A Lei Geral de Proteção de Dados (LGPD) foi sancionada em 2018 e, enquanto a Autoridade Nacional de Proteção de Dados (ANPD) não era implementada, a LGPD era aplicada pelo Poder Judiciário.
A novidade para você que atua ou deseja conhecer mais sobre o tema é que, em 2021, mais especificamente a partir do dia 1º agosto, as organizações que descumprirem a legislação vão estar sujeitas às penalidades administrativas.
Importância de um programa de Compliance em proteção de dados
De acordo com um estudo feito pela consultoria ICTS Protiviti em 2019, 84% das companhias brasileiras não estavam preparadas para as novas regras sobre privacidade e uso de dados.
Este relatório compilou dados do período que compreendeu de agosto a novembro de 2019 sobre 104 empresas — delas, 33% eram de grande porte, 27,5% de médio porte e 39,6% eram micros ou pequenas empresas.
Neste mesmo sentido, de acordo com a pesquisa realizada pela LEC e pela Vittore Partners publicada no Anuário Compliance ON TOP 2020, as empresas de consultoria e escritório de advocacia declararam que 80% das empresas ainda estavam no início do processo para implementação da LGPD.
Portanto, muitas empresas ainda estão se adaptando, o que reforça a necessidade de um programa de Compliance em proteção de dados para que este cenário da pesquisa mude e as companhias se adequem com mais naturalidade à legislação.
A LGPD tem o objetivo de regulamentar o uso de dados pessoais para fins econômicos, garantindo ao cidadão (titular de dados) o controle sobre suas próprias informações. Nesse sentido, você, enquanto profissional, precisa estar por dentro não só sobre o descritivo da lei, mas também sobre as atualizações sobre o assunto, que é o caso deste artigo em questão.
Quais são as penalidades da LGPD?
A ANPD já está ativa na missão de implementar e fiscalizar o cumprimento da LGPD. Entre as atribuições da Autoridade, constam a elaboração de políticas de preservação dos dados dos cidadãos e as penalidades para o descumprimento desta norma.
A ANDP é responsável por exigir a transparência no uso de dados de qualquer pessoa por parte das empresas. Caso não haja o cumprimento, existem as penalizações, que vamos exemplificar conforme descritas no Art. 52.:
- advertência — para que as empresas possam corrigir suas condutas dentro de um prazo estabelecido;
- multa — de no máximo 2% do faturamento mensal da companhia, limitando-se a R$ 50 milhões, no entanto, as sanções da Lei podem ir adiante;
- suspensão parcial do funcionamento do banco de dados por até seis meses, que pode ser prorrogado, tendo o objetivo da regularização;
- proibição parcial ou total das atividades relacionadas a tratamento de dados;
- entre outras penalidades.
Agentes de tratamento da LGPD: controlador, operador e encarregado
Com a vigência das penalidades da LGPD, alguns questionamentos sobre os conceitos dos agentes de tratamento têm surgido entre os gestores de empresas de ramos diversos.
Segundo as atribuições institucionais da ANPD decorrentes do art. 55-J, VI e VII da LGPD, foi desenvolvido o ‘Guia Orientativo para a Definição dos Agentes de Tratamento e do Encarregado’, que nos deu embasamento para compartilhar com você as definições legais de cada termo, bem como suas responsabilidades.
É importante ressaltar que, em maio de 2021, foi publicada a primeira versão do guia, que está sujeita a alterações e contribuições pela sociedade civil, portanto, indicamos que você acompanhe o blog da LEC para estar por dentro das novidades, assim como as publicações da ANDP.
Agora que você entende o contexto das penalidades da LGPD e da criação do guia por parte da ANDP, podemos falar sobre os agentes de tratamento.
Controlador, operador e encarregado contam com objetivos distintos, com base na LGPD. Tanto o controlador, quanto o operador são agentes de tratamento. Já o encarregado, é um profissional nomeado pelos dois primeiros agentes para atuar como canal de comunicação com os titulares de dados e ANPD. O Encarregado é, na verdade, o Gestor do Programa de Compliance em Proteção de Dados.
Controlador
Na definição legal (art. 5º, VI, da LGPD), o controlador é responsável por tomar as principais decisões em relação aos dados pessoais e até mesmo definir o(s) objetivo(s) do tratamento.
É essencial saber a importância do controlador, já que suas obrigações são relevantes para todo o processo de tratamento de dados, considerando que:
- a elaboração do relatório de impacto à proteção de dados pessoais (art. 387);
- a comprovação de que o consentimento obtido do titular atende às exigências legais (art. 8º, § 2º8);
- a comunicação à ANPD sobre a ocorrência de incidentes de segurança (art. 48);
são obrigações desse agente.
Além disso, não podemos deixar de citar que os direitos dos titulares dos dados (art. 18) são exercidos em face do controlador, ou seja, é este agente que deve atuar na correção ou eliminação de informações e em relação às outras solicitações de direito do titular.
Por mais que o nome indique que é este agente que controla tudo, não existe a necessidade de que ele seja o único decisor. Na verdade, ele precisa exercer a sua influência para manter o controle sobre as principais decisões que têm o objetivo de cumprir corretamente os processos do tratamento de dados.
Operador
De acordo com o art. 39 da LGPD, o operador é responsável por realizar o tratamento de dados em nome do controlador, seguindo o objetivo que foi traçado por ele. Ou seja, ele só poderá tratar as informações pessoais de acordo com os fins previamente estabelecidos pelo controlador.
A diferença principal entre esses dois agentes é que em relação ao poder de decisão, o operador só atua dentro dos limites que o controlador determinou.
Quem é o suboperador?
Citamos o termo “suboperador” acima e este conceito não é definido pela LGPD, mas é importante que você saiba, pois ele pode ser necessário em cadeias mais complexas de tratamento de dados.
O suboperador nada mais é do que um agente contratado pelo operador. Sua função é ajudar na realização do tratamento de informações pessoais. A diferença dele para o próprio operador, é que, apesar de também realizar o tratamento em nome do controlador, ele tem relação direta com o operador e não com o controlador.
No entanto, quando o assunto é responder de forma legal, para efeitos da LGPD, ambos podem desempenhar a função de operador mediante à ANPD.
Encarregado
Conforme o artigo 41 da LGPD, o controlador de dados deverá indicar um encarregado pelo tratamento de dados pessoais. O encarregado é o indivíduo responsável por garantir a conformidade de uma organização, pública ou privada, mediante à LGPD.
Segundo o § 2º do art. 41, as atribuições do encarregado são:
- acatar as reclamações e comunicações dos titulares e da ANDP;
- esclarecer e orientar os funcionários e os agentes contratados sobre as práticas a serem tomadas em relação à proteção de dados pessoais;
- executar as atividades determinadas pelo controlador ou as atribuições que foram definidas em normas complementares.
Boas práticas a serem seguidas
Toda organização precisa indicar um encarregado, porém, a LGPD não determinou em que circunstâncias isso deve ser feito. O que pode ser de grande ajuda neste caso é seguir as boas práticas internacionais, o que significa que o encarregado poderá ser funcionário da empresa ou mesmo um agente externo — lembrando que a LGPD também não define se esta pessoa deve ser física ou jurídica.
É importante que o encarregado seja indicado formalmente por meio de um contrato ou ato administrativo, e que tenha liberdade para cumprir com as suas atribuições.
Sobre a sua atuação prática, pode ser de grande ajuda que este encarregado seja apoiado por um time de proteção de dados e outras equipes que ofereçam os recursos necessários para que ele cumpra suas atribuições.
Desenvolva competências estratégicas para atuar com proteção de Dados
Agora você já sabe mais sobre o cenário em relação à proteção de dados. Além de ser um assunto atual e relevante, as empresas precisam estar em conformidade para evitar as penalidades da LGPD e você pode ser um profissional essencial neste contexto.
Como não existe uma graduação específica para o profissional que deseja trabalhar diretamente com programas de Compliance em Proteção de Dados, o mais indicado é que você busque reunir conhecimentos multidisciplinares, mas também muito estratégicos sobre o ramo.
Pensando nisso, a LEC criou o curso de Compliance em Proteção de Dados da LEC. Através deste curso, você poderá aprender não só como implementar, mas também como gerir um programa de Compliance de forma prática com um framework estruturado com base na LGPD, GDPR e nas melhores práticas internacionais, além de se capacitar para a Certificação CPC-PD.
Para continuar aprofundando seus conhecimentos, também indicamos a leitura: Desvendando a LGPD e seus impactos nas organizações.
Por Alessandra Gonsales, advogada especializada na implantação de programas de Compliance Anticorrupção, de Lavagem de dinheiro e de Proteção de Dados.
Imagem: Freepik
