Tecnologia

LGPD: prazos, penalidades e recomendações

14/04/20 por Vanessa Fernandes

Deixe seu contato e acompanhe os Insights e as novidades do mundo da tecnologia e da transformação digital

Anteriormente prevista para entrar em vigor em agosto de 2020, a Lei Geral de Proteção de Dados sofreu um adiamento de sua data para entrada em vigor. A nova data afora é 3 e maio de 2021. A crise do COVID-19 e sua quarentena causaram suspensão e atraso de prazos e determinações legais. Isso dá maior prazo para as empresas adequarem suas políticas e rotinas à nova lei.

Essa regulação vem em um momento em que a proteção de dados se torna uma questão de extrema importância, principalmente devido ao modo como a tecnologia vem se relacionando com o nosso dia a dia. Para entender melhor como a LGPD precisa ser atendida em todas as empresas, é necessário entender a relação desta lei com o Cambridge Analytica.

A LGPD e o Cambridge Analytica

A origem da LGPD começa com um professor de psicologia chamado Aleksander Kogan, que lecionava na Universidade de Cambridge. Ele obteve permissão do Facebook para coleta de dados para um aplicativo chamado thisisyourdigitallife que tinha fins meramente acadêmicos.

O aplicativo gerava testes de personalidade baseados em séries famosas da grande parte do público usuário do Facebook. Foi através desses testes que Aleksander conseguiu coletar nome, endereço e conteúdos de likes de 270 mil usuários da rede social. Até esse ponto da história, tudo ocorreu legalmente, por mais duvidável que seja. O problema começa quando o professor decide vender todo esse volume de dados para uma empresa chamada Cambridge Analytica, que não possui nenhuma relação com a universidade.

De acordo com o Facebook, a rede social possui condições de uso do software que proíbe o repasse de dados para terceiros. Em 2015 essa violação de dados se tornou do conhecimento do Facebook, que removeu o aplicativo do professor da rede e solicitou que esses dados vendidos fossem completamente apagados. Mas depois ficamos sabendo que isso não aconteceu com todos os dados.

Essa “brecha” que permitiu o vazamento de informações de mais de 270 mil pessoas trouxe à tona a discussão da proteção de dados. Apesar de muito grave, o caso do Cambridge Analytica aconteceu devido a um consentimento oculto dos usuários do Facebook, que tratou o assunto como quebra de conduta ao invés de uma falha de segurança na própria rede.


Quer saber mais sobre a nova Lei Geral de Proteção de Dados? Acesse o nosso whitepaper especial “Tudo sobre a LGPD” e confira vários conceitos e dicas para adequar o seu negócio à nova legislação!


Tratamento de dados e as exceções da LGPD

É preciso entender que, a partir do momento da implementação da Lei Geral de Proteção de Dados, o titular é o dono dos dados. Ou seja, a pessoa física natural é que terá o direito de confirmar a existência de tratamento dos seus dados pessoais, acessar, corrigir, anonimizar, bloquear ou eliminar os dados pessoais, além de solicitar a portabilidade, obter informações sobre o compartilhamento de dados e revogar o consentimento dado anteriormente.

Segundo uma pesquisa realizada pela Capterra, somente 40% dos pequenos e médios empresários estão totalmente preparados para a LGPD no Brasil. Como explica a advogada especialista em Direito Digital Flávia Carvalho, a lei vale para todo mundo, inclusive para lojas físicas. “Ela aplica-se apenas quando o tratamento de dados tiver fins econômicos”, explica. “Por exemplo, se eu pegar vários dados pessoais para fazer um churrasco beneficente, tudo bem, porque eu não estou visando ganhar dinheiro com isso ou obter alguma vantagem econômica”, complementa.

Entendendo os objetivos desta lei, entende-se que ela se aplica aos dados pessoais de indivíduos localizados. Ou seja, quando o tratamento desses dados se dá no Brasil e na oferta de bens e serviços para indivíduos no Brasil. A lei não vai tratar somente de dados de brasileiros e sim de todo indivíduo que estiver em território brasileiro.

A lei de proteção de dados não vai se aplicar a:

  • Dados oriundos destinados a outros países que apenas transitem pelo território brasileiro;

  • Uso pessoal ou não comercial;

  • Fim jornalísticos;

  • Fins acadêmicos;

  • Fins de segurança pública.

Como uma empresa deve se adequar à LGPD

A especialista Flávia Carvalho afirma que, após o entendimento do que é a Lei Geral de Proteção de Dados, o primeiro passo para a conformidade é a revisitação de contratos. “É preciso olhar cada um desses documentos e atuar preventivamente, ou seja, procurar brechas de dados”, aconselha a advogada. “O objetivo é que o cliente seja informado quais dados estão sendo coletados e qual a finalidade deles”.

O recomendado é que as mesmas pessoas responsáveis pela revisitação de contratos elejam um profissional que ficará encarregado, um Data Protection Officer, que pode ser uma pessoa física ou jurídica. O DPO será o ponto de contato dos titulares desses dados e das autoridades de fiscalização. Diante desse entendimento, a empresa precisa começar a trabalhar para adequação aos princípios da lei e também procurar um advogado especialista para tal.

A pessoa eleita como DPO da empresa precisa identificar quem utiliza sistemas, que tipos de dados cada sistema possui e armazena. Também deve identificar quem trata os dados pessoais (nome, CPF, RG, endereço, telefone, e-mail) e dados mais sensíveis (origem étnica, orientação sexual, religiosa, dados biométricos), além da forma como estes dados são trabalhados, se esses dados são transmitidos de alguma forma internamente ou externamente.

Quais são as penalidades da LGPD?

Como lembra a advogada Flávia Carvalho, o prazo para a LGPD entrar em vigor ainda está indefinido. “Muitos defendem o adiamento justamente por causa da crise da COVID-19 e porque o órgão fiscalizador ainda não foi completamente formado”, explica ela. A entrada em vigor está marcada para 3 de maio de 2021.

As penalidades para a não-adequação da Lei Geral de Proteção dos dados são:

  • Uma advertência;

  • Multa de até 2% do faturamento da pessoa jurídica no seu último ano de exercício (com uma limitação de 50 milhões de reais por infração);

  • Multa diária observando a limitação citada acima;

  • Bloqueio dos dados pessoais;

  • Eliminação desses dados pessoais da base de dados da instituição;

  • Suspensão ou proibição da atividade de tratamento desses estados;

  • Publicização da infração.

É importante ressaltar que a lei não foi criada para vedar o uso dos dados pessoais pelas empresas, mas sim para estabelecer princípios e regras para o tratamento desses dados. Caso tenha dúvidas, a Viceri conta com um time de especialistas para ajudar a sua empresa a entrar em conformidade com a nova lei de proteção de dados.

Tags: LGPD

Perguntas frequentes

O Senado Federal votou pelo adiamento da vigência da LGPD para janeiro de 2021, com aplicabilidade de multas a partir de agosto do mesmo ano. No entanto, a Medida Provisória nº 959/2020 precisa ser convertida em lei até 27 de agosto de 2020 para que a data de vigência inicial da LGPD seja postergada para maio de 2021. Ou então, voltamos à data inicial prevista antes da pandemia, 16 de agosto de 2020.

A lei estabelece parâmetros a respeito de dados pessoais e dados pessoais sensíveis. A pessoa física natural é que terá o direito de confirmar a existência de tratamento dos seus dados pessoais, acessar, corrigir, anonimizar, bloquear ou eliminar os dados pessoais, além de solicitar a portabilidade, obter informações sobre o compartilhamento de dados e revogar o consentimento dado anteriormente.

Dado sensível são as informações relacionadas a uma pessoa física, seja ela já identificada ou identificável. Pode ser considerado dado sensível: informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organizações religiosas, filosóficas ou políticas. Também incluem dados genéticos, dados biométricos tratados para identificar um ser humano e dados relacionados à saúde, vida sexual e orientação sexual.

A Lei Geral de Proteção de Dados Pessoais fornece diretrizes de como os dados pessoais devem ser coletados e tratados. No Brasil, desde 2010 já se falava sobre uma regulamentação que visasse a proteção os dados dos cidadãos. No entanto, naquela época, a preocupação era apenas com os dados que circulavam digitalmente.