A Lei Geral de Proteção de Dados Pessoais - LGPD foi promulgada em 14 de agosto de 2018, dispõe sobre o tratamento de dados pessoais por pessoa natural ou por pessoa jurídica de direito público ou privado e objetiva proteger os direitos fundamentais de liberdade, de privacidade, bem como, o livre desenvolvimento da personalidade da pessoa natural.
Entre os fundamentos da proteção de dados pessoais cabe indicar os direitos humanos, o livre desenvolvimento da personalidade, a dignidade, o exercício da cidadania pelas pessoas e a inviolabilidade da intimidade. Neste artigo pretende-se dispor sobre a Lei Geral de Proteção de Dados, no que diz respeito ao relatório de impacto à proteção de dados pessoais, às sanções e à fiscalização.
Antes de abordar o relatório de impacto à proteção de dados pessoais, cabe retomar algumas definições presentes no artigo 5º e incisos da Lei nº 13.709 de 2018 - LGPD. Em primeiro lugar, é importante entender o que é dado pessoal e o que é dado pessoal sensível. O dado pessoal consiste na informação relacionada a pessoa natural identificada ou identificável.
O dado pessoal sensível, por sua vez, é o dado pessoal de origem étnica, racial, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado relacionado com a saúde ou vida sexual, dado genético ou biométrico, quando vinculado a pessoa natural.
O conjunto estruturado dos dados pessoais é chamado de banco de dados. Toda a operação que for efetuada com os dados pessoais, como a coleta, a produção, a recepção, a classificação, o processamento, o arquivamento, a comunicação, entre outros, é chamada de tratamento de dados.
O titular nada mais é do que a pessoa natural a que se referem os dados que são objeto de tratamento. O operador é quem realiza o tratamento de dados pessoais. O controlador é a pessoa natural ou jurídica de direito público ou de direito privado, a quem competem as decisões referentes ao tratamento de dados pessoais. Os agentes de tratamento são o controlador e operador.
Conforme indicado no artigo 5º, Inciso XVII, da LGPD, o relatório de impacto à proteção de dados pessoais se refere à documentação do controlador, que abarca a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, assim como, medidas, salvaguardas e mecanismos de mitigação dos riscos.
De acordo com o artigo 38, parágrafo único, da LGPD, a autoridade nacional poderá determinar ao controlador que desenvolva um relatório de impacto à proteção de dados pessoais, que inclua os dados pessoais sensíveis, a respeito das operações de tratamento de dados pessoais, nos termos de regulamento, respeitando o segredo comercial e industrial.
O RIPD deve conter a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta, para a garantia da segurança das informações e análise do controlador, no que se refere às medidas, salvaguardas e mecanismos que diminuam a ocorrência de riscos.
Conforme indicado no Guia de Boas Práticas para Implementação na Administração Pública Federal - LGPD (2020), o RIPD deverá ser elaborado antes da instituição começar o tratamento de dados pessoais, preferencialmente, na fase inicial do programa ou do projeto. As etapas de elaboração consistem em:
Identificar os Agentes de Tratamento e o Encarregado: artigo 5º, Incisos VI, VII e VIII, da LGPD;
Identificar a necessidade de elaboração do Relatório;
Descrever o tratamento: natureza, escopo, contexto e finalidade do tratamento;
Identificar as partes interessadas consultadas;
Descrever como a instituição avalia a necessidade e a proporcionalidade dos dados pessoais;
Identificar e avaliar os riscos - classificação: baixo, moderado e alto;
Identificar medidas para tratar os riscos - exemplos: controle de acesso Lógico, desenvolvimento seguro e Segurança em Redes;
Aprovar o Relatório: formalizar a aprovação do relatório, por intermédio da obtenção de assinaturas do responsável pela elaboração do RIPD, pelo encarregado, pelas autoridades - controlador e operador;
Manter a Revisão: o RIPD deve ser revisto e atualizado anualmente ou sempre que ocorrer qualquer tipo de mudança que afete o tratamento de dados pessoais efetuados pela instituição.
O capítulo VIII da Lei nº 13.709 de 2018, do artigo 52 ao 54 dispõe sobre a fiscalização, englobando as sanções administrativas. De acordo com o artigo 52 e incisos, da LGPD, as sanções administrativas aplicáveis pela Autoridade Nacional aos agentes de tratamento de dados que cometerem infrações às normas da LGPD são:
A advertência, com a indicação de prazo para adotar medidas corretivas;
A multa simples de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, a R$ 50.000.000,00 por infração;
A multa diária, observado o limite total indicado no artigo 52, II, da LGPD;
A publicização da infração após apurada e confirmada de forma devida a sua ocorrência;
A eliminação dos dados pessoais a que se refere a infração;
A suspensão parcial do funcionamento do banco de dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
A proibição total ou parcial do exercício de atividades relacionadas ao tratamento de dados.
Pode-se dizer que as sanções serão aplicadas posteriormente ao procedimento administrativo, que possibilite a ampla defesa, de maneira gradativa, isolada ou cumulativa, com base nas peculiaridades do caso concreto e considerando os parâmetros e critérios de boa-fé do infrator, a condição econômica do infrator, a proporcionalidade entre a gravidade da falta e a intensidade da sanção, entre outros.
Conforme indicado pela Advogada Patrícia Peck Pinheiro (2018) a imputação das sanções deve observar o princípio constitucional da proporcionalidade, com o intuito de prevenir e inibir possíveis abusos do poder estatal ao exercer suas funções. As regras se aplicam a qualquer tipo de empresa, por isso, deve ser considerada uma dosagem na aplicação das punições.
Ainda de acordo com Patrícia Peck Pinheiro (2018), o fiscalizador da nova regulamentação deve considerar critérios que possam agravar ou amenizar a aplicação da sanção, já que a possibilidade de ocorrência de violação de dados, por violação de segurança é alta, em virtude do contexto digital atual. Ainda que o controlador ou operador siga as práticas e a aplicação de controles pode ocorrer a infração e o vazamento de dados pessoais.
Diante do exposto, percebe-se a importância de elaboração do RIPD, uma vez que o instrumento citado possibilita avaliar os impactos em qualquer operação de tratamento de dados. Salienta-se que o RIPD não elimina os riscos, mas auxilia na mitigação dos potenciais riscos. Além disso, no que se refere à aplicação de sanções, observa-se que deve observar o princípio constitucional da proporcionalidade.
O Projeto de Lei nº 1.179 de 2020 foi aprovado pelo Senado e resgatou o prazo original da LGPD. Assim, a LGPD está prevista para entrar em vigor em 14 de agosto de 2020, mas sanções ficarão para agosto do ano de 2021.
Lei nº 13.709 de 2018.
Guia de Boas Práticas - LGPD. Governo Federal. Abril 2020.
GROSSMANN, Luís Osvaldo. Senado resgata data original e LGPD entra em vigor em agosto de 2020. Convergência Digital. 19 maio de 2020.
PINHEIRO, Patrícia Peck. Proteção de dados pessoais: comentários à Lei nº 13.709 de 2018. São Paulo: Saraiva Educação, 2018.
Notícias
Professora. Advogada. Mestra em Direito e Inovação - UFJF. Especialista em Direito Público. Graduada em Administração Pública.
