LGPD: Perguntas Frequentes

As perguntas a seguir foram recebidas por diferentes maneiras pela nossa equipe. Particularmente, muitas foram feitas durante a nossa live Tudo o que você queria saber sobre LGPD mas não tinha para quem perguntar. Se você não assistiu, vale a pena conferir no nosso canal do YouTube!

Existe mais algum prazo concedido para adequação das empresas à LGPD?

Não. As empresas já precisam estar adequadas à LGPD. O único prazo que existe, por enquanto, é para o início de de autuação da ANPD, que só poderá fazê-lo a partir de agosto de 2021. Entretanto, como já é uma obrigatoriedade imposta por lei, o Ministério Público e os Procons poderão ser acionados.

Em uma empresa, onde seu cadastro de clientes resume-se a outras empresas, o que considero dado sensível?

De acordo com o Art. 1º da LGPD, o objeto da lei é a proteção da pessoa natural, ou seja, não se visa proteger pessoas jurídicas. Com relação a dado pessoal sensível, é o dado que oferece um maior risco de ser utilizado para violar direitos, como por exemplo, para discrimação. Conforme descrito no Art. 5º, inciso II, dado pessoal sensível é o “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.

A partir de quando posso ser notificado ou multado por não atendimento ao LGPD?

A partir de agosto de 2021. Em caso de denúncia ou incidente, pode também estar sujeito a sanções legais.

Já existe cominação legal na LGPD para as infrações previstas pelo novo Diploma?

Embora as sanções previstas na LGPD apenas possam ser aplicadas pela ANPD a partir de 1º de agosto de 2021, um cidadão que se sentir lesado em caso de violação de direitos, poderá ajuizar ação com pedido de reparação civil. Além disso, outros órgãos como o Ministério Público, Senacon e Procons possuem legitimidade para representar uma coletividade para pedido de reparação.

Como essa Lei aplica a condomínios e sua administração?

Essa questão é rodeada por algumas polêmicas. A primeira tem relação sobre a personalidade jurídica do Condomínio. Como o condomínio não está no rol do Art. 44 do Código Civil, há doutrinadores que entendem que o condomínio não é pessoa jurídica. Lembre-se que a LGPD aplica-se a pessoa natural ou jurídica que trata dados pessoais. Assim, se o condomínio não é pessoa jurídica, em tese, não teria obrigatoriedade de adequação a LGPD. Entretanto, a doutrina majoritária e os tribunais têm entendido que os condomínios são equiparados a pessoa jurídica de direito privado. Independentemente da personalidade jurídica ou não do condomínio, não poderemos afastar dessa análise que a LGPD surgiu para proteger o titular dos dados, assim, considerando que o condomínio trata dados pessoais que podem colocar em risco direitos dos cidadãos, devem observar as disposições da LGPD. Por fim, por se tratar de uma questão peculiar, é possível que a ANPD edite norma trazendo flexibilizações específicas para o caso dos condomínios.

Quem se responsabiliza pelo recente mega-vazamento de dados de 220 milhões de pessoas no Brasil? Parece que não só dados guardados pela Serasa Experian, mas também pela Receita Federal e inclusive pelo Denatran (Departamento Nacional de Trânsito) foram vazados.

Uma vez identificado o controlador ou operador que estavam tratando os dados pessoais, esses podem ser responsabilizados. Talvez o desafio dos vazamentos recentes é de fato saber qual a origem dos dados.

Qual seria a formação e quem pode ser o DPO nas companhias?

Não há determinação legal sobre quem pode ser ou qual a formação necessária para exercer a função de Data Protection Officer – DPO, ou Encarregado de Dados. No entanto, há alguns pontos que merecem ser observados pela empresa, a saber: (a) o DPO precisa ter conhecimento profundo da LGPD, assim como dos processos da própria empresa; (b) apesar do acúmulo de funções não ser explicitamente proibido, convém evitar que o Encarregado de Dados não exerça outra atividade que possa suscitar conflito de interesses, como por exemplo questões relacionadas ao desempenho da empresa; e (c) é considerada boa prática ter a remuneração do DPO desvinculada dos resultados financeiros da empresa, para que esses resultados não interfiram nas suas responsabilidades para com os titulares dos dados. Feitas essas ressalvas, qualquer pessoa – ou até mesmo um grupo de pessoas, tendo alguém como ponto focal para comunicação – pode exercer a atividade.

Se eu tenho um mailing antigo, em que os usuários do site incluíram seu nome e e-mail de forma voluntária, mas não havia a coleta da anuência expressa para a finalidade de enviar newsletters, como faço para me adequar à LGPD?

O mailing, embora coletado quando a LGPD ainda não estava em vigor e, portanto, não estava sujeito às normas legais, precisa encontrar uma das dez bases legais previstas na Lei para que possa continuar a ser utilizado. Cabe à empresa verificar, tendo sempre em mente os princípios da finalidade, da necessidade e do mínimo necessário, se e em qual base legal pode ser fundamentado o tratamento e uso das informações coletadas pelo mailing.

Em relação aos contratos, todos que tenham sido firmados com pessoas físicas antes da vigência da LGPD, precisam de aditivos para adequação?

Caso os contratos firmados anteriormente à promulgação da LGPD envolvam, de qualquer forma, o tratamento de dados pessoais, será necessária uma revisão. No entanto, a LGPD prevê um prazo razoável – que ainda não está regulamentado – para que as empresas façam esses ajustes.

Se a empresa tomou todas as providências e atende completamente a LGPD, mas mesmo assim tem algum dado vazado, como ela pode se proteger?

A LGPD parte do princípio de que cabe às empresas dispender “esforço razoável” para garantir a segurança dos dados pessoais sob sua tutela. Isso inclui utilizar tecnologias e procedimentos adequados disponíveis no momento do tratamento dos dados. Para se resguardar e evitar possíveis problemas, a empresa precisa produzir evidências de que está tomando as precauções possíveis e necessárias nesse sentido, bem como utilizar ferramentas que comprovem os esforços para a gestão e tratamento dos dados pessoais. Espera-se que a Autoridade Nacional de Proteção de Dados, quando da regulamentação da Lei, dê mais clareza ao que se pode considerar “esforço razoável”.

Como posso ter certeza que a empresa não está usando meus dados para outros fins? O que posso fazer se descobrir que a empresa está usando meus dados para outros fins? Cabe alguma ação indenizatória?

Pela Lei, as empresas têm a obrigação de divulgar, de maneira clara, inequívoca, específica e transparente, de que maneira irá coletar, tratar e utilizar os dados pessoais. O primeiro passo para ter certeza de que os dados não serão utilizados indevidamente é verificar se essa obrigação de divulgação é cumprida pela empresa – em geral, os usos estão previstos na Política de Privacidade e/o nos Termos de Uso disponíveis no sítios eletrônicos. No entanto, isso ainda não é suficiente, uma vez que não são aceitas descrições genéricas para o uso e tratamento dos dados. A situação deve ser concreta e imediata – não é possível a empresa coletar dados para utilizar no futuro, em um período indeterminado. Se você verificar que seus dados estão sendo utilizados sem a sua permissão, ou de maneira que pode ser considerada não razoável, o titular dos dados deve entrar em contato com a empresa, podendo solicitar que o uso indevido cesse ou até mesmo que seus dados pessoais sejam removidos – com exceção de alguns casos previstos em Lei, a empresa tem a obrigação de atender a solicitação. Se a solicitação à empresa não surtir efeito desejado, o titular pode ainda entrar em contato com órgãos como o Procon e até mesmo fazer uma denúncia junto à Autoridade Nacional de Proteção de Dados, sendo cabível, também, ingressar com ação judicial contra a empresa.

Já existe seguro contra vazamento de dados?

Diversas seguradoras já oferecem o chamado cyber risk. Ainda existem alguns aspectos legais, operacionais e comerciais que precisam de regulamentação, tanto pela SUSEP como pela ANPD.

Os bancos usam algoritmos para avaliar se uma pessoa pode ter crédito ou não. Eu posso conhecer as avaliações que existem em meu nome?

O artigo 18 da LGPD garante amplo acesso, tanto aos dados constantes como do tratamento que foi dado a eles.

Minha empresa trabalha com importação e exportação. Poderei ter problemas com meus parceiros estrangeiros caso eu não tenha implementado a LGPD?

Se no seu relacionamento ocorrer a troca de informações de pessoas físicas e seus parceiros estiverem em países onde consta uma legislação de proteção de dados, sim, você poderá ser afetado. No caso da União Europeia, a GDPR (lei europeia), especifica o tratamento a ser dado nesses casos.

Sou presidente de uma organização sem fins lucrativos que trabalha com jovens. Qual o impacto da LGPD para a minha organização e como ficariam as multas caso tenhamos alguma inconformidade, uma vez que nossa receita operacional é zero (vivemos de doações dos associados)?

Organizações sem fins lucrativos têm as mesmas obrigações das demais empresas, estando sujeitas às mesmas penalidades. No caso de uma organização que trabalha com jovens, especialmente crianças de até 12 anos, há ainda que se considerar os aspectos específicos relacionados ao tratamento dos dados pessoais de crianças e adolescentes, que exigem, dentre outros cuidados previstos no Estatuto da Criança e do Adolescente, o consentimento dos pais ou responsável legal pelo menor de 18 anos para qualquer tipo de tratamento de dado pessoal. O fato de ser uma organização sem fins lucrativos não impede que a Autoridade Nacional de Proteção de Dados imponha multas pecuniárias, embora esse seja o último recurso punitivo.

Já existe algum tipo de certificação para proteção de dados? Se existir, é obrigatória ou voluntária?

Já é possível as empresas obterem um certificado de conformidade de proteção de dados, atendendo aos requisitos da LGPD e das demais normas que regulam essa certificação. Ainda não existe uma obrigatoriedade legal, mas algumas empresas já exigem algum certificado de conformidade com a LGPD junto a seus parceiros comerciais.

Em contratos com escritórios, como proceder quando o titular for um Sócio? E em relação a um autônomo? Pergunto pois, tendo em vista o cumprimento de obrigações legais ou serviços contratados, mesmo assim torna-se obrigatório o consentimento do titular?

A LGPD não diferencia pessoas naturais em razão do cargo ou função que ocupam. Se controladores ou operadores tratam dados pessoais, devem se adequar a lei.

Minha empresa é uma distribuidora de produtos e tenho vários representantes que fazem as vendas diretamente para pessoas físicas. Minha empresa tem alguma responsabilidade caso haja algum vazamento de dados em algum desses distribuidores?

Se sua empresa toma decisão sobre como os representantes tratam os dados, como por exemplo, fornecendo sistema de informação centralizado com formulários padronizados para todos eles, nesse caso, poderá haver responsabilização. Por outro lado, se sua empresa enquanto distribuidora, recebe dados dos representantes dos clientes para faturamento, por exemplo, também precisará observar a LGPD. Além disso, entendemos que os representantes são pessoas físicas e possivelmente são armazenados dados pessoais dos representantes para diversas finalidades. Para uma compreensão complete, o ideal é realizar um mapeamento dos dados pessoais e processos para entender quais dados pessoais são coletados e em que momento de cada um dos processos.

Para fazer essa pergunta, me foi pedido nome, telefone e e-mail, mas não me foi informado o uso que será feito desses dados nem me foi pedido nenhum consentimento. Isso não está em desacordo com a LGPD?

O ideal realmente seria que a informação do uso pretendido para os dados pessoais coletados estivesse mais clara no momento da coleta. No entanto, ao fazer a inscrição para um evento, há um interesse legítimo de que quem está organizando o evento tenha condições de entrar em contato com aquele que está interessado em participar deste evento – ou seja, do lado de quem faz a pergunta, há uma legítima expectativa de ter a sua pergunta respondida e de receber informações sobre o evento. Trata-se, portanto, de um caso de legítimo interesse da empresa para poder informar o titular dos dados sobre as condições de realização daquele evento – como, por exemplo, informar o link de acesso no caso da nossa live sobre Tudo o que você queria saber sobre LGPD mas não tinha para quem perguntar.

Existe um check list, ou algo mais simples dos itens da LGPD que pode ser implementado em uma empresa? Onde eu consigo consultores ou orientações para implementar LGPD?

Já existem empresas e profissionais no mercado prestando consultoria para a implantação da LGPD. Por ser uma instituição agnóstica, o Instituto Modal não pode indicar uma empresa específica, mas pode recomendar que, ao decidir por uma empresa para prestar esse tipo de serviço, você verifique se o consultor: (a) possui experiência prévia em outros projetos de implantação de LGPD; (b) possui profissionais com formação multidisciplinar – legal, tecnológica e de gestão de processos – e adequada ao perfil da sua empresa (a contratante); (c) tenha atuação em todas as disciplinas que compõem a LGPD; (d) tenha competência para capacitar a equipe da sua empresa em relação às demandas e, principalmente, à cultura imposta pela LGPD. No entanto, antes de contratar uma consultoria, convém que pelo menos um profissional da sua empresa tenha capacitação suficiente para poder avaliar as propostas e os serviços oferecidos pelas consultorias. A LGPD é uma lei nova, extensa e transversal, com impactos em diversas outras leis, e requer um entendimento profundo de como irá afetar os processos internos, as relações com clientes, colaboradores e fornecedores, e até mesmo quais os possíveis impactos financeiros que podem decorrer do cumprimento – ou do descumprimento – da Lei.

Como trabalhar na área?

Resposta curta: buscando a melhor capacitação possível sobre a LGPD e todos os assuntos relacionados a ela. Resposta longa: vide resposta curta, depois continue a se capacitar.

Qual a qualificação mínima de um profissional para trabalhar com a LGPD, por exemplo com a certificação?

Não há exigência legal de qualificação mínima para qualquer profissional que venha a trabalhar com a LGPD no Brasil. No entanto, recomenda-se que o profissional conheça a Lei em profundidade, assim como os processos próprios da empresa. Atualmente já estão disponíveis vários cursos que certificam profissionais nesses aspectos – como os oferecidos pelo Instituto Modal – e que podem contribuir para o sucesso de programas de implantação e de manutenção da conformidade com a LGPD.

Quanto ao consentimento do titular, quais as recomendações?

O consentimento é uma das dez hipóteses de tratamento de dados – talvez a mais frágil para a empresa, porque o titular dos dados pode retirar o consentimento a qualquer momento. A recomendação é, sempre que possível, usar outra base legal para o tratamento dos dados pessoais que não seja o consentimento. Se não for possível usar outra base, é necessário que o titular dê seu consentimento formalmente, de maneira livre, informada, inequívoca e específica para aquela finalidade concreta. Isso é particularmente importante para o tratamento de dados sensíveis, quando, além de estar claro e transparente, a informação deve estar destacada. Também valem outras dicas para aumentar a segurança da empresa: ter uma política de tratamento de dados pessoais bem transparente, clara; não utilizar opções de consentimento que venham já marcadas (o titular deve ter a liberdade de dar ou não o seu consentimento, sem ser induzido a isso).

Qual o nível de adequação das médias e grandes empresas brasileiras até esse momento?

Alguns estudos publicados no final de 2020 apontam que 86% das empresas estão atrasadas com suas ações de adequação à LGPD, sendo que somente 24% já teriam algum grau de maturidade em relação ao tema. Outro estudo aponta que, dentre as 400 empresas pesquisadas, 64% afirmaram não estar em conformidade com a Lei; dessas, 24% estavam se adaptando; 16% não haviam iniciado o processo de adaptação, mas sabiam da necessidade; e 24% sequer sabiam o que era LGPD. Ambos os estudos, no entanto, focaram em médias e grandes empresas, que têm mais recursos, condições e – em geral – conhecimento para promover os ajustes necessários. Para micro e pequenas empresas, não localizamos estudos nesse sentido, mas a percepção pessoal é que a situação está um caos – os micro e pequenos empresários dizem que não acreditam na Lei, ou que não possuem orçamento e, portanto, não poderiam se adequar. De qualquer forma, espera-se que a ANPD regulamente a situação das micro e pequenas empresas, que é bastante diferente da empresas de âmbito nacional ou até mesmo multinacional.

Trabalhamos com dados sensíveis dos nossos clientes, como tratar esses dados dentro do ERP?

As melhores práticas recomendam, em primeiro lugar, anonimizar os dados sensíveis sempre que possível, deixando-os visíveis somente para quem realmente precisa ter acesso a esse dado. Também é necessário seguir as demais medidas se segurança para que esses dados não fiquem expostos ou sujeitos a vazamentos, até mesmo em outras áreas dentro da empresa – isso vale tanto para ambientes informatizados quanto para ambientes físicos, como arquivos, por exemplo. Além disso, é importante garantir outros aspectos, como políticas de senhas, rastreabilidade de acesso etc.

Como implementar a LGPD em sistemas contratados pela entidade pública?

Já existe uma orientação feita pela Casa Civil da Presidência da República sobre as melhores práticas de como adequar um documento à LGPD; contudo, no setor público há uma complexidade de dados muito grande – são inúmeros sistemas, tecnologias heterogêneas, muitas fontes de dados e muitas informações que estão públicas sem um propósito específico para isso. Para melhorar a situação, é importante que o órgão público faça todo o mapeamento dos dados, entenda todas as fontes de dados, os sistemas, os riscos associados a cada um dos dados que são tratados… ou seja, seguir o passo-a-passo que toda e qualquer organização deve seguir para se adequar à LGPD. Importante destacar que existe uma ilusão de que o setor público estaria isento da LGPD, no entanto a lei não faz essa distinção – pelo contrário, alguns dos dados pessoais mais significativos estão em posse do setor público, como dados do SUS, registro de documentos, dados custodiados por cartórios etc.

Será realmente o caso de que a migração de sistemas de ambiente físico para servidores em nuvem facilita o acesso de hackers?

Vários dos vazamentos mais recentes ocorreram em servidores em nuvem, ou seja, não é porque o datacenter está na nuvem que a segurança já está garantida. Muitas vezes o provedor da nuvem fornece a infraestrutura, mas não implementa as políticas de segurança, e os dados acabam ficando desprotegidos. Isso acontece até mesmo em casos de multinacionais, ou em negócios internacionais quando é necessário fazer uma transferência internacional de dados e a empresa não sabe nem mesmo onde está localizado o datacenter. Na verdade, a LGPD possui 170 itens de conformidade – obviamente não é o fato de colocar os dados em nuvem que garantirá “magicamente” que todos esses itens serão atendidos! Em geral, quanto mais longe do nosso controle, mais medidas de segurança e precaução se tornam necessárias.

Como o pequeno empresário, que tem as contas apertadas e nenhum orçamento para investir nesse momento, pode se adequar à LGPD?

Como a Lei já está em vigor, é necessário começar a pensar no básico – o que pode ser feito imediatamente, com o menor custo e com a maior agilidade. O primeiro passo poderia ser aumentar a conscientização da equipe da micro e pequena empresa sobre o que é a LGPD, qual o seu impacto e como cada um pode contribuir para garantir a segurança dos dados pessoais dos seus clientes, colegas e fornecedores. Isso pode ser feito buscando na internet material de divulgação, como vídeos, blogs, cursos etc. Outra ação que pode ser tomada sem nenhum grande investimento é um “do yourself” – o empresário deve tentar entender quais os dados que ele tem, como são usados, quais são realmente necessários – isso pode ser feito em uma planilha ou num processador de textos. Também pode criar uma política de privacidade e de tratamento de dados pessoais – há modelos prontos na internet, que podem ser adequados com pouco esforço pelas micro e pequenas empresas, que em geral não possuem um volume de dados pessoais tão expressivo. Mas vale ressaltar que, apesar da Lei já estar em vigor, a ANPD ainda precisa regulamentar como será a sua implantação em micro e pequenas empresas – fica, portanto, a dica: no caso do pequeno empresário,  comece com o básico, mas até que a ANPD se pronuncie, é recomendável muita cautela para fazer qualquer investimento mais significativo.

EnglishFrançaisDeutschItalianoPortuguêsEspañol
Rolar para cima
× Como posso ajudar? Available from 09:00 to 18:00 Available on SundayMondayTuesdayWednesdayThursdayFridaySaturday