiante? Compartilhe este post nas redes sociais para que mais pessoas entendam a importância da LGPD!

  CADASTRE-SE GRÁTIS

Cadastre-se para receber conteúdos da área Direito Digital e poder comentar esse artigo.

MODELOS RELACIONADOS