Meu Painel

Fiscalização LGPD: O que é e como é feita? Entenda

  • Home
  • Blog
  • Fiscalização LGPD: O que é e como é feita? Entenda

Fiscalização LGPD: O que é e como é feita? Entenda

A Lei Geral de Proteção de Dados (LGPD) revolucionou a forma como dados pessoais são geridos e protegidos no Brasil, colocando a fiscalização como um elemento central para garantir que empresas e organizações cumpram com todas as obrigações legais. 

Este mecanismo assegura que os direitos dos titulares sejam preservados, impondo penalidades para aqueles que descumprirem as normas.

Além de proteger os direitos dos consumidores, a fiscalização da LGPD é essencial para preservar a confiança entre empresas e seus clientes. 

Ao entender como este processo é conduzido e quais são as entidades responsáveis, tanto gestores quanto consumidores podem assegurar um ambiente mais seguro para o uso e troca de informações pessoais.

O que é a LGPD?

A LGPD ou Lei Geral de Proteção de Dados, é o nome dado à Lei 13.709/2018, aprovada em 14 de Agosto de 2018 e que tem como objetivo dispor sobre a proteção de dados pessoais, bem como regular aspectos dos direitos fundamentais à privacidade e à intimidade descritos no art. 5º da Constituição Federal, em seus incisos X e XI.

A LGPD surgiu em nosso país por iniciativa do Congresso Nacional como evolução e regulamentação da Lei 12.965, de 2014, também conhecida como Marco Civil da Internet, que veio regular o uso e aplicação da internet no Brasil.

Apesar de ter recebido o nome de Lei Geral de Proteção de Dados, a LGPD não se preocupa com todo o qualquer dado, que assim pode ser tido como qualquer informação ou pedaço de informação. 

A LGPD, tem como objeto de regulação o dado pessoal, ou seja, aquela informação que pode identificar ou tornar identificável uma pessoa física.

Essa legislação específica veio regulamentar a utilização de dado pessoal, expressão esta conceituada no artigo 5º, inciso I, da Lei, que descreve dado pessoal como sendo “informação relacionada a pessoa natural identificada ou identificável”.

Além deste conceito, a Lei Geral de Proteção de Dados preocupou-se em conceituar um tipo específico de dado pessoal, a quem escolheu empregar maior nível de proteção em razão de sua natureza, o dado pessoal sensível, que foi assim descrito art. 5º, inciso II: 

“dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.”

Entender a conceituação do objeto de proteção da Lei Geral de Proteção de dados, ou seja, quais dados são protegidos pela LGPD, é essencial para entender o seu objetivo, que, ao contrário do que muitos especularam, não é o de burocratizar a forma como empresas e órgãos públicos tratam dados, mas sim, regular a coleta, utilização, processamento e descarte dos dados das pessoas, que na Lei são nominadas como titulares de dados pessoais.

Se você tem alguma dúvida sobre a LGPD, nossa equipe de especialistas está pronta para esclarecê-las. Não deixe de nos contatar.

Como é feita a fiscalização da LGPD?

Quando da promulgação da Lei Geral de Proteção de Dados, em seu texto, o legislador preocupou-se em criar dentro da sistemática de proteção de dados uma instituição, uma autarquia a quem caberia fiscalizar o cumprimento da norma que estava nascendo, a Autoridade Nacional de Proteção de Dados.

Em continuidade à técnica legislativa de conceituar os principais termos utilizados na Lei, o artigo 5º, inciso XIX descreveu a Autoridade Nacional de Proteção de Dados, ou ANPD, como o órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional. 

À Autoridade Nacional foram conferidos papeis e responsabilidades que vão desde o acompanhamento da implementação da cultura de proteção de dados pessoais no Brasil até a fiscalização das empresas e órgãos públicos a respeito do cumprimento da LGPD. 

Dentro desta perspectiva, a ANPD, pode editar normas técnicas sobre o tratamento de dados pessoais no Brasil, pode solicitar documentos e evidências, pode participar dos atendimentos aos titulares de dados, bem como deve receber e acompanhar a ocorrência de incidentes com dados pessoais.

Se você tem dúvidas sobre como a ANPD pode fiscalizar a sua empresa, fale conosco.

Quem pode fiscalizar o cumprimento das normas previstas na LGPD?

Em razão da ainda pouca estrutura da recém-criada Autoridade Nacional de Proteção de Dados e, visando aumentar o alcance da atividade fiscalizadora e fomento da cultura de proteção de dados pessoais no Brasil, a LGPD previu que a ANPD pode firmar convênios e estabelecer parcerias com outros órgãos reguladores ou fiscalizadores com a finalidade de fiscalizar o cumprimento da Lei Geral de Proteção de Dados.

Em razão do fato de estar muito relacionada com o direito dos consumidores, bem como com outros direitos difusos previstos na Constituição Federal, temos em uma primeira perspectiva que o primeiro grande parceiro da Autoridade Nacional no acompanhamento da aplicação da LGPD é o Ministério Público.

Além disso, dentro da esfera de proteção relacionada aos direitos difusos, podemos encontrar outros órgãos como sindicatos, associações e os Procons. 

Aliás, tratando deste último, importante mencionar que em Março de 2021, o Presidente da ANPD firmou Convênio com a Secretaria Nacional do Consumidor (SENACON/MJSP) prevendo a cooperação desta Secretaria e dos demais órgãos a ela vinculados para a fiscalização e fomento da proteção dos dados pessoais dos consumidores.

Outrossim, dentro da própria instituição Autoridade Nacional de Proteção de Dados, existe um conselho nacional de proteção de dados pessoais e da privacidade, denominado Conselho Nacional de Proteção de Dados Pessoais.

Esse Conselho é composto por representantes de várias instituições, como Poder Executivo Federal, Senado Federal, Câmara dos Deputados, Ministério Público, Comitê Gestor da Internet no Brasil, entidades da sociedade civil, da comunidade científica, de entidades sindicais e de entidades empresariais.,

O Procon da sua cidade já fez algum tipo de ação relacionada à Lei Geral de Proteção de Dados? 

 

Essas ações são bens comuns e podem gerar autuações se a sua empresa não estiver adequada à LGPD.

O que a ANPD fiscaliza?

A Autoridade Nacional de Proteção de Dados Pessoais (ANPD) fiscaliza o cumprimento da Lei Geral de Proteção de Dados Pessoais (LGPD). Neste sentido, fiscaliza a forma como empresas, órgãos públicos e terceiro setor realizam o tratamento de dados pessoais no Brasil.

Em seu artigo 55-J, a LGPD designa inúmeras atribuições à Autoridade Nacional de Proteção de Dados Pessoais, a saber:

Art. 55-J. Compete à ANPD

I – zelar pela proteção dos dados pessoais, nos termos da legislação;

II – zelar pela observância dos segredos comercial e industrial, observada a proteção de dados pessoais e do sigilo das informações quando protegido por lei ou quando a quebra do sigilo violar os fundamentos do art. 2º desta Lei;

III – elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade; 

IV – fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;

V – apreciar petições de titular contra controlador após comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação;

VI – promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança;

VII – promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;

VIII – estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis;

IX – promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;

X – dispor sobre as formas de publicidade das operações de tratamento de dados pessoais, respeitados os segredos comercial e industrial;

XI – solicitar, a qualquer momento, às entidades do poder público que realizem operações de tratamento de dados pessoais informe específico sobre o âmbito, a natureza dos dados e os demais detalhes do tratamento realizado, com a possibilidade de emitir parecer técnico complementar para garantir o cumprimento desta Lei;  

XII – elaborar relatórios de gestão anuais acerca de suas atividades;

XIII – editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos nesta Lei;

XIV – ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e planejamento;

XV – arrecadar e aplicar suas receitas e publicar, no relatório de gestão a que se refere o inciso XII do caput deste artigo, o detalhamento de suas receitas e despesas; 

XVI – realizar auditorias, ou determinar sua realização, no âmbito da atividade de fiscalização de que trata o inciso IV e com a devida observância do disposto no inciso II do caput deste artigo, sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento, incluído o poder público; 

XVII – celebrar, a qualquer momento, compromisso com agentes de tratamento para eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito de processos administrativos, de acordo com o previsto no Decreto-Lei nº 4.657, de 4 de setembro de 1942;

XVIII – editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclararem startups ou empresas de inovação, possam adequar-se a esta Lei; 

XIX – garantir que o tratamento de dados de idosos seja efetuado de maneira simples, clara, acessível e adequada ao seu entendimento, nos termos desta Lei e da Lei nº 10.741, de 1º de outubro de 2003 (Estatuto do Idoso);

XX – deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação desta Lei, as suas competências e os casos omissos;

XXI – comunicar às autoridades competentes as infrações penais das quais tiver conhecimento;

XXII – comunicar aos órgãos de controle interno o descumprimento do disposto nesta Lei por órgãos e entidades da administração pública federal; 

XXIII – articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação; e 

XXIV – implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei.

Portanto, além de fiscalizar o cumprimento da Lei Geral de Proteção de Dados pela empresas, órgãos públicos e terceiro setor no Brasil, a Autoridade Nacional de Proteção de Dados possui diversas outras atribuições relacionadas ao tratamento de dados pessoais.

Quais os compromissos dos agentes regulados?

Para estarem em conformidade com a LGPD, os agentes regulados, ou seja, os agentes de tratamento precisam observar os Princípios previstos na legislação, os direitos dos titulares, bem como a implementação de boas práticas em seus processos.

Os princípios previstos no artigo 6º da LGPD são a essência de uma boa implementação. Ao observarem os princípios, que a lei também se preocupou em conceituar, os agentes de tratamento estão atendendo ao espírito da lei. 

A recomendação é de que estes princípios sejam incorporados às rotinas administrativas do agente regulado, com a promoção de uma verdadeira mudança cultural nas equipes.

São 10 os princípios mencionados e conceituados na LGPD: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção e não discriminação.

Nestes princípios estão alicerçados também os direitos dos titulares de dados, que, inspirados nos direitos fundamentais de liberdade, proteção à privacidade, à intimidade, foram descritos no artigo 18 da LGPD.

A Lei Geral de Proteção de Dados, garante aos titulares de dados os direitos de: 

  1. confirmação da existência de tratamento; 
  2. de acesso aos dados; 
  3. de correção de dados incompletos, inexatos ou desatualizados; 
  4. de anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei; 
  5. de portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial; 
  6. de eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da Lei; 
  7. de informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; 
  8. de informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; 
  9. de revogação do consentimento; 
  10. de peticionar em relação aos seus dados contra o controlador perante a autoridade nacional; e, por fim, 
  11. De opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei.

Para que tudo isso possa estar em conformidade com a Lei, o recomendado é que os agentes de tratamento implementem medidas técnico-administrativas de segurança da informação em bancos de dados físicos e digitais, bem como de boas-práticas, assim tidas como políticas internas, regras de conduta, formalização de processos e construção de documentos que evidenciem e mensurar riscos e medidas de mitigação dos impactos destes riscos.

A sua empresa está preparada para atender aos titulares de dados? Você possui em seu site um canal de comunicação à disposição para que o titular de dados possa exercer os seus direitos? Se não, faça imediatamente! Nós podemos te ajudar.

O que é proibido pela LGPD?

É proibido pela LGPD utilizar para fins econômicos dados pessoais sem observar aos princípios previstos na legislação, não respeitar os direitos dos titulares de dados, bem como não implementar medidas de segurança para que estes dados pessoais estejam protegidos.

Neste sentido, os agentes de tratamento não podem:

  1. Coletar ou utilizar dados sem uma finalidade específica e condizente com suas atividades fins;
  2. Manter armazenados dados que não são utilizados ou que não guardam relação com a finalidade do tratamento do dado pessoal;
  3. Manter bancos de dados desatualizados, não devem impedir o titular de dados de saber se a empresa armazena seus dados pessoais;
  4. Deixar de informar o titular de dados sobre a forma como o utiliza, não devem ser descuidados com a segurança empregada nos ambientes onde os dados são armazenados (ambientes digitais e físicos).

Precisa de ajuda para iniciar a regularização da sua empresa? Aqui você tem um time de especialistas à sua disposição!

O que é considerada violação de dados pessoais?

A violação de dados pessoais é também chama de Incidente com Dados Pessoais. 

Uma situação de incidente é uma situação onde ocorrem problemas com a disponibilidade, com a integridade ou com a confidencialidade de um dado pessoal.

Incidentes com dados pessoais podem ser causados por diversos fatores, mas os mais comuns são o erro humano, a falha de um sistema ou uma ação maliciosa.

Dentre os incidentes ocorridos por erros humanos, podemos citar o envio incorreto de e-mails, a perda de celulares ou computadores, a exclusão acidental de arquivos, a destruição acidental de documentos, etc. 

Já as ações maliciosas estão relacionadas geralmente a ação de hackers que se aproveitam de vulnerabilidades na segurança cibernética ou mesmo da engenharia social para inserirem malwares em máquinas ou dispositivos, atacando bancos de dados e arquivos.

Não podemos nos esquecer que a Lei Geral de Proteção de Dados não se preocupa apenas com o mundo digital, mas também com aqueles dados que estão acondicionados em ambientes físicos. 

Neste sentido, também haverá uma violação de dados pessoais quando estivermos diante de problemas relacionados a arquivos em papel. 

Medidas de segurança também devem ser implementadas pelos agentes de tratamento com relação às suas salas de arquivo, armários, gavetas e com os documentos que são expostos em cima de mesas.

Se você precisa de ajuda para iniciar a implementação de medidas para evitar incidentes com dados pessoais, a Equipe Kohl Advogados é a melhor opção do mercado para te ajudar nessa missão. 

Quais são as penalidades da LGPD?

A Lei Geral de Proteção de dados determina que as infrações à Lei podem ser punidas com: 

I – Advertência, com indicação de prazo para adoção de medidas corretivas;

II – multa simples

III – multa diária, 

IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;

V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

VI – eliminação dos dados pessoais a que se refere a infração;

Essas penalidades administrativas não excluem, contudo, eventuais penalidades advindas de condenações judiciais relativas a danos patrimoniais ou extrapatrimoniais experimentados pelos titulares de dados que comprovadamente sofreram danos em razão de um incidente com seus dados pessoais.

Seja na esfera administrativa, seja na esfera judicial, uma boa defesa pode evitar multas pesadas ou o prejuízo da imagem da sua empresa. 

 

Nosso time está preparado para atuar em processos envolvendo incidentes com dados pessoais. Consulte-nos.

Qual o valor da multa por vazamento de dados? 

A Lei Geral de Proteção de Dados prevê multas bastante pesadas para aqueles agentes de tratamento que descumprirem a Lei. 

A multa prevista no artigo 52 pode ser fixada em patamar de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil, considerando os resultados de seu último exercício.

Qual o valor máximo da multa LGPD?

Apesar de mencionar uma limitação ao valor de R$ 50.000.000,00 (cinquenta milhões de reais), a LGPD também determina que este limite se limita a cada infração, ou seja, se identificadas diversas infrações por uma empresa de grande faturamento, é possível que a multa sofrida seja ainda maior que este valor.

Não corra o risco de ir à falência com multas e indenizações relacionadas a proteção de dados pessoais. A adequação à LGPD não é uma opção, ser penalizado é uma escolha sua. Trilhe o caminho da adequação com a Equipe Kohl Advogados.

Como denunciar violações à LGPD?

A Lei Geral de Proteção de Dados prevê como um dos direitos do titular de dados pessoais o direito ao peticionamento em relação aos seus dados contra o controlador perante a autoridade nacional de proteção de dados.

Para tanto, no próprio site da Autoridade Nacional de Proteção de Dados, o titular de dados pode formular uma denúncia contra o agente de tratamento de dados que tenha dado causa a um incidente com os seus dados pessoais ou que tenha violado alguma das obrigações veiculadas na lei.

Para abrir o requerimento de denúncia, o titular de dados não precisa de um advogado, podendo acompanhar seu requerimento pelo próprio site da Autoridade Nacional de Proteção de Dados.

Além disso, o titular de dados pode buscar as vias judiciais para ver atendidos direitos ou reparados danos causados por organizações que violarem a Lei Geral de Proteção de Dados. 

Alguns Tribunais de Justiça, inclusive, já possuem classificações de ações específicas para tratar de assuntos relacionados a danos relacionados ao mau tratamento de dados pessoais.

Facebook
Twitter
LinkedIn

Latest Post

Abrir bate-papo
Olá 👋
Podemos ajudá-lo?