lgpd_lei_geral_de_protecao_de_dados_36

1. Introdução;
2. Conceito;
3. Vigência;
4. Responsabilidade;
5. Penalidades;
5.1. Aplicabilidade;
6. Órgão Fiscalizador.

A Lei Geral de Proteção de Dados (Lei nº 13.709/2018), popularmente chamada de “LGPD”, trata das regras de proteção de dados pessoais.

Seu objetivo, conforme previsto no artigo 1º da Lei, é resguardar os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa.

Deste modo, todos aqueles que tiverem acesso a dados pessoais de terceiros, devem atender ao que prevê a referida Lei e em caso de violação aos direitos garantidos pela mesma, ficarão sujeitos às penalidades pelo órgão fiscalizador.

A Lei Geral de Proteção de Dados (LGPD) busca proteger os dados de pessoas físicas, garantindo os direitos fundamentais de liberdade e privacidade do indivíduo.

Deste modo, toda pessoa física ou jurídica que tiver acesso, por qualquer meio ou motivo, a dados de pessoas físicas, deve observar as disposições da LGPD.

Tratamento de dados, conforme artigo 5°, inciso X, da Lei n° 13.709/2018, é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Assim, sempre que houver a necessidade de ter acesso aos dados de pessoa física, é primordial que haja o consentimento do titular, por escrito, indicando precisamente para a qual finalidade serão utilizados.

A Lei n° 13.709/2018 foi publicada em 15.08.2018, mas sua aplicação foi separada de acordo com as matérias e artigos, em períodos distintos.

Assim, o início da vigência dos artigos foi dividido em três datas, sendo a última, referente às penalidades a serem aplicadas em caso de descumprimento da LGPD.

O cronograma de início de vigência dos artigos está previsto no artigo 65 da Lei nº 13.709/2018, conforme abaixo:

Fases	Matéria/Artigos	Início da vigência
1ª	Normas referentes à infraestrutura que ficará responsável pela fiscalização, organização e elaboração de diretrizes sobre a matéria de proteção de dados (artigos 55-A, 55-B, 55-C, 55-D, 55-E, 55-F, 55-G, 55-H, 55-I, 55-J, 55-K, 55-L, 58-A e 58-B)	28.12.2018
2ª	Demais artigos	15.08.2020
3ª	Penalidades e Sanções Administrativas (artigos 52 até 54)	01.08.2021

Apesar dos artigos que tratam das penalidades terem sua vigência iniciada apenas em 01.08.2021, é importante que as empresas tenham observado o cumprimento da Lei nº 13.709/2018 desde a entrada em vigor das demais fases, já que o titular de dados que se sentisse lesado, poderia ingressar com ação própria para requerer eventual reparação de danos do infrator, seja no âmbito civil ou criminal, por exemplo.

O controlador, que aquele que tem o poder de decisão quanto ao tratamento de dados pessoais de pessoas físicas, é o responsável pela observância da LGPD e, em caso de utilização indevida, por meio de qualquer conduta ilícita ou inobservância dos princípios de segurança, poderá ser penalizado.

Para isso, será inicialmente notificado para prestação de contas, através da qual deverá demonstrar que adotou as medidas suficientes para a proteção dos dados pessoais, nos termos do artigo 6°, inciso X, da Lei n° 13.709/2018.

No entanto, se forem verificadas infrações à referida legislação, o responsável pelas informações será notificado para cessar com a violação constatada ou, ainda, orientado para adequar as medidas que então estavam sendo aplicadas, de acordo com a legislação, bem como, ficará sujeito à multa administrativa.

As penalidades, em âmbito administrativo, em caso de descumprimento das regras previstas na LGPD, estão previstas no artigo 52 da Lei nº 13.709/2018, sendo elas:

- multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50 cinquenta milhões de reais por infração;

- multa diária, observado o limite total de R$ 50 milhões de reais por infração;

- publicização da infração após devidamente apurada e confirmada a sua ocorrência;

- bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

- suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;

- suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período;

- proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

As sanções de suspensão e proibição do exercício de atividades só podem ser aplicadas depois de já ter sido imposta, pelo menos, uma das demais penalidades, com exceção da advertência.

A aplicação das penalidades previstas no artigo 52 da LGPD não substitui a aplicação de sanções administrativas, civis ou penais definidas na Lei nº 8.078/1990, e em legislação específica.

Conforme § 1º do artigo 52 da Lei nº 13.709/2018, as sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios:

- a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei;

Para aplicação da penalidade ao infrator, portanto, deverão ser consideradas todas as condições acima.

Ainda, nos termos do § 7° do artigo 52 da Lei n° 13.709/2018, os vazamentos individuais ou os acessos não autorizados a dados pessoais poderão ser objeto de conciliação direta entre controlador e titular e, caso não haja acordo, poderão ser aplicadas as penalidades previstas na legislação.

Com o objetivo de fiscalização do cumprimento da LGPD (Lei n° 13.709/2018), foi criada a ANPD (Autoridade Nacional de Proteção de Dados), um órgão da administração pública federal, integrante da Presidência da República, responsável por fiscalizar e aplicar as penalidades previstas em caso de seu descumprimento.

De acordo com o artigo 55-D da referida lei, o Conselho Diretor da ANPD será composto de cinco diretores, escolhidos pelo Presidente da República e por ele nomeados, após aprovação pelo Senado Federal, nos termos da alínea ‘f’ do inciso III do artigo 52 da Constituição Federal, e ocuparão cargo em comissão do Grupo-Direção e Assessoramento Superiores - DAS, no mínimo, de nível 5.

Conforme o artigo 55-K da Lei n° 13.709/2018, compete exclusivamente à ANPD a aplicação das penalidades previstas na referida norma e esta prevalecerá em relação às competências correlatas que eventualmente venham a aplicar sanções.

As atribuições da ANPD estão previstas no artigo 55-J da Lei n° 13.709/2018:

- zelar pela observância dos segredos comercial e industrial, observada a proteção de dados pessoais e do sigilo das informações quando protegido por lei ou quando a quebra do sigilo violar os fundamentos do artigo 2º da LGPD;

- elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;

- fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;

- apreciar petições de titular contra controlador após comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação

- promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança;

- promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;

- estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis;

- promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;

- dispor sobre as formas de publicidade das operações de tratamento de dados pessoais, respeitados os segredos comercial e industrial;

- solicitar, a qualquer momento, às entidades do poder público que realizem operações de tratamento de dados pessoais informe específico sobre o âmbito, a natureza dos dados e os demais detalhes do tratamento realizado, com a possibilidade de emitir parecer técnico complementar para garantir o cumprimento da LGPD;

- editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos na LGPD;

- ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e planejamento;

- arrecadar e aplicar suas receitas e publicar, no relatório de gestão, o detalhamento de suas receitas e despesas;

- realizar auditorias, ou determinar sua realização, no âmbito da atividade de fiscalização, sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento, incluído o poder público;

- celebrar, a qualquer momento, compromisso com agentes de tratamento para eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito de processos administrativos, de acordo com o previsto no Decreto-Lei nº 4.657/1942;

- editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se à LGPD;

- garantir que o tratamento de dados de idosos seja efetuado de maneira simples, clara, acessível e adequada ao seu entendimento, nos termos da LGPD e da Lei nº 10.741/2003 (Estatuto do Idoso);

- deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação da LGPD, as suas competências e os casos omissos;

- comunicar às autoridades competentes as infrações penais das quais tiver conhecimento;

- comunicar aos órgãos de controle interno o descumprimento do disposto na LGPD por órgãos e entidades da administração pública federal;

- articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação;

- implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com a LGPD.b

Desta forma, a ANPD, além de ser o órgão destinado a regulamentar, fiscalizar, advertir e penalizar em caso de descumprimento da LGPD, também será meio de comunicação entre a sociedade e o governo, possibilitando o acesso da população ao teor da legislação, esclarecendo eventuais dúvidas, bem como, sendo fonte para receber eventual denúncia.

No âmbito trabalhista, é de suma importância que os empregadores obedeçam à Lei nº 13.709/2018, observando todos os procedimentos e determinações previstos na LGPD, ao tratarem dos dados pessoais de seus empregados e prestadores de serviço, para que não fiquem sujeitos às penalidades impostas em caso de descumprimento da legislação.

Fundamentos Legais: Os citados no texto, conforme legislação vigente à época da publicação.