A Lei Geral de Proteção de Dados (Lei 13.709/18) estabeleceu a categorização de dados relacionados à saúde como “sensíveis”, conferindo-lhes um status especial e resguardando a privacidade dessas informações. Essa classificação se aplica a qualquer dado capaz de identificar uma pessoa entre um grupo de indivíduos.
O artigo 5º, inciso II da referida lei define os tipos de dados sensíveis, abrangendo dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de cunho religioso, filosófico ou político, informações referentes à saúde ou vida sexual, dados genéticos ou biométricos, quando associados a uma pessoa.
É notável que a lei não apresenta uma lista fechada de categorias, o que significa que o escopo de dados sensíveis é amplo e abrangente.
Contudo, em um contexto de conjunto de pessoas, um dado sensível isolado por si só não seria suficiente para identificar alguém. A identificação ocorre quando esses dados são combinados com outros, como o CPF, por exemplo. Nesse caso, a anonimização deve ser aplicada para proteger a privacidade do indivíduo.
Dentro dos registros médicos, como prontuários, guias de internação, exames e receitas, há uma concentração significativa de dados sensíveis. O Conselho Federal de Medicina (CFM) estabeleceu regulamentações, como a Resolução 1.639/2002, seguidas pelas Resoluções 1821/2007 e 2.218/2018, para garantir a segurança e integridade dos prontuários eletrônicos dos pacientes.
Entretanto, mesmo com tais diretrizes, o compartilhamento desses dados requer o consentimento expresso do paciente. O artigo 7º da LGPD delimita as situações em que o tratamento de dados pessoais é permitido. Na área da saúde, destacam-se os casos de consentimento do titular, proteção da vida ou incolumidade física, tutela da saúde em procedimentos médicos, e interesses legítimos do controlador ou terceiros, desde que não sobreponham os direitos fundamentais do titular.
Para obter consentimento, é vital que o profissional de saúde explique ao titular de forma clara e compreensível quais dados serão coletados e como serão utilizados. No entanto, existem exceções em que o tratamento de dados sensíveis pode ocorrer mesmo sem o consentimento explícito do titular, como no cumprimento de obrigações legais, estudos de pesquisa com anonimização, proteção da vida ou saúde, entre outros.
A importância do consentimento em relação aos dados de saúde frequentemente é subestimada, em parte devido ao sigilo médico que protege essas informações. A LGPD, ao elevar os dados de saúde à categoria de dados sensíveis, aprimora a proteção da privacidade do paciente e promove sua autonomia ao exigir a adoção de práticas transparentes e confiáveis no tratamento desses dados.
Em 14 de agosto, a Lei Geral de Proteção de Dados (LGPD) completou cinco anos desde sua promulgação no Brasil. No entanto, especialistas apontam que, apesar da ampla abertura de horizontes regulatórios em relação às mais novas tecnologias, ainda persistem dúvidas quanto ao impacto prático das normas no cotidiano de empresas e cidadãos.
Desde sua implementação, a LGPD enfrentou um caminho burocrático e gradual, com partes da legislação entrando em vigor apenas anos após sua aprovação. A Autoridade Nacional de Proteção de Dados (ANPD), responsável por fiscalizar o cumprimento da LGPD, só foi efetivamente estruturada em 2020, dois anos após sua criação.
A LGPD trouxe consigo uma mudança cultural necessária, mas a compreensão completa dos conceitos e mecanismos ainda é limitada, principalmente devido à falta de conscientização sobre o valor dos dados pessoais. Muitos ainda não percebem que informações como o CPF, fornecidas para obter descontos, contêm preciosas informações sobre hábitos e preferências pessoais.
A aplicação de sanções também enfrentou atrasos, o que levanta preocupações sobre a efetividade da lei. A necessidade de uma educação digital e uma mudança cultural em relação à propriedade dos dados pessoais é crucial para construir uma base sólida de proteção de dados.
Apesar das incertezas e desafios, especialistas concordam que a LGPD já deixou marcas significativas. Houve uma mudança cultural nos processos de coleta, uso e armazenamento de dados em todas as esferas da sociedade, o que resultou em relações mais transparentes e duradouras entre as partes envolvidas.
Alguns destacam que a lei já gerou impactos positivos, estimulando empresas a repensarem suas práticas e a investirem em conformidade. A implementação da LGPD também serve como um prelúdio para a regulamentação de outras tecnologias emergentes, como inteligência artificial e segurança da informação.
À medida que o Brasil enfrenta novos desafios regulatórios associados às tecnologias, a experiência adquirida com a LGPD pode servir como base para um debate cuidadoso e equilibrado sobre questões como a inteligência artificial. O futuro da proteção de dados no país dependerá da capacidade de responder a esses desafios sem comprometer os princípios fundamentais da privacidade e inovação.
Em resumo, os cinco anos de vigência da LGPD no Brasil têm sido marcados por avanços, desafios e uma mudança cultural essencial. A construção de uma cultura de proteção de dados e a garantia de conformidade devem continuar sendo prioridades, à medida que o país enfrenta os próximos capítulos na evolução tecnológica e regulatória.
O cenário de compras públicas de Tecnologia da Informação e Comunicação (TIC) está experimentando um período de intensa atividade, impulsionado pela crescente demanda por digitalização. Flávio Rodrigues, presidente da Associação Brasileira de Entidades Estaduais de TIC (ABEP TIC), ressalta que a transformação digital está revitalizando as iniciativas das entidades estaduais, que outrora foram prejudicadas por restrições de recursos e pela pandemia.
Em palavras de Rodrigues, “Apenas no Rio de Janeiro, o investimento em tecnologia já ultrapassou a marca de R$ 1 bilhão este ano. Isso inclui R$ 150 milhões destinados à Proderj e R$ 750 milhões direcionados às áreas de educação, fazenda e saúde. Um movimento semelhante se observa em outras entidades estaduais. A modernização da infraestrutura tecnológica está no centro desse processo”.
Durante o SECOP 2023, realizado em Brasília, Flávio Rodrigues compartilhou com a CDTV, do Convergência Digital, detalhes sobre a aquisição pioneira do Rio de Janeiro relacionada à Lei Geral de Proteção de Dados (LGPD) em nível estadual. Rodrigues enfatizou a crescente influência da LGPD nas aquisições de TICs. Ele mencionou um exemplo concreto: “Estou lidando com uma concorrência para aquisição de câmeras com reconhecimento facial e tivemos que abordar explicitamente a questão da proteção e armazenamento dos dados. Nossa ata de registro para contratações relacionadas à LGPD será compartilhada com outros estados”, revelou.
O impulso proporcionado pela transformação digital e a conscientização sobre a LGPD estão moldando significativamente o panorama das compras públicas de TICs. Esse avanço ressalta a importância das entidades estaduais se adaptarem rapidamente às mudanças tecnológicas e regulatórias, promovendo tanto a modernização quanto a segurança dos serviços públicos por meio da inovação.
A Autoridade Nacional de Proteção de Dados Pessoais (ANPD) está atualmente em um processo de avaliação minuciosa, abrangendo 27 empresas em 16 processos distintos, com o propósito central de verificar o grau de conformidade com a Lei Geral de Proteção de Dados (LGPD). Dentre as organizações sob escrutínio, encontram-se notavelmente as redes sociais de ampla utilização, tais como Telegram, WhatsApp e TikTok. Este empenho investigativo contempla um espectro amplo de medidas corretivas, desde advertências até requerimentos para alterações operacionais. Além disso, também estão contempladas penalidades de cunho financeiro, incluindo a aplicação de multas, as quais podem atingir um percentual máximo de 2% sobre o faturamento da empresa, limitadas a um teto de R$ 50 milhões.
Na entrevista concedida à Jovem Pan News, Fabrício Lopes, o coordenador de fiscalização da ANPD, esclareceu a abordagem subjacente a essas investigações. Tais iniciativas foram instauradas a partir de diferentes origens, incluindo denúncias da Defensoria Pública do Rio de Janeiro e solicitações emanadas do Congresso Nacional. O cerne desta atividade está no compromisso de assegurar que as operações das empresas estejam plenamente alinhadas com as normativas da LGPD. O objetivo primordial é identificar, de forma ágil e eficaz, quaisquer questões relativas à conformidade, direcionando a atenção para a salvaguarda dos direitos fundamentais dos cidadãos.
Essa abordagem também estende-se ao domínio farmacêutico, onde destacadas cadeias de farmácias estão sob análise. Neste contexto, Alexander Coelho, um especialista em direito digital e proteção de dados, enfatiza a relevância dessas diligências. Ele destaca como, ao adquirir produtos em farmácias e fornecer informações como o CPF para usufruir de descontos, os consumidores inadvertidamente contribuem para a construção de um perfil de consumo detalhado. Isso assume implicações de considerável magnitude, uma vez que tais dados poderiam ser explorados indevidamente por entidades terceiras, como seguradoras de planos de saúde. A posse de informações médicas sigilosas poderia prejudicar o processo de renovação dos seguros, resultando potencialmente em aumentos substanciais nos custos para os segurados.
Diante deste panorama, a Lei Geral de Proteção de Dados desempenha um papel fundamental na prevenção de eventuais abusos e infrações. A legislação visa garantir a preservação da privacidade e dos direitos individuais em um cenário cada vez mais digital e interconectado. Com base em dados da IBM, é notável o fato de que vazamentos de informações podem gerar impactos financeiros significativos para as empresas, o que ressalta ainda mais a importância do estrito cumprimento das disposições legais de proteção de dados. Vale destacar que, conforme um levantamento realizado pela Surfshark no ano passado, cerca de 286 mil brasileiros tiveram suas informações pessoais expostas online. Tal cenário reforça a necessidade contínua de uma vigilância rigorosa e de ações efetivas no âmbito da proteção de dados.
A utilização da identificação biométrica facial como meio de confirmar pagamentos, sem dúvida, representa uma proposta futurista repleta de promessas de conveniência e praticidade, aliviando os usuários do fardo de carregar consigo dinheiro, cartões e carteiras físicas. Contudo, a análise aprofundada dessa abordagem revela complexidades e desafios inerentes que merecem atenção especial, principalmente no que concerne à privacidade e à segurança dos dados pessoais.
Sob a perspectiva legal, a biometria facial é classificada como dado pessoal sensível, atribuindo-lhe um caráter íntimo e exclusivo. Sua natureza singular torna-a capaz de identificar um indivíduo com precisão quase absoluta, o que ressalta a necessidade de abordagens cautelosas ao lidar com tais informações. O vazamento desses dados, caso ocorra, pode desencadear consequências irreversíveis e prejudiciais ao indivíduo em questão.
O cenário tecnológico contemporâneo, marcado pela proliferação da Inteligência Artificial e dos conhecidos Deepfakes, já não permite encarar como mera ficção científica a possibilidade de criar vídeos e imagens fraudulentos, utilizando o rosto de pessoas reais. A exploração inadequada de dados de biometria facial pode dar origem a cenários nefastos, como golpes, montagens difamatórias e humilhações virtuais, despertando justificadas preocupações.
É notável que sistemas de validação de identidade por meio de biometria facial têm se tornado cada vez mais presentes em aplicativos de bancos virtuais, aproximando essa tecnologia da vida cotidiana dos usuários. No entanto, urge reconhecer que um fraudador mal-intencionado, ao obter os dados biométricos de uma vítima, poderia, com a mesma facilidade que esta realiza uma compra, efetuar operações financeiras fraudulentas. Essa possibilidade não deve ser menosprezada e exige a adoção de medidas preventivas robustas.
Cumpre ressaltar que não se busca, neste contexto, obstar o progresso tecnológico, mas sim promover o entendimento dos riscos subjacentes a essas escolhas. Imperativo é que as empresas compreendam que a proteção desses dados sensíveis não se restringe meramente ao cumprimento formal das obrigações legais, mas trata-se de uma necessidade premente. Além disso, é imprescindível que tais empresas respeitem o direito de escolha dos clientes em relação ao compartilhamento de suas informações pessoais. Consequentemente, é de vital importância que as empresas assumam o compromisso de educar seus usuários quanto ao uso seguro da biometria, implementar mecanismos de segurança sólidos e garantir que o consentimento informado seja uma opção para seus clientes. Mais do que isso, é fundamental que estejam preparadas para agir de forma ágil e
transparente diante de vazamentos de dados, minimizando danos e restabelecendo a confiança dos clientes.
O desenvolvimento de uma cultura corporativa robusta de privacidade é essencial e não pode limitar-se ao mero cumprimento das leis de proteção de dados. É necessário que tais práticas sejam incorporadas em todas as esferas da organização, o que inclui a designação de um encarregado de proteção de dados, a realização de auditorias regulares de privacidade e a implementação de medidas de segurança adequadas.
Ademais, é altamente recomendável que as empresas estabeleçam planos de resposta a incidentes bem definidos, os quais contemplem a contenção da violação, a avaliação do impacto, a notificação das autoridades competentes e o devido informe às vítimas. A adoção de tais medidas não só garantirá a conformidade legal, mas também aumentará a confiança dos clientes, que, cada vez mais, valorizam a proteção de sua privacidade.
Considerando a complexidade e a constante evolução dessas questões, é prudente buscar a orientação de um especialista em Lei Geral de Proteção de Dados (LGPD) para garantir que a empresa esteja devidamente preparada para lidar com as demandas de um cenário em constante mudança.
Em suma, a utilização da identificação biométrica facial para confirmar pagamentos representa uma inegável conveniência futurista. No entanto, para que essa inovação tecnológica se concretize de maneira benéfica e ética, é fundamental que as empresas compreendam os riscos associados, adotem medidas de proteção eficazes e respeitem a privacidade e a autonomia de seus clientes. Somente com uma abordagem responsável e engajada será possível colher os frutos dessa promissora ferramenta sem comprometer a confiança e a segurança de todos os envolvidos.
Identificação biométrica facial, Pagamentos com o rosto, Proteção de dados pessoais, Privacidade digital, Lei Geral de Proteção de Dados (LGPD), Deepfakes e fraudes digitais, Segurança em transações financeiras, Interação humano-computador, Consentimento informado, Integridade de informações biométricas, Responsabilidade corporativa, Auditoria de privacidade, Cultura de privacidade, Vazamento de dados, Conveniência e praticidade, Autenticação biométrica, Proteção de identidade digital, Tecnologias de reconhecimento facial, Proliferação da Inteligência Artificial, Uso ético da biometria facial.
A recente exposição inadequada do currículo de uma mulher em uma loja de Nossa Senhora do Socorro, na Grande Aracaju, revela uma clara infração à Lei Geral de Proteção de Dados (LGPD). Esse incidente destaca a fragilidade da segurança e privacidade dos dados pessoais no ambiente empresarial.
A LGPD foi estabelecida com o objetivo de assegurar a segurança e privacidade das informações pessoais dos indivíduos. A utilização do currículo da mulher como placa de preço evidencia a falta de compreensão dos princípios fundamentais da LGPD por parte da loja.
Dados sensíveis da pessoa com deficiência
Ao considerar a LGPD, é essencial reconhecer que os currículos de pessoas com deficiência podem conter informações sensíveis sobre sua saúde e condições médicas. Esses dados estão protegidos pela legislação e requerem uma atenção especial em relação à sua coleta, armazenamento e uso.
A utilização inadequada dos currículos de pessoas com deficiência, especialmente ao expô-los de maneira inapropriada, é uma clara infração à LGPD. Além disso, essa violação pode ter um impacto significativo na vida dessas pessoas, causando constrangimento e violando sua privacidade.
A proteção dos dados sensíveis de saúde é especialmente relevante no caso de pessoas com deficiência, que podem ter informações médicas e condições de saúde específicas registradas em seus currículos. A coleta, armazenamento e uso desses dados devem ser conduzidos com o máximo cuidado e em conformidade com a LGPD.
É crucial que casos como esse sejam tratados com a devida seriedade, considerando que a LGPD abrange uma ampla gama de dados pessoais, incluindo informações de saúde, endereços e outros dados. Portanto, é necessário conscientizar as empresas sobre a importância de respeitar a privacidade dos indivíduos e implementar medidas efetivas para proteger os dados pessoais sob sua responsabilidade.
É essencial que a sociedade, as instituições e as empresas trabalhem em conjunto para garantir a segurança e privacidade das informações pessoais, promovendo um ambiente justo e ético em conformidade com a LGPD e respeitando os direitos fundamentais de cada indivíduo.
Após cinco anos da entrada em vigor da Lei Geral de Proteção de Dados (LGPD), a Autoridade Nacional de Proteção de Dados (ANPD) aplicou a primeira multa com base nessa legislação, que estabelece regras para a coleta, uso e compartilhamento de dados pessoais. A sanção foi imposta a uma microempresa que atua no setor de telemarketing. Essa medida representa um marco significativo no cumprimento da LGPD e destaca a importância da proteção dos dados pessoais dos indivíduos.
Localizada na encantadora cidade litorânea de Vila Velha, a Telekall Infoservice enfrentou uma multa no valor de R$ 14.400, tornando-se a primeira empresa a ser penalizada por violar dois artigos cruciais da Lei Geral de Proteção de Dados (LGPD). A infração incluiu o não atendimento às solicitações da Autoridade Nacional de Proteção de Dados (ANPD) durante o processo administrativo de investigação.
Além da multa, a microempresa recebeu uma advertência da ANPD por descumprir a disposição da legislação que exige a nomeação de um encarregado responsável pelo tratamento dos dados pessoais manipulados pelo negócio. Essa situação destaca a importância da conformidade com as disposições da LGPD e reforça a necessidade de as empresas estabelecerem uma estrutura adequada para proteger os dados pessoais de seus clientes.
O processo que é de 2022, tinha o objetivo de “investigar as condutas: ausência de comprovação de hipótese legal; ausência de registro de operações; não envio de Relatório de Impacto de Proteção de Dados; ausência de encarregado de dados pessoais; não atendimento à requisição da ANPD.
Foi imposta uma advertência, por infração ao artigo 41 da LGPD, ou seja, por ausência de indicação de encarregado.
Além disso, uma multa de R$ 7,2 mil foi aplicada por conta da previsão da LGPD que lista quais as hipóteses possíveis para o tratamento de dados. Outros R$ 7,2 mil teriam sido aplicadas por falta de colaboração da empresa com a investigação do regulador.
O especialista em Segurança da Informação e advogado Empresarial Dr. Jorge Alexandre Fagundes destacou a importância das empresas se adequarem a LGPD. “A Lei Geral de Proteção de Dados (LGPD) é um marco importante na proteção dos direitos e privacidade dos indivíduos no ambiente digital. É essencial que as empresas reconheçam a importância de se adequarem à LGPD e implementarem medidas robustas de segurança da informação. A conformidade com essa legislação não é apenas uma obrigação legal, mas também uma oportunidade para as empresas demonstrarem seu compromisso com a privacidade e transparência, construindo uma relação de confiança com seus clientes. Ao adotar práticas adequadas de coleta, uso e compartilhamento de dados pessoais, as empresas podem mitigar riscos de vazamento de informações sensíveis, evitar multas e danos à reputação. Além disso, a LGPD impulsiona a conscientização sobre a importância da proteção de dados em toda a cadeia empresarial, estimulando a inovação e o desenvolvimento de soluções que garantam a segurança das informações. É fundamental que as empresas busquem orientação especializada e realizem um trabalho contínuo de adequação, garantindo assim uma cultura de privacidade que beneficie tanto a organização quanto seus stakeholders.”
Considerações sobre a Multa
Qual o setor da empresa multada? A empresa multada é uma microempresa que atua nos setores de comunicação multimídia (SCM), VoIP, marketing e teleatendimento, conforme fonte da Teletime.
Qual o valor da multa? A multa aplicada à empresa foi de R$ 14.400,00. No entanto, a empresa tem a opção de renunciar ao direito de recorrer da decisão de primeira instância, o que resultaria em uma redução de 25% no valor da multa, totalizando R$ 10.800,00.
Essa decisão representa um marco importante, indicando uma intensificação na fiscalização e penalização de empresas que não estão em conformidade com a LGPD. Isso deve servir como um alerta para todas as empresas de diversos setores, ressaltando a necessidade de aderir às disposições da LGPD para evitar sanções semelhantes.
No entanto, é importante ressaltar que o valor da multa aplicada pode não ser considerado suficientemente dissuasivo, especialmente para empresas de maior porte. Isso pode gerar discussões sobre a adequação dos valores das penalidades, a fim de incentivar mudanças reais de comportamento. Por outro lado, para empresas menores, essa multa pode ser uma oportunidade para revisar e aprimorar suas práticas de proteção de dados, buscando a conformidade com a legislação.
Além disso, a divulgação de uma multa administrativa pode afetar a reputação da empresa, resultando em perda de confiança por parte do público e dos clientes. Isso enfatiza ainda mais a importância de investir em conformidade com a LGPD e outras regulamentações de proteção de dados e privacidade.
A decisão da ANPD também pode gerar uma demanda crescente por transparência nas práticas de coleta e uso de dados por parte das empresas, obrigando-as a esclarecer como estão manipulando os dados pessoais de seus clientes e a comprovar que possuem bases legais adequadas para coletar e processar esses dados.
A empresa recebeu intimação para apresentar recurso contra a decisão ou cumprir a sanção administrativa estabelecida.
A Autoridade Nacional de Proteção de Dados (ANPD) divulgou um enunciado com o objetivo de padronizar a interpretação da Lei Geral de Proteção de Dados Pessoais (LGPD) em relação ao tratamento de informações de crianças e adolescentes. Essa medida representa o primeiro passo da ANPD na proteção dos dados pessoais desses grupos e estabelece a compreensão da autoridade sobre as possíveis interpretações do artigo 14 da LGPD. O enunciado destaca a importância do interesse superior da criança e do adolescente como critério fundamental na avaliação do tratamento de dados, exigindo uma análise cuidadosa por parte dos controladores. Essa mudança tem o potencial de orientar e priorizar o bem-estar das crianças e adolescentes nas operações de tratamento de dados, demonstrando o compromisso da ANPD em lidar com essa questão complexa. Além disso, a ANPD está trabalhando na elaboração de um Guia Orientativo sobre Legítimo Interesse, que trará diretrizes específicas para o tratamento de dados pessoais de crianças e adolescentes com base nessa hipótese legal, alinhado ao princípio do interesse superior. Essas iniciativas refletem o aprofundamento dos estudos da ANPD sobre a proteção de dados pessoais de crianças e adolescentes, destacando-se como prioridades em sua agenda regulatória para os próximos anos.
A ANPD utilizou a Tomada de Subsídios, um instrumento simplificado para coletar sugestões da sociedade, por meio da Plataforma Participa + Brasil, entre setembro e outubro de 2022. Durante esse período, foram recebidas 78 contribuições provenientes de 12 estados brasileiros e diversos setores da sociedade. A proteção de dados pessoais de crianças e adolescentes tem sido um tema de estudo aprofundado pela Coordenação-Geral de Normatização e está presente na Agenda Regulatória da ANPD para os anos de 2023 e 2024.
Após várias discussões e adiamentos, a Lei Geral de Proteção de Dados (LGPD) do Brasil, Lei Federal nº 13.709/2018, entrou em vigor em 18 de setembro de 2020. A LGPD é a primeira regulamentação abrangente de proteção de dados do Brasil e está amplamente alinhada com o Regulamento Geral de Proteção de Dados da União Europeia (GDPR).
Embora a lei esteja em vigor desde 2020, as penalidades estabelecidas pela LGPD só se tornaram aplicáveis em 1º de agosto de 2021. No entanto, autoridades públicas (como órgãos de proteção ao consumidor e promotores públicos) e titulares de dados puderam exercer seus direitos de acordo com a LGPD a partir de 18 de setembro de 2020.
Antes da promulgação da LGPD, as regulamentações de privacidade de dados no Brasil consistiam em várias disposições dispersas na legislação brasileira. Por exemplo, a Lei Federal nº 12.965/2014 e seu Decreto regulamentador nº 8.771/16 (juntos, o Marco Civil da Internet Brasileira) impunham requisitos relacionados à segurança e ao processamento de dados pessoais, além de outras obrigações aos provedores de serviços, redes e aplicativos, e conferiam direitos aos usuários da Internet.
As seguintes leis também contêm disposições gerais e princípios aplicáveis à proteção de dados:
A Constituição Federal; O Código Civil Brasileiro; e Leis e regulamentos que abordam: Certos tipos de relacionamentos (por exemplo, Código de Defesa do Consumidor e leis trabalhistas); Setores regulamentados (por exemplo, instituições financeiras, indústria da saúde ou telecomunicações); e Atividades profissionais específicas (por exemplo, medicina e direito). Além disso, existem leis que regulamentam o processamento e a salvaguarda de documentos e informações manipulados por entidades governamentais e órgãos públicos.
A LGPD se aplica a qualquer operação de processamento realizada por pessoa física ou jurídica (de direito público ou privado), independentemente de (1) os meios utilizados para o processamento, (2) o país onde está localizada sua sede ou (3) o país onde os dados estão localizados, desde que:
A operação de processamento seja realizada no Brasil; O objetivo da atividade de processamento seja oferecer ou fornecer bens ou serviços, ou o processamento de dados de indivíduos localizados no Brasil; ou Os dados pessoais tenham sido coletados no Brasil. Por outro lado, a lei não se aplica ao processamento de dados pessoais que seja:
Realizado por pessoa física exclusivamente para fins privados e não econômicos;
Realizado para fins jornalísticos, artísticos ou acadêmicos;
Realizado para fins de segurança pública, segurança nacional e defesa ou atividades de investigação e persecução de crimes (que serão objeto de uma lei específica);
Originado fora do território brasileiro e não seja objeto de comunicação;
ou Compartilhamento de dados com agentes de processamento brasileiros ou objeto de transferência internacional de dados
Além disso, em 20 de outubro de 2021, o Senado brasileiro aprovou por unanimidade a Proposta de Emenda à Constituição (PEC) nº 17/2019, que inclui na Constituição Federal a proteção de dados pessoais, inclusive em meios digitais, como um direito fundamental, e atribui à União (governo federal) a responsabilidade de legislar sobre esse assunto. Desde 10 de fevereiro de 2022, a proteção de dados está agora abrangida pela Constituição Federal como um direito fundamental.
A Lei Geral de Proteção de Dados (LGPD) trouxe consigo diversas mudanças que afetam diretamente os contratos empresariais. Com a implementação da LGPD, as empresas passaram a ter a responsabilidade de garantir a conformidade com os requisitos legais no que diz respeito ao tratamento de dados pessoais. Isso significa que os contratos relacionados a atividades que envolvem o tratamento de dados precisam estar em conformidade com as exigências da lei.
A conformidade com a LGPD não se restringe apenas às empresas em si, mas também aos contratos que refletem como os dados serão tratados. É fundamental que os contratos empresariais estejam em consonância com as disposições da lei, a fim de garantir a proteção adequada dos dados pessoais dos clientes e usuários.
Para compreender a importância da adaptação contratual à LGPD, é necessário ter um conhecimento básico dos principais conceitos abordados pela lei. É fundamental compreender o que são dados pessoais, dados pessoais sensíveis, titular dos dados e tratamento de dados. Esses conceitos servem como base para a elaboração de contratos que estejam alinhados com as exigências legais.
Além disso, é essencial compreender o papel dos agentes de tratamento de dados, que se dividem em controlador e operador. O controlador é responsável por tomar as decisões relacionadas ao tratamento de dados, determinando a finalidade e os meios desse tratamento. Já o operador recebe os dados do controlador e os trata de acordo com suas instruções.
Uma vez que esses conceitos são compreendidos, torna-se possível abordar a adequação da empresa à LGPD. Antes de adaptar os contratos, é necessário que as empresas ajustem suas práticas e diretrizes de acordo com a lei. Isso envolve mapear os dados, identificar quais informações são tratadas, quais processos e sistemas estão envolvidos, quem são os titulares dos dados e qual é a finalidade das operações realizadas.
Para compreender como adequar o contrato à LGPD, é importante ter um conhecimento dos conceitos fundamentais estabelecidos pela lei. Isso ocorre porque o contrato deve refletir a realidade da negociação e cumprir as exigências legais relacionadas à proteção de dados. A seguir, abordaremos alguns desses conceitos essenciais:
Informações pessoais: referem-se a dados como RG, CPF, endereço IP e perfis em redes sociais.
Dados pessoais sensíveis: envolvem informações de natureza racial, religiosa, biométrica e política, que requerem uma proteção especial devido à sua sensibilidade.
Titular dos dados: trata-se da pessoa física a quem os dados pessoais e sensíveis se referem, ou seja, o indivíduo sobre o qual essas informações estão relacionadas.
Tratamento de dados: engloba qualquer atividade que envolva o uso ou manipulação dos dados pessoais dos titulares, como coleta, armazenamento, análise e compartilhamento.
O agente de tratamento é aquele que lida de alguma forma com os dados e pode ser dividido em dois tipos: controlador e operador. Vamos entender a diferença entre eles:
– Controlador: é responsável pelas decisões relacionadas ao tratamento de dados. Ele determina a finalidade e os meios do tratamento dos dados.
– Operador: recebe os dados do controlador e os trata.
A principal diferença entre o controlador e o operador é que o controlador toma as decisões e determina a finalidade do tratamento dos dados. Lembre-se dessa informação, pois voltaremos a ela mais adiante!
Agora que definimos esses conceitos, podemos abordar a parte de adequação da empresa à LGPD. Antes de adequar o contrato, é necessário adequar o negócio, a empresa e as diretrizes da lei. A LGPD é baseada em princípios que visam garantir os direitos dos titulares, como o princípio da finalidade, que estabelece que o tratamento deve ser realizado para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades. Portanto, o primeiro passo para se adequar à lei é mapear os dados. O mapeamento de dados deve responder a perguntas como: quais dados são tratados, quais processos e sistemas estão envolvidos, quais partes estão envolvidas, quem são os titulares dos dados, quais operações estão sendo realizadas e qual é a finalidade dessas operações. Isso envolve uma análise dos processos, finalidades e um inventário de dados. Esse mapeamento deve ser realizado em todos os setores que lidam com o tratamento de dados antes de prosseguir para a próxima etapa. Embora não seja um processo simples, nosso foco neste artigo é a adequação contratual, então vamos para a próxima etapa.
Em seguida, é necessário realizar uma análise de riscos e um plano de ação. Isso envolve corrigir as falhas identificadas no mapeamento e criar medidas para cumprir a lei. Em seguida, passamos para a fase de implementação, que inclui a adequação contratual. Embora essa fase exija a implementação de políticas de privacidade e segurança, vamos nos concentrar na adequação contratual.
Como adequar o contrato à LGPD? Durante a fase de implementação, é necessário adequar o contrato, conforme mencionado anteriormente. Um dos pontos mais importantes dessa adequação legal ao contrato são as definições de controlador e operador. O controlador tem maior responsabilidade, pois toma as decisões relacionadas à finalidade do tratamento. No entanto, nem sempre é fácil determinar quem é o operador e quem é o controlador em negociações empresariais envolvendo duas ou mais pessoas jurídicas. Portanto, é importante entender que o operador, mesmo que tome certas decisões, não é considerado controlador, pois ele atua como um executor, não essencialmente definindo a finalidade do tratamento dos dados. Isso é especialmente importante para evitar conflitos futuros, pois estamos lidando com uma lei que impõe penalidades significativas. Além do esclarecimento dos papéis das partes envolvidas no contrato, também é necessário incluir cláusulas que abordem o tratamento realizado, os dados tratados, a finalidade do tratamento, o cumprimento dos direitos dos titulares, as situações em que é permitido o compartilhamento de dados, as medidas de gestão de riscos em caso de descumprimento e as penalidades em caso de descumprimento. Essas cláusulas podem ser inseridas como anexos ou no corpo do contrato.
Caso estejamos lidando com uma relação contratual já existente, é necessário revisar esses contratos. A lei não se aplica apenas aos negócios realizados após a promulgação da lei, mas também aos contratos existentes, mesmo que tenham sido celebrados antes da LGPD entrar em vigor. A revisão desses contratos envolve uma reformulação contratual por meio de um aditivo ou de um novo instrumento contratual.
