Empresas devem estar atentas às novas responsabilidades que decorrem da LGPD
Sociedades Limitadas e Sociedades Anônimas
A Lei Geral de Proteção de Dados - LGPD (Lei Federal nº 13.709/2018, alterada pela Lei Federal nº 13.853/2019) entrou em vigor este ano, após uma longa jornada de discussão para sua aprovação.
Sem dúvida, é um diploma legal de alta relevância para a plena inserção do Brasil na economia digital global, na medida em que confere maior proteção jurídica à privacidade e aos dados pessoais dos titulares, bem como impõe responsabilidades maiores às partes que realizam o tratamento dos dados.
Esta proteção legal está prevista em centenas de legislações estrangeiras, inclusive países europeus e Estados Unidos da América. Portanto, a entrada em vigor da LGPD no Brasil é necessária e oportuna, pois aprofunda o nível de proteção e as garantias quanto ao adequado uso e tratamento dos dados pessoais, passando o Brasil a estar mais alinhado às práticas internacionais já adotadas, sobretudo aquelas existentes nos países da União Europeia.
Nestes próximos boletins, dividiremos com vocês algumas recomendações gerais importantes para adequação de sua empresa às novas regras legais sobre este assunto.
Objetivos da LGPD
A LGPD dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou jurídica, de direito público ou privado, com o objetivo de proteger os direitos à liberdade, à privacidade, bem como o livre desenvolvimento da personalidade do indivíduo.
O objetivo da lei é preservar e garantir os direitos fundamentais do ser humano, estabelecidos no artigo 5º da Constituição Federal, tais como: o direito à privacidade; o direito à liberdade de expressão, de informação, de comunicação e de opinião; o direito à inviolabilidade da intimidade, da honra e da imagem, entre outros.
Consideram-se dados pessoais qualquer informação relacionada à pessoa natural identificada ou identificável, tais como: nome, endereço, origem racial, étnica, convicção religiosa, opinião política, dados de registros públicos, hábitos de consumo, dados genéticos, médicos, biometrias etc.
Principais Atores do Processo de Tratamento de Dados
A LGPD traz quatro principais atores relativos ao processo de tratamento de dados pessoais:
O sujeito titular dos dados pessoais, ou seja, a pessoa natural a quem se referem os dados pessoais que serão objeto de tratamento;
O sujeito controlador dos dados pessoais, ou seja, a pessoa natural ou jurídica, de direito privado ou público, que toma decisões acerca dos dados a serem coletados e tratados;
O sujeito operador dos dados pessoais, ou seja, a pessoa natural ou jurídica, que realiza o tratamento dos dados pessoais, em nome do controlador; e
O sujeito encarregado, que é a pessoa indicada pelo controlador e pelo operador para atuar como elo de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Destacamos que o sujeito controlador dos dados pessoais, para os fins da LGPD, não precisa coincidir necessariamente com o sujeito do empresário ou com a sociedade empresária, nem mesmo com a figura do controlador definida na Lei de Sociedades Anônimas. Aqui temos uma definição específica da lei, destinada à pessoa natural ou jurídica que define quais os dados pessoais que necessitam ser coletados e tratados, no âmbito da prestação de um serviço, da comercialização de produtos etc.
O que é tratamento de dados?
De acordo com a LGPD, qualquer operação realizada com dados pessoais, desde a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração corresponde à uma operação de tratamento de dados, para os efeitos da lei.
Além disso, consideram-se operações de tratamento de dados, sujeitas aos dispositivos da LGPD, aquelas que forem realizadas por pessoa natural ou por pessoa jurídica, de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, em qualquer uma das seguintes hipóteses:
Quando a operação de tratamento de dados for realizada no território brasileiro;
Quando o tratamento de dados tiver por objeto dados de indivíduos localizados no território brasileiro;
Quando a atividade de tratamento de dados vise à oferta ou o fornecimento de bens ou serviços no território brasileiro; ou
Quando os dados pessoais que são o objeto do tratamento tenham sido coletados no território brasileiro, ainda o respectivo titular esteja em trânsito pelo Brasil.
Minha empresa está obrigada a cumprir as disposições da LGPD?
As sociedades limitadas e anônimas brasileiras, sejam elas de qualquer porte econômico, em qualquer segmento da economia, estarão, em maior ou menor grau, expostas aos efeitos da LGPD, considerando a definição de atividade de tratamento de dados, tal como foi acima mencionado. Desta forma, todas as empresas que realizam tratamento de dados, nos termos da legislação, devem estar devidamente preparadas e adaptadas para dar cumprimento às disposições quanto à proteção dos dados pessoais por elas tratados. Recomenda-se que a empresa realize um estudo cuidadoso dos impactos que as regras da LGPD trarão para a sua organização, de forma específica, criando as regras de governança mais compatíveis com seus negócios.
Trata-se de uma nova realidade econômica, inerente à era digital, da qual todos os agentes econômicos atualmente participam, em crescente grau.
A LGPD traz algumas exceções pontuais à sua aplicação. São as relativas ao tratamento de dados pessoais realizado por pessoa natural, para fins exclusivamente particulares e não econômicos; bem como o tratamento de dados realizado para fins exclusivamente jornalísticos, artísticos ou acadêmicos, desde que com observância das leis específicas; o tratamento de dados realizado para fins exclusivos de segurança pública, defesa nacional, segurança do Estado, atividades de investigação e repressão de infrações penais, na forma da legislação específica; ou, ainda, os tratamentos de dados provenientes de fora do território nacional, que não sejam objeto de compartilhamento com agentes brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, e desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.
Como preparar a sua empresa para as novas exigências legais?
A LGPD determina que as empresas que realizam o tratamento de dados pessoais devem identificar, dentro da estrutura interna da organização, a figura do encarregado, ou seja, o sujeito que será incumbido de realizar a comunicação entre o controlador, os sujeitos titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Esta pessoa deverá possuir elevado conhecimento das operações internas da empresa, tais como os processos realizados para a coleta e para o tratamento dos dados pessoais, os terceiros que interagem com os dados, as políticas internas e externas aplicáveis aos dados pessoais, etc. O ideal é que esta pessoa tenha pleno domínio sobre os processos que ocorrem e direta interação com todas as demais áreas técnicas da empresa, entre elas, as áreas de atendimento, área comercial, jurídica e financeira, área de recursos humanos, de tecnologia, marketing, etc.
Em virtude do grau de conhecimento que o encarregado terá sobre a organização, é recomendável, a priori, que antes de sua nomeação a empresa leve em conta a senioridade e a maturidade do candidato, bem como seu elevado vínculo com a organização. Em empresas de menor porte econômico, o encarregado poderia ser o sócio administrador, o diretor geral ou outro integrante com elevada antiguidade na empresa.
Outro aspecto relevante é a criação de políticas internas e externas específicas sobre tratamento de dados de clientes, consumidores, integrantes da organização (tais como, funcionários, colaboradores e prestadores de serviços).
Além das políticas internas, torna-se recomendável realizar uma completa revisão ou adequação dos Termos de Uso e Políticas de Privacidade. Para este fim, a organização deve previamente identificar os dados que são absolutamente necessários para a prestação do serviço ou para a comercialização de seus produtos, considerando o seu setor econômico específico.
Há casos em que o prévio consentimento do titular dos dados a serem tratados deverá ser ostensivamente obtido e informado a este de forma prévia.
Em nossos próximos boletins, comentaremos as responsabilidades e sanções que podem ser impostas em casos de falhas no cumprimento das disposições da LGPD.
A informação contida neste Informativo é de caráter geral e não constitui assessoria jurídica.
ARDUIN ADVOGADOS© Todos os Direitos Reservados
Brazilian General Data Protection Law - LGPD
Companies must be aware of the new responsibilities that arise from the LGPD
Limited Companies and Corporations
The General Data Protection Law - LGPD (Federal Law No. 13,709 / 2018, amended by Federal Law No. 13,853 / 2019) came into force this year, after a long journey of discussions for its approval.
Undoubtedly, it is a highly relevant legal instrument to ensure the full insertion of Brazil in the global digital economy, to the extent that it confers greater legal protection to the privacy and personal data of the holders, as well as it imposes greater responsibilities on the parties that perform the processing of the data.
This legal protection is provided for in hundreds of foreign laws, including European countries and the United States of America. Therefore, the entry into force of the LGPD in Brazil is necessary and timely, as it deepens the level of protection and guarantees regarding the appropriate use and treatment of personal data, making Brazil more aligned with the international practices already adopted, especially those existing in the countries of the European Union.
In these upcoming newsletters, we will share with you some important general suggestions for adapting your company to the new legal rules on this matter.
Purposes of the LGPD
The LGPD provides for the processing of personal data, including in digital media, by natural or legal persons, of public or private sectors, with the purpose of protecting the rights to freedom, privacy, as well as the free development of the individual's personality.
The purpose of the law is to preserve and guarantee the fundamental rights of the human being, established in article 5 of the Federal Constitution, such as: the right to personal privacy; the right to freedom of expression, information, communication and opinion; the right to protect the intimacy, honor and image, among others.
Personal information is any information related to the identified or identifiable natural person, such as: name, address, racial, ethnic origin, religious belief, political opinion, public record data, consumption habits, genetic, medical, biometric data, etc.
Main Actors of the Data Processing Process
The LGPD brings four main actors related to the process of processing personal data:
I. The , that is, the natural person to whom the personal data to be processed will refer;
II. The of the personal data, that is, the natural or legal person, of the private or public sectors, who makes decisions about the data to be collected and processed;
III. The of the personal data, that is, the natural or legal person, who carries out the processing of personal data, on behalf of the ; and
IV. The , who is the person appointed by the and the to act as a communication link between the controller, the data holders and the National Data Protection Authority (ANPD).
We emphasize that the controlling person of the personal data, for the purposes of the LGPD, does not necessarily have to coincide with the entrepreneur or with the business entity, not even with the figure of the controlling shareholder, as defined in the Brazilian Corporate Law. This is a specific definition under the LGPD, aimed at the natural or legal person that defines which personal data need to be collected and processed, taking into consideration the scope of the service to be rendered, the products to be traded, etc.
What is data processing?
According to the LGPD, any operation performed with personal data, from the collection, production, reception, classification, use, access, reproduction, transmission, distribution, processing, filing, storage, elimination, evaluation or control of information, modification, communication, transfer, diffusion or extraction corresponds to a data processing operation, for the purposes of the law.
In addition, data processing operations, subject to the provisions of the LGPD, are considered to be those carried out by a natural person or by a legal person, of the public or private sectors, regardless of the means, the country of its headquarters or the country where they are located data is located, in any of the following cases:
I. When the data processing operation is carried out in Brazilian territory;
II. When the processing of data refers to the personal data of individuals located in the Brazilian territory;
III. When the data processing activity aims at offering or providing goods or services in the Brazilian territory; or
IV. When the personal data that are the object of the treatment have been collected in the Brazilian territory, even when the respective holder is in transit through Brazil.
Is my company required to comply with the provisions of the LGPD?
Brazilian corporations and limited liability companies, of any economic size, in any segment of the economy, will be, to a greater or lesser extent, exposed to the effects of LGPD, considering the definition of data processing activity, as mentioned above.
In this way, all companies that perform data processing, in accordance with the legislation, must be properly prepared and adapted to comply with the provisions regarding the protection of personal data processed by them. Thus, it is recommended that the company carries out a careful analysis to understand how LGPD will impact its organization, considering the specific conditions of the business, creating the corporate governance rules that are most compatible with its businesses.
It is a new economic reality, inherent to the digital age, in which all economic agents currently participate to an increasing degree.
The LGPD brings some specific exceptions to its application. These refer to the processing of personal data carried out by a natural person, exclusively for private and non-economic purposes; as well as the processing of data carried out exclusively for journalistic, artistic or academic purposes, provided that the specific laws are observed; the processing of data carried out for the exclusive purposes of public security, national defense, State security, investigative activities and prosecution of criminal offenses, in accordance with specific legislation; or, still, the processing of data from outside the national territory, which are not shared with Brazilian agents or subject to international data transfer with a country other than the country of origin, and provided that the country of origin provides a degree of protection of personal data that is appropriate and equivalent to the provisions of the LGPD.
How to prepare your company for the new legal requirements?
The LGPD determines that the companies that carry out the processing of personal data must identify, within the organization's internal structure, the person in charge (encarregado), that is, the person who will be responsible for communicating between the controller, the holders of the data and the National Data Protection Authority (ANPD).
This person must have a high knowledge of the company's internal operations, such as the processes carried out for the collection and treatment of personal data, the third parties who interact with the data, the internal and external policies applicable to personal data, etc. Ideally, this person should have full control over the processes that occur and have direct interaction with all the other technical areas within the company, including the areas of service, commercial, legal and financial, human resources, technology, marketing , etc.
Due to the degree of knowledge that this person in charge will have about the organization, it is recommended, at first, that before his/her appointment, the company takes into account the candidate's seniority and maturity, as well as his deep alignment with the organization. In smaller companies, the person in charge could be the managing partner, the general director or another member with high seniority within the company.
Another relevant aspect is the creation of specific internal and external policies on data processing for customers, consumers, members of the organization (such as employees, independent workers and service providers).
In addition to the internal policies, it is recommended to carry out a complete review or adaptation of the Terms of Use and Privacy Policies. To this end, the organization must first identify the data that are absolutely necessary for the provision of the service or for the trade of the products, considering its specific economic sector.
There are cases in which the prior consent of the data holder to be processed must be expressly obtained and informed to him/her in advance.
In the next newsletters, we will comment on the responsibilities and penalties that may be imposed in cases of failure to comply with the provisions of the LGPD.
The information contained in this Newsletter is of a general nature and does not constitute legal advice.
ARDUIN ADVOGADOS © All Rights Reserved