Requisitos importantes previstos na LGPD
A LGPD impõe obrigações para controladores e operadores. Impõe também certas exigências a organizações para que as pessoas físicas possam reivindicar seus direitos estabelecidos na lei.
Direitos individuais
A LGPD concede determinados direitos aos titulares de dados. A intenção é proteger os dados pessoais deles, sem exigir cidadania ou residência no Brasil para que a pessoa se qualifique como titular nos termos da LGPD. Segundo a lei, os titulares têm o direito de receber um aviso adequado dos direitos que têm.
A LGPD permite que os titulares recebam os seguintes itens de um controlador com relação a seus dados pessoais:
- Confirmação quanto à existência de tratamento de dados pessoais;
- Correção de dados incompletos, inexatos ou desatualizados;
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
- Portabilidade dos dados;
- Eliminação dos dados pessoais tratados com o consentimento do titular (ressalvadas algumas exceções);
- Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
- Informação sobre a possibilidade de não fornecer consentimento e as consequências da negativa;
Revogação do consentimento
A LGPD confere aos titulares o direito de se opor e restringir o tratamento de seus dados pessoais, e permite que as pessoas físicas solicitem a eliminação de seus dados pessoais. Além disso, o direito de acesso é reconhecido tanto pelo GDPR quanto pela LGPD. Portanto, as organizações devem conceder aos titulares acesso a seus próprios dados pessoais quando requerido. Ainda assim, há algumas diferenças entre o GDPR e a LGPD, inclusive quanto ao prazo de resposta de uma solicitação de acesso. Em geral, as organizações sujeitas ao GDPR precisam responder a solicitações de acesso em um prazo de 30 dias contados a partir do recebimento da solicitação. No entanto, a LGPD define um prazo de 15 dias, enquanto solicitações relativas ao exercício de outros direitos devem ser atendidas imediatamente. É importante observar que as solicitações dos titulares de dados nos termos da LGPD são um tópico da lei que ainda requer regulamentação da ANPD.
Expectativas internas para a sua organização
Comunicações obrigatórias: como no GDPR, as organizações precisam comunicar ao titular sobre seus direitos previstos na LGPD, e isso inclui todos os direitos acima. Essas comunicações obrigatórias devem constar da política de privacidade ou ser apresentada no ato da coleta dos dados pessoais.
- Atendimento aos direitos dos titulares: conforme já mencionado, a LGPD exige que as organizações assimilem os direitos dos titulares. Além disso, as organizações precisam ter um processo para atender os titulares que reivindicam seus direitos.
- Opt-out: o direito de opt-out não é limitado a nenhuma atividade específica de tratamento, sendo aplicável a qualquer atividade.
- Fundamentos legais para o tratamento de dados: a LGPD exige que as organizações tenham um fundamento legal válido para tratar dados pessoais.
- Encarregado da Proteção de Dados (“EPD”): a LGPD exige que as organizações indiquem um encarregado da proteção de dados.
- Transferência de dados: segundo a LGPD, os dados pessoais só podem ser transferidos a outros países que garantirem um grau de proteção adequado (uma lista de tais países ainda será publicada pela ANPD) ou sempre que houver garantias de cumprimento pertinentes (isto é, cláusulas-padrão contratuais, cláusulas contratuais específicas, normas corporativas globais, códigos de conduta e mecanismos de certificação). A LGPD é silente quanto aos mecanismos e às exigências das garantias de cumprimento.
- Requisitos de cookies: a LGPD se baseia no modelo de riscos, semelhante ao que é exigido das organizações para o cumprimento do GDPR. As organizações que tratam dados pessoais são incentivadas a implementar medidas de segurança correspondentes ao nível de risco de suas atividades de tratamento de dados.
Diferenças entre a LGPD e o GDPR
O GDPR e a LGPD são legislações bem parecidas. No entanto, há algumas diferenças entre elas. Por exemplo, o GDPR reconhece seis finalidades legais para o tratamento, enquanto a LGPD tem dez. Por outro lado, a LGPD é mais flexível quanto à avaliação de equilíbrio de interesse legítimo. E mais: o prazo de comunicação de ocorrências de incidente de segurança é diferente entre as duas legislações. Nos termos do GDPR, os controladores precisam comunicá-las às autoridades fiscalizadoras no prazo de 72 horas, enquanto a LGPD prevê que essa comunicação deve ser feita à autoridade fiscalizadora e aos titulares em um prazo razoável. Por fim, uma grande diferença entre as duas legislações é que a LGPD obriga as organizações a indicarem um encarregado da proteção de dados, enquanto o GDPR não impõe essa obrigação a todos os controladores.
O que acontecerá se eu descumprir a LGPD?
No momento, a fiscalização da ANPD só começa a partir de 1º de agosto de 2021, quando as disposições sobre as sanções administrativas da LGPD entram em vigor. Para organizações que infringirem a LGPD, há a previsão de sanções que podem incluir multas de até 2% do faturamento da pessoa jurídica no Brasil no ano fiscal anterior, limitada, no total, a R$ 50.000.000,00 por infração.
Considerando que a ANPD acabou de ser estabelecida, ainda há muitas dúvidas sobre como a autoridade funcionará na prática administrando essas sanções.
Laerte Jr. Paludetto, DPO
Isenção de responsabilidade
**Isenção de responsabilidade: este site não é um resumo completo da Lei Geral de Proteção de Dados (“LGPD”) nem um conselho jurídico para sua organização cumpri-la. Ele apenas apresenta informações básicas para ajudar você a entender melhor a LGPD e como ela pode se aplicar à sua organização. Estas informações jurídicas não são equivalentes a conselhos jurídicos, em que um advogado aplica a lei às suas circunstâncias específicas. Portanto, você deve consultar um advogado caso queira um conselho sobre a sua interpretação destas informações ou sobre a precisão delas. Não é recomendável que você confie nesta página como um conselho jurídico nem como um endosso de quaisquer entendimentos jurídicos. Embora a LGPD tenha influências do GDPR, as organizações que já cumprem o GDPR não necessariamente estão de acordo com a LGPD. Além disso, a aplicação e as regulamentação da LGPD ainda não foram finalizadas; portanto, a TalkAll continuará monitorando a evolução tanto da LGPD quanto de suas regulamentações. A TalkAll continuará atualizando esta página conforme o necessário.