A Lei Geral de Proteção de Dados - LGPD, sancionada a menos de um ano, teve no mês de julho, a implementação de importantes mudanças no texto de sua redação final. Vamos abaixo sintetizar o assunto na intenção de ajudar o leitor na compreensão dessas mudanças.
Tanto dados pessoais como dados considerados sensíveis poderão ser utilizados por
profissionais de saúde, autoridades sanitárias e responsáveis pelos serviços de saúde. Essa
flexibilização em relação ao texto original aumenta consideravelmente as possibilidades de utilização
desses dados.
Fica proibido o compartilhamento de dados sensíveis, relativos a saúde, com fins de qualquer tipo de
vantagens econômicas, desde que:
- Ocara no contexto da prestação de serviços de saúde, de assistência farmacêutica e de assistência à
saude;
- Não tenha como objetivo a prática pelas operadores de planos privados de assistência à saude. de selecão
de riscos de contratação e de contratação e exclusão de beneficiários;
- Seja em benefício dos interesses dos titulares dos dados, relativo ã pelo menos uma das atividades:
- Portabilidade dos dados solicitada pelo titular;
- Transações financeiras relativas à prestação dos serviços.
Definições para o Encarregado de Proteção de Dados
A versão final da LGPD apresenta um conflito entre a definição do artigo 5º, VIII e regra do artigo 41,
que disciplina a função do Encarregado de Proteção de Dados (DPO), o relacionando apenas com os
Controladores de dados.
Em sua versão inicial o legislador pretendia que existisse tanto na empresa controladora como na empresa
operadora de dados, isso soava estranho pois na prática não existe empresas que sejam somente operadoras
de dados. A orientação e toda empresa nomeia um encarregado interno para a proteção de dados.
Não existe mais a necessidade que o encarregado possua conhecimento jurídico sobre o tema, pois esse
ponto foi entendido como uma restrição ao livre exercício profissional e como uma possível reserva de
mercado por parte dos advogados, não obstante, o profissional encarregado deve além de possuir
habilidades técnicas, dominar tanto a lei nacional (LGPD) como a internacional (GDPR) que trata do tema.
Caso seja necessário deverá ser contratado um apoio de escritório advocatício para elaboração de
petições junto `ANPD (Agencia Nacional de Proteção de Dados).
Ocorreu um veto presidencial sobre a possibilidade do titular dos dados pedir revisão humana em decisões automatizada.
Ficam mantidas na LGPD as sanções administrativas, sendo:
- Advertência, com indicação de prazo para adoção de medidas corretivas;
- Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou
conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$
50.000.000,00 (cinquenta milhões de reais) por infração;
- Multa diária, observado o limite total acima;
- Publicação da infração;
- Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
- Eliminação dos dados pessoais a que se refere a infração.
- Existe a possibilidade de conciliação direta entre o controlador e o titular dos dados. Existindo acordo
não seriam aplicadas as sanções acima (NOVIDADE)
- O extremo rigor das sanções fazem com que todas as empresas envolvidas tenham urgência na elaboração dos
planos de ações para implantação dos controles necessários para enquadramento na lei
A ANPD será órgão da administração pública federal direta, integrante da Presidência da
República, o Poder Executivo, segundo a LGPD. Poderá transformar a ANPD em entidade da administração
pública federal indireta após dois anos de funcionamento, submetida a regime autárquico vinculada à
Presidência da República. A sua atuação será :
- Celebrar compromissos com as empresas
- Editar normas (e afins) específicas (e mais flexíveis) para startups;
- Será o grau máximo, na esfera administrativa (não judicial), para interpretar a LGPD, o que não exclui o
poder de fiscalização que outros órgãos terão, de forma limitada, às suas competências;
- Poderá realizar auditorias;
- Deverá receber e processar as reclamações das pessoas físicas titulares de dados (em meios facilitados,
especialmente eletrônicos), desde que tais titulares tenham procurado antes a própria empresa
denunciada, e que esta não tenha resolvido a questão;
- Comunicará às autoridades competentes as infrações penais das quais tiver conhecimento.
A jornada de implantação não é uma tarefa simples e necessita de um grupo
multidisciplinar, incluindo áreas de proteção e segurança de informação além de pessoas com conhecimento
jurídico. Esse grupo deverá ter como fases do processo :
- Criação do escritório de privacidade
- Definição e treinamento do encarregado de dados
- Criação de políticas de proteção de dados e privacidade
- Definição do fluxo para tratamento de dados
- Definição da estratégia para início das atividades
- Mapeamento de dados
- Mapear dados estruturados
- Mapear dados não estruturados
- Catalogar os dados e definir o ciclo de vida dentro dos processos de negócio e nos assets de software
- Análise de impacto no tratamento de dados
- Criar o relatório de impacto de tratamento de dados utilizando a linhagem de dados
- Definir a hipótese legal de tratamento de dados
- Definições tecnológicas para o tratamento de dados
- Determinar as tecnologias e tratamento necessários para garantir a privacidade de dados dentro dos
processos de negócio de acordo com o relatório de impacto de tratamento de dados
- Monitoração e operação da privacidade
- Garantir o atendimento aos titulares de dados e a Autoridade Nacional de Proteção de Dados
- Monitorar a privacidade dentro dos processos e sistemas da empresa.
É muito trabalho e o tempo é curto, portanto todas as empresas devem começar o quando antes (se não
tiverem já iniciado) para terminar o projeto em tempo.
A data final para que todas as empresas se adequem é julho de 2020.
Postado há 28 de Outubro de 2019 por Marcelo Miranda