LGPD: o que mudou na redação final da lei?

0

Sancionada há pouco menos de um ano, a Lei Geral de Proteção de Dados (LGPD) chegou a sua redação final em meados de julho, com muitas e importantes mudanças. Para ajudar a compreender, comento abaixo essas alterações:

Tratamento de dados relativos à saúde

Ocorreu uma flexibilização em relação à hipótese legal que autoriza o uso de dados para tutela da saúde. Desta forma, tanto os dados pessoais quanto os dados pessoais sensíveis poderão ser tratados por profissionais de saúde, autoridades sanitárias e responsáveis pelos serviços de saúde, o que representa um grande aumento nas possibilidades de uso de dados na área da saúde.

Outra mudança em relação a dados relativos na área é que fica vedado o compartilhamento de informações pessoais sensíveis referentes à saúde com o objetivo de obter vantagem econômica. Deve-se atentar, porém, às seguintes condições:

Ocorrer no contexto da prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde;

Não tiver como objetivo a prática pelas operadoras de planos privados de assistência à saúde, de seleção de riscos na contratação, assim como na contratação e exclusão de beneficiários;

For em benefício dos interesses dos titulares dos dados, relativo a pelo menos uma das atividades: a portabilidade de dados quando solicitada pelo titular ou as transações financeiras e administrativas resultantes do uso e da prestação dos respectivos serviços.

Definições para o DPO (Encarregado de Proteção de Dados)

A versão final da LGPD apresenta um conflito entre a definição do artigo 5º, VIII e regra do artigo 41, que disciplina a função do Encarregado de Proteção de Dados (DPO), o relacionando apenas com os Controladores de dados.

Se olharmos o que pretendia o legislador antes do veto, chegaríamos ao entendimento de que a figura do Encarregado estivesse presente tanto no Controlador como no Operador. Desta forma, a nossa recomendação é para que as empresas operadoras nomeiem seus Encarregados de Proteção de Dados, até mesmo porque é raríssimo termos uma empresa que seja somente uma operadora de dados.

Outra mudança é que a lei não torna mais expressa a necessidade que o DPO (Encarregado) detenha o conhecimento jurídico-regulatório em proteção de dados. Este veto foi baseado em não ofender o direito fundamental, previsto no art. 5º, XIII da Constituição da República, por restringir o livre exercício profissional a ponto de atingir seu núcleo essencial. Surgiu do medo de uma reserva de mercado por parte dos advogados. O certo é que um bom DPO, entre outras habilidades técnicas necessárias, deverá dominar não só a LGPD, mas também a sua regulamentação europeia, a GDPR, além de ter a técnica para peticionar a ANPD (Autoridade Nacional de Proteção de Dados Pessoais), respondendo as questões por ela levantadas.

No fundo, a empresa gastará mais tendo um profissional puramente técnico sem o conhecimento jurídico-regulatório como DPO, logo que necessariamente terá que contratar um Escritório de Advocacia especializado para suportar as demandas junto à ANPD e ao judiciário. Ou seja, em suma, será um tiro no pé das empresas desconsiderar o conhecimento jurídico para a contratação de um DPO.

Revisão das decisões automatizadas

Havia a previsão de que o titular de dados teria o direito de solicitar revisões das decisões tomadas de forma automatizada, processo esse que seria feito, nesse segundo momento, por um agente humano.

Ocorreu, porém, o veto presidencial, dispensando essa necessidade.

Sanções da LGPD

Ficam mantidas na LGPD as sanções administrativas, sendo:

Advertência, com indicação de prazo para adoção de medidas corretivas;

Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

Multa diária, observado o limite total acima;

Publicação da infração;

Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

Eliminação dos dados pessoais a que se refere a infração.

Essas punições existentes na Lei são rigorosas e justificam o grande movimento das empresas para sua adequação à LGPD.

Uma novidade com relação às sanções é que os vazamentos individuais ou os acessos não autorizados a dados pessoais poderão ser objeto de conciliação direta entre controlador e titular e, caso não haja acordo, o controlador estará sujeito à aplicação das penalidades da LGPD.

Autoridade Nacional de Proteção de Dados Pessoais (ANPD)

A ANPD será órgão da administração pública federal direta, integrante da Presidência da República, o Poder Executivo, segundo a LGPD. Poderá transformar a ANPD em entidade da administração pública federal indireta após dois anos de funcionamento, submetida a regime autárquico vinculada à Presidência da República.

Podemos destacar como atuação da ANPD os seguintes pontos:

A ANPD poderá celebrar compromissos com as empresas

Terá a capacidade de editar normas (e afins) específicas (e mais flexíveis) para startups;

Será o grau máximo, na esfera administrativa (não judicial), para interpretar a LGPD, o que não exclui o poder de fiscalização que outros órgãos terão, de forma limitada, às suas competências;

Poderá realizar auditorias;

Deverá receber e processar as reclamações das pessoas físicas titulares de dados (em meios facilitados, especialmente eletrônicos), desde que tais titulares tenham procurado antes a própria empresa denunciada, e que esta não tenha resolvido a questão;

Comunicará às autoridades competentes as infrações penais das quais tiver conhecimento.

Uma das grandes dificuldades que estamos enfrentando na implementação da LGPD em nossos clientes é o entendimento de que se trata exclusivamente de uma demanda jurídica ou apenas tecnológica.

Para o sucesso da LGPD, entretanto, é necessário um grupo multidisciplinar abrangendo as áreas de proteção de dados e segurança da informação. Esse grupo deverá seguir uma jornada com etapas bem definidas, para que as atividades necessárias sejam realizadas por profissionais multidisciplinares e no tempo correto, apoiando cada etapa com a expertise exigida, garantindo, assim, a implementação da LGPD no prazo determinado e com a qualidade demandada pela Lei.

Esta jornada compreende cinco grandes fases, que contemplam:

Criação do escritório de privacidade

Definição e treinamento do encarregado de dados

Criação de políticas de proteção de dados e privacidade

Definição do fluxo para tratamento de dados

Definição da estratégia para início das atividades

Mapeamento de dados

Mapear dados estruturados

Mapear dados não estruturados

Catalogar os dados e definir o ciclo de vida dentro dos processos de negócio e nos assets de software

Análise de impacto no tratamento de dados

Criar o relatório de impacto de tratamento de dados utilizando a linhagem de dados

Definir a hipótese legal de tratamento de dados

Definições tecnológicas para o tratamento de dados

Determinar as tecnologias e tratamento necessários para garantir a privacidade de dados dentro dos processos de negócio de acordo com o relatório de impacto de tratamento de dados

Monitoração e operação da privacidade

Garantir o atendimento aos titulares de dados e a Autoridade Nacional de Proteção de Dados

Monitorar a privacidade dentro dos processos e sistemas da empresa.

Esta jornada requer tempo, pessoas especializadas e engajadas para obtermos o sucesso necessário em adequar as empresas dentro do tempo e requisitos da Lei. Com resta menos de um ano (a LGPD entra em vigor em agosto de 2020), é preciso iniciar o processo o quanto antes.

Wiliam Faria, head de Privacidade de Dados e Data Proctetion Officer da GFT.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.