INFORMAÇÕES GERAIS
A Lei Geral de Proteção de Dados (LGPD), sancionada em 14 de agosto de 2018 através da Lei n° 13.709/2018, com a sua vigência prevista para agosto de 2020, tentou sua entrada ser postergada pela Medida Provisória n° 959 que trazia no seu artigo 4° o início para 03 de maio de 2021.
No dia 26 de agosto de 2020 o Senado reverteu a decisão é decidiu pelo não adiamento da sua vigência, assim voltando a valer a vigência prevista na Lei n° 13.853/2018, agosto de 2020.
Ficando as aplicações das sanções para 01 de agosto de 2021.
A Lei Geral de Proteção de Dados vem estabelecer regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo mais proteção e penalidades para o não comprimento.
Regulamentar o tratamento e proteger os dados pessoais das pessoas físicas, garantindo direitos fundamentais relacionados a proteção da liberdade, privacidade e intimidade das pessoas.
Permitindo mais transparência e controle sobre a coleta e utilização dos dados pessoais dos indivíduos.
A Autoridade Nacional de Proteção de Dados (ANPD) é um órgão vinculado à Presidência da República, dotada de autonomia técnica e decisória, com jurisdição no território nacional e com sede e foro no Distrito Federal, que tem o objetivo de proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa natural, orientada pelo disposto na Lei nº 13.709, de 14 de agosto de 2018, a LGPD .
No dia 27/08/2020, através do Decreto n° 10.474, de 26 de agosto de 2020, foi criada a ANPD e sua estrutura organizacional com o quadro demonstrativo dos Cargos em Comissão e das funções de Confiança.
A missão da ANPD é “Zelar pela proteção dos dados pessoais”, e sua visão é “Tornar-se órgão de referência nacional e internacional com relação à Proteção de Dados Pessoais”. A atuação da ANPD baseia-se nos seguintes valores: Ética, Transparência, Integridade, Imparcialidade, Eficácia e Responsabilidade.
- O portal da ANPD é no https://www.gov.br/anpd/pt-br
Para mais informações sobre a proteção de dados pessoais, veja os canais de atendimento da ANPD. A autoridade nacional publicou duas cartilhas de segurança para a internet, uma sobre proteção de dados e a outra sobre vazamento de dados. Há, ainda, guia voltado para os agentes de tratamento de dados pessoais.
A Lei 13.709/18 estabelece que dado pessoal é toda informação relacionada a pessoa natural “identificada” ou “identificável” e determina que o tratamento desses dados deve considerar os 10 princípios de privacidade descritos na lei.
Ao segui-los as organizações demonstrarão que os dados pessoais coletados são necessários, mínimos, corretos, de qualidade, atendem uma finalidade de negócio válida dentre outras características.
As empresas deverão garantir a segurança dos dados pessoais tratados e comunicar incidentes de segurança da informação ao órgão regulador, sendo que, dependendo do incidente, o titular dos dados também deverá ser comunicado. Outra mudança significativa é quanto ao tratamento de dados pessoais de crianças e adolescentes que exigirão atenção especial, como por exemplo, a obtenção de consentimento de um dos pais antes da coleta dos dados.
Uma categoria especial foi criada para tratar de dados pessoais “sensíveis” que abrangem registros sobre raça, opiniões políticas, crenças, dados de saúde, características genéticas e biométricas. A lei estabelece condições específicas para tratamento dessa categoria de dados, como por exemplo, a obtenção de consentimento do titular antes do tratamento.
Um ponto em comum com a GDPR (Regulamento Geral sobre a Proteção de dados), é que a lei será aplicada às empresas com sedes estrangeiras, desde que, os dados sejam tratados em território nacional. Adicionalmente, dados tratados em outros países também estão sujeitos à lei caso tenham sido coletados no Brasil.
Para facilitar o reconhecimento de boas condutas e também das práticas inadequadas no dia a dia dos negócios, listaremos os 10 princípios que norteiam a LGPD e que devem ser respeitados:
-
Finalidade: Não será mais possível tratar dados pessoais com finalidades genéricas ou indeterminadas. O tratamento de cada informação pessoal deve ser feito com fins específicos, legítimos, explícitos e informados. As empresas devem explicar para que usarão cada um dos dados pessoais. Não sendo autorizada utilizar esses mesmo dado para outra finalidade.
-
Adequação: Os dados pessoais tratados devem ser compatíveis com a finalidade informada pela empresa. Ou seja, sua justificativa deve fazer sentido com o caráter da informação que você pede.
-
Necessidade: As empresas devem utilizar apenas os dados estritamente necessários para alcançar as suas finalidades. Quando mais dados você tratar, maior será sua responsabilidade, inclusive em casos de vazamento e incidentes de segurança.
-
Livre acesso: A pessoa física titular dos dados tem o direito de consultar, de forma simples e gratuita, todos os dados que a empresa detenha a seu respeito.
-
Qualidade dos dados: Deve ser garantido aos titulares que as informações que a empresa tenha sobre eles sejam verdadeiras e atualizadas. è necessário ter atenção, clareza e relevância dos dados, de acordo com a necessidade e com a finalidade de seu tratamento.
-
Transparência: As informações passadas pela empresa, em todos os seus meios de comunicação, devem ser claras, precisas e verdadeiras. Se for repassado dados pessoais a terceiro, inclusive para operadores que sejam essenciais para a execução do serviço, o titular precisa saber.
-
Segurança: É responsabilidade das empresas buscar procedimentos, meios e tecnologias que garantam a proteção dos dados pessoais de acessos por terceiros , ainda que não sejam autorizados, como nos casos de invasões por hackers.
-
Prevenção: Que as empresas adotem medidas prévias para evitar a ocorrência de danos em virtude do tratamento de dados pessoais.
-
Não Discriminação: Os dados pessoais não poderão ser usados para discriminar ou promover abusos contra os seus titulares. A LGPDP criou regras específicas para o tratamento de dados que são frequentemente utilizados para discriminação, os chamados pessoais sensíveis.
-
Responsabilização e prestação de contas: As empresas devem ter provas e evidências de todas as medidas adotadas, para demonstrarem a sua boa-fé e a sua diligência.
Extremamente relevante para usuários e empresas que lidam com dados pessoais, conhecerem quais são os direitos do titular.
- A confirmação de existência de tratamento : O artigo 19, regulamenta a confirmação da existência e a entrega dos dados do titular, podemos ser em duas hipóteses: A entrega imediata dos dados, em formato simplificado; ou a entrega em formato completo que deverá conter a origem dos dados; a inexistência de registro, os critérios utilizados e a finalidade do tratamento.
- O acesso aos dados : A pessoa tem o direito de confirmação da existência de tratamento e, por consequência, acessar todos os seus dados pessoais que estão sendo coletados e tratados pelo controlador.
- Anonimização : É uma técnica de processamento de dados que remove ou modifica informações que possam identificar uma pessoa. No tocante á anonimização , a LGPD define como a “utilização de meios técnicos razoáveis e disponíveis no momento do tratamento por meio de quais um dado perde possibilidade de associação, direta ou indireta, a um indivíduo”. O termo “anonimização de dados” é utilizado para descrever o processo para eliminar qualquer tipo de conexão das informações armazenadas que possam ser utilizadas para identificar o titular destas informações. Será imprescindível se valer de meios técnicos e políticas de privacidade tanto no momento de coleta desses dados, como no seu processamento.
- Pseudonimização: Substitui o material pessoalmente identificável por identificadores artificiais (Codificando com mensagens para que apenas as pessoas autorizadas possam ler).
- Bloqueio ou eliminação de dados necessários, excessivos ou tratados em desconformidade com a Lei: Os Titulares possuem o direito de pedir o cancelamento ou exclusão de dados desnecessários, excessivos ou tratados em desconformidades com a LGPD.
- Retificação dos dados: O Titular tem o direito de corrigir dados incompletos, inexatos ou desatualizados.
- A informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados: O Titular tem o direito de receber informações sobre as entidades públicas e privadas com os quais o controlador realizou uso compartilhado de seus dados.
- A revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetam seus interesses: O Titular tem o direito de se opor a quaisquer tratamento e informações que não estejam em conformidade com a lei, assim as decisões automatizadas que afetam seus interesses, como decisões destinadas a definir seu perfil pessoal, profissional, de consumo e de crédito ou aspectos de sua personalidade.
- Portabilidade dos Dados: O cliente tem o direito de realizar a Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, conforme a regulamentação da Autoridade Nacional, observados os segredos comercial e industrial.
De acordo com a LGPD dados pessoais são as informações relacionadas a pessoa natural (física) identificada ou identificável. Toda pessoa física é única e possui características individuais.
É possível identificar uma pessoa natural por meio de diferentes informações, que podem revelar, por exemplo, as suas características físicas, os seus costumes e suas preferências.
São exemplos de dados pessoais, dentre outros, o nome, o número do Registro Geral (RG), o telefone, endereço residencial e o endereço de IP (Protocolo de Internet).
Conforme a LGPD, dados pessoais sensíveis revelam a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural (física).
Os tratamentos dos dados sensíveis podem ensejar discriminação e intolerâncias, por isso merecem maior proteção. No dia a dia empresarial é comum existirem documentos contendo dados pessoais e dados sensíveis, como, por exemplo, o prontuário médico que possui a identificação do paciente, como nome e número do RG, bem como as informações da saúde do trabalhador.
A ANPD – Autoridade Nacional de Proteção de Dados, aprovou o Regulamento de Dosimetria e Aplicação de Sanções Administrativas. O Regulamento tem como objetivo definir os critérios e parâmetros para sanções, bem como as formas e dosimetrias para o cálculo do valor-base das multas.
Quais sanções podem ser aplicadas pela ANPD?
- Advertência;
- Multa simples, de até 2% (dois por cento) do faturamento da empresa, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais), por infração;
- Multa diária, com limite total de R$ 50.000.000,00 (cinquenta milhões de reais);
- Publicização da infração;
- Bloqueio dos dados pessoais;
- Eliminação dos dados pessoais;
- Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
- Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
- Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
- Com exceção das multas, todas as demais sanções poderão ser aplicadas ao Poder Público.
Regulamento de Dosimetria e Aplicação de Sanções Administrativas
A Norma da Dosimetria era o que faltava para que a ANP – Autoridade Nacional de Proteção de Dados, pudesse punir as empresas. A partir da publicação, poderá aplicar multas com base em requisitos Autoridade Nacional de Proteção de dados claros e estabelecidos, garantido o devido processo legal e ampla defesa.- Clique aqui para acessar o Regulamento
Qual abordagem terá a ANPD quanto a eventuais infrações cometidas?
- A ANPD informou que sua atuação em relação às sanções ocorrerá de forma responsiva e gradual, tendo como base o comportamento do regulado e alicerçada em um plano de monitoramento do setor que permita a priorização de temas segundo seu risco, gravidade, atualidade e relevância. Isso significa que a postura da ANPD deverá ser, pelo menos inicialmente, mais didática do que punitiva.
A ANPD pode aplicar sanções relativas a fatos ocorridos antes de 1º de agosto de 2021?
- As sanções previstas na LGPD são aplicáveis a fatos ocorridos após 1º de agosto de 2021 ou para delitos de natureza continuada iniciados antes de tal data, ou seja, delitos que tenham iniciado antes de 1º de agosto de 2021 e que ainda estejam ocorrendo após esta data.
Haverá algum canal para comunicar à ANPD eventuais infrações relacionadas com a LGPD?
- Sim, Já existe um canal apropriado para comunicação de infrações relacionadas ao descumprimento da LGPD. As instruções completas podem ser consultadas por meio do link: https://www.gov.br/anpd/pt-br/canais_atendimento/cidadao-titular-de-dados/reclamacao-do-titular-contra-controlador-de-dados.
Clique aqui para acessar a nota completa
Antes da lei LGPD, as empresas faziam livre uso das informações obtidas a partir de dados de bases de terceiros sem o consentimentos das pessoas. Esses dados eram armazenados em um banco de dados das empresas e utilizados como estratégia para melhor o posicionamento no mercado.
Uma vez, que por meio das informações extraídas dos dados, as empresas conseguiam criar campanhas, promoções e conteúdos de acordo com as necessidades do seu público alvo.
Dessa forma as pessoas recebiam interações, mas sem ter noção de como seus dados estavam sendo tratados ou com quem estavam sendo compartilhados e, muitas vezes, sem que tivessem consentido o uso das informações.
Disclaimer sobre Tratamento de Dados Pessoais/Sensíveis no âmbito dos Produtos TOTVS S.A.
Ao adquirir o Produto TOTVS, o cliente será o agente controlador dos dados pessoais e/ou sensíveis, conforme expressamente previsto na Lei Geral de Proteção de Dados, de seus usuários, funcionários, colaboradores, fornecedores, prestadores de serviços, dentre outros e, como tal, deverá, por sua conta e risco, realizar o enquadramento, processamento, inserção e todo e qualquer tratamento dos dados, informações e fluxos de dados pessoais, sendo, pois, exclusivamente responsável por tomar as decisões referentes ao tratamento de dados pessoais e cumprir todas as disposições, legislações e normas brasileiras, e, no que lhe couber, as legislações e normas estrangeiras, que regulam os direitos à privacidade e proteção de dados pessoais, incluindo, mas não se limitando, a Lei brasileira nº 13.709/2018 (“Lei Brasileira de Proteção de Dados”) e a Lei brasileira nº 12.965/2014 (“Marco Civil da Internet”), e, quando aplicável, o Regulamento Geral de Proteção de Dados da União Europeia (GDPR – General Data Protection Regulation nº 679/2016) (doravante denominados simplesmente “Legislação”).
O cliente deverá buscar, por sua conta, risco e ônus, orientação jurídica específica para garantir a observância da Legislação aplicável, sendo único e integralmente responsável por qualquer falha ou descumprimento da Legislação.
É de responsabilidade do cliente garantir que a comunicação, entre os componentes de instalação, é feita de maneira segura. Garantindo que as informações, trafegadas entre as pontas, não sejam interceptada ou sofra ataques.
Pesquisas recentes apontam que os brasileiros estão inseguros quanto à real preocupação das empresas em proteger seus dados pessoais e como elas tratam a privacidade e informações pessoais de seus clientes.
É prioridade da TOTVS proteger, preservar e respeitar os dados, a privacidade e direitos dos titulares de dados pessoais e sensíveis. A partir de agosto de 2020, entrará em vigor no Brasil, a Lei 13.709 de 2018, a chamada Lei Geral de Proteção de Dados (“LGPD”), que estabelece regras, direitos e obrigações relativas aos dados pessoais. A nova legislação mudará a forma como privacidade e dados pessoais serão tratados no Brasil.
Considerando este cenário e as necessidades dos nossos clientes em se adequarem à nova realidade, a TOTVS tem desenvolvido uma série de iniciativas relativas ao tema LGPD. Estamos empenhados em auxiliar nossos clientes nesta transição – ainda que nossos produtos sejam ferramentas de apoio e que a adequação à Lei requeira, especialmente, o compromisso de cada empresa cliente com a nova legislação.
Como fornecedora de software, a TOTVS se posiciona como parceira dos clientes em seus processos de adequação. Neste contexto, a TOTVS lançará, em seus produtos e soluções, alguns recursos, visando a manutenção e evolução do grau de conformidade com as melhores práticas de gestão e processos relativos à proteção de dados. A utilização dos recursos que serão disponibilizados será uma decisão do cliente, a seu exclusivo critério e integral responsabilidade. O cliente precisará optar, dentro da legislação aplicável ao tema, a melhor forma de utilizar, tratar e processar os dados de seus usuários.
Os recursos disponibilizados pela TOTVS e a forma de sua utilização tem caráter meramente sugestivo; servem como uma orientação, sem qualquer intenção de servir como orientação legal. Além disso, esses recursos poderão não ser suficientes para garantir a adequação dos clientes. Cada cliente precisará realizar os seus inventários de processos, análise jurídica própria, identificação de gaps de seus processos e seus planos de adequação para alcançar sua adequação à lei. Esses recursos/funcionalidades, e suas respectivas documentações, serão liberadas de acordo com o calendário de releases de cada produto, e começarão a ser disponibilizadas a partir do primeiro trimestre de 2020.
Também estamos atuando internamente, na conscientização e treinamento das nossas equipes e parceiros, para oferecer o melhor apoio aos nossos clientes.
A TOTVS reitera a sua preocupação em proteger, preservar e respeitar os dados, a privacidade e os direitos de nossos clientes, priorizando sempre nas melhores práticas e adequação de produtos de forma a atender às necessidades do cliente, da melhor forma possível.
É prioridade do Grupo TOTVS proteger, preservar e respeitar a privacidade e direitos dos titulares de dados pessoais e dados pessoais sensíveis. A preocupação e atuação vai além da adequação à Lei Geral de Proteção de Dados (Lei Nº. 13.709/2018 – “LGPD”).
O Grupo TOTVS busca as melhores práticas empresariais e condutas éticas, visando a manutenção e evolução do grau de conformidade com as melhores práticas de gestão de processos relativos à proteção de dados pessoais, de forma a atender às necessidades dos clientes, parceiros, fornecedores e colaboradores da TOTVS.
Neste contexto, após o Senado Federal decidir por suprimir o artigo 4º da Medida Provisória nº 959/2020 (“MP”), que previa a postergação da entrada em vigor da LGPD para 03/05/2021, e, com a conversão da MP em lei por meio da sanção do Presidente Jair Bolsonaro, que ocorreu no último dia 18 de setembro foi oficializada a entrada em vigor da LGPD. Ainda assim, vale ressaltar que fica mantido o prazo anteriormente estabelecido para aplicação de sanções administrativas decorrentes do descumprimento da LGPD, ou seja, a partir de 1º de agosto de 2021.
O Grupo TOTVS vem se preparando para o cenário atual, e para isso disponibilizou recursos nos releases mais recentes de seus produtos, que podem auxiliar os clientes TOTVS em seus processos de adequação à LGPD, em demonstração de total parceria com seus clientes.
A Autoridade Nacional de Proteção de Dados ANPD publicou a Resolução CD/ANPD Nº 02 de 27 de Janeiro de 2022, que regulamenta o tratamento jurídico diferenciado da LGPD (Lei Geral de Proteção de Dados) para agentes de tratamento de pequeno porte, incluindo startups.
O Regulamento busca dar cumprimento ao comando legal de que a ANPD deve estabelecer normas e procedimentos simplificados para esses atores, levando em consideração não apenas seu porte econômico, mas também o risco associado às atividades de tratamento de dados pessoais efetuadas.
Definições sobre agentes de pequeno porte:
- Microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador;
- Microempresas e empresas de pequeno porte: sociedade empresária, sociedade simples, sociedade limitada unipessoal, nos termos do art. 41 da Lei nº 14.195, de 26 de agosto de 2021, e o empresário a que se refere o art. 966 da Lei nº 10.406, de 10 de janeiro de 2002 (Código Civil), incluído o microempreendedor individual, devidamente registrados no Registro de Empresas Mercantis ou no Registro Civil de Pessoas Jurídicas, que se enquadre nos termos do art. 3º e 18-A, §1º da Lei Complementar nº 123, de 14 de dezembro de 2006;
- Startups: organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados, que atendam aos critérios previstos no Capítulo II da Lei Complementar nº 182, de 1º de junho de 2021; e
- Zonas acessíveis ao público: espaços abertos ao público, como praças, centros comerciais, vias públicas, estações de ônibus, de metrô e de trem, aeroportos, portos, bibliotecas públicas, dentre outros.
Para esses agentes, o registro de operações de tratamento, bem como a comunicação de incidentes de segurança, serão feitos de forma simplificada a partir de modelo/procedimento disponibilizado pela própria ANPD. Além disso, diversos prazos de comunicação com titulares e com a ANPD serão contados de maneira estendida ou em dobro.
Os agentes não serão obrigados a indicar o encarregado de tratamento, porém devem manter canal de comunicação com o titular de dados e caso realize a indicação de um encarregado, será considerado política de boas práticas e governança.
O Regulamento também apresenta, definições quanto aos critérios de segurança e boas práticas para os agentes, que devem adotar medidas mínimas para proteger os dados de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Essas políticas, no entanto, podem considerar os custos de implementação, bem como a estrutura, a escala e o volume das operações do agente como fatores de simplificação e limitação.
Importante: As flexibilizações consideradas não se aplicam aos agentes que, mesmo se encaixando nas definições da regulamentação, realizam tratamentos definido como “de alto risco”, sendo estes:
Os tratamentos em larga escala ou que possam afetar significativamente interesses e direitos fundamentais dos titulares.
Em ambos os casos, estes tratamentos devem ser caracterizados pelos seguintes critérios específicos:
- uso de tecnologias emergentes ou inovadoras;
- uso de tecnologias de vigilância ou controle de espaços abertos ao público;
- que tomem decisões unicamente com base em tratamento automatizado de dados pessoais; ou
- utilização de dados pessoais sensíveis ou dados pessoais de crianças, de adolescentes e de idosos.
A resolução para os agentes de pequeno porte passou a vigorar a partir de (28/01/2022).
