A Lei Geral de Proteção de Dados Pessoais - LGPD foi promulgada em 14 de agosto de 2018, dispõe sobre o tratamento de dados pessoais por pessoa natural ou por pessoa jurídica de direito público ou privado e objetiva proteger os direitos fundamentais de liberdade, de privacidade, bem como, o livre desenvolvimento da personalidade da pessoa natural.
Entre os fundamentos da proteção de dados pessoais cabe indicar os direitos humanos, o livre desenvolvimento da personalidade, a dignidade, o exercício da cidadania pelas pessoas e a inviolabilidade da intimidade. Neste artigo pretende-se dispor sobre a Lei Geral de Proteção de Dados, no que diz respeito ao relatório de impacto à proteção de dados pessoais, às sanções e à fiscalização.
Antes de abordar o relatório de impacto à proteção de dados pessoais, cabe retomar algumas definições presentes no artigo 5º e incisos da Lei nº 13.709 de 2018 - LGPD. Em primeiro lugar, é importante entender o que é dado pessoal e o que é dado pessoal sensível. O dado pessoal consiste na informação relacionada a pessoa natural identificada ou identificável.
O dado pessoal sensível, por sua vez, é o dado pessoal de origem étnica, racial, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado relacionado com a saúde ou vida sexual, dado genético ou biométrico, quando vinculado a pessoa natural.
O conjunto estruturado dos dados pessoais é chamado de banco de dados. Toda a operação que for efetuada com os dados pessoais, como a coleta, a produção, a recepção, a classificação, o processamento, o arquivamento, a comunicação, entre outros, é chamada de tratamento de dados.
O titular nada mais é do que a pessoa natural a que se referem os dados que são objeto de tratamento. O operador é quem realiza o tratamento de dados pessoais. O controlador é a pessoa natural ou jurídica de direito público ou de direito privado, a quem competem as decisões referentes ao tratamento de dados pessoais. Os agentes de tratamento são o controlador e operador.
Conforme indicado no artigo 5º, Inciso XVII, da LGPD, o relatório de impacto à proteção de dados pessoais se refere à documentação do controlador, que abarca a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, assim como, medidas, salvaguardas e mecanismos de mitigação dos riscos.
De acordo com o artigo 38, parágrafo único, da LGPD, a autoridade nacional poderá determinar ao controlador que desenvolva um relatório de impacto à proteção de dados pessoais, que inclua os dados pessoais sensíveis, a respeito das operações de tratamento de dados pessoais, nos termos de regulamento, respeitando o segredo comercial e industrial.
O RIPD deve conter a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta, para a garantia da segurança das informações e análise do controlador, no que se refere às medidas, salvaguardas e mecanismos que diminuam a ocorrência de riscos.
Conforme indicado no Guia de Boas Práticas para Implementação na Administração Pública Federal - LGPD (2020), o RIPD deverá ser elaborado antes da instituição começar o tratamento de dados pessoais, preferencialmente, na fase inicial do programa ou do projeto. As etapas de elaboração consistem em:
Identificar os Agentes de Tratamento e o Encarregado: artigo 5º, Incisos VI, VII e VIII, da LGPD;
Identificar a necessidade de elaboração do Relatório;
Descrever o tratamento: natureza, escopo, contexto e finalidade do tratamento;
Identificar as partes interessadas consultadas;
Descrever como a instituição avalia a necessidade e a proporcionalidade dos dados pessoais;
Identificar e avaliar os riscos - classificação: baixo, moderado e alto;
Identificar medidas para tratar os riscos - exemplos: controle de acesso Lógico, desenvolvimento seguro e Segurança em Redes;
Aprovar o Relatório: formalizar a aprovação do relatório, por intermédio da obtenção de assinaturas do responsável pela elaboração do RIPD, pelo encarregado, pelas autoridades - controlador e operador;
Manter a Revisão: o RIPD deve ser revisto e atualizado anualmente ou sempre que ocorrer qualquer tipo de mudança que afete o tratamento de dados pessoais efetuados pela instituição.
O capítulo VIII da Lei nº 13.709 de 2018, do artigo 52 ao 54 dispõe sobre a fiscalização, englobando as sanções administrativas. De acordo com o artigo 52 e incisos, da LGPD, as sanções administrativas aplicáveis pela Autoridade Nacional aos agentes de tratamento de dados que cometerem infrações às normas da LGPD são:
LEIA TAMBÉM:
A advertência, com a indicação de prazo para adotar medidas corretivas;
A multa simples de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, a R$ 50.000.000,00 por infração;
A multa diária, observado o limite total indicado no artigo 52, II, da LGPD;
A publicização da infração após apurada e confirmada de forma devida a sua ocorrência;
A eliminação dos dados pessoais a que se refere a infração;
A suspensão parcial do funcionamento do banco de dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
A proibição total ou parcial do exercício de atividades relacionadas ao tratamento de dados.
Pode-se dizer que as sanções serão aplicadas posteriormente ao procedimento administrativo, que possibilite a ampla defesa, de maneira gradativa, isolada ou cumulativa, com base nas peculiaridades do caso concreto e considerando os parâmetros e critérios de boa-fé do infrator, a condição econômica do infrator, a proporcionalidade entre a gravidade da falta e a intensidade da sanção, entre outros.
Conforme indicado pela Advogada Patrícia Peck Pinheiro (2018) a imputação das sanções deve observar o princípio constitucional da proporcionalidade, com o intuito de prevenir e inibir possíveis abusos do poder estatal ao exercer suas funções. As regras se aplicam a qualquer tipo de empresa, por isso, deve ser considerada uma dosagem na aplicação das punições.
Ainda de acordo com Patrícia Peck Pinheiro (2018), o fiscalizador da nova regulamentação deve considerar critérios que possam agravar ou amenizar a aplicação da sanção, já que a possibilidade de ocorrência de violação de dados, por violação de segurança é alta, em virtude do contexto digital atual. Ainda que o controlador ou operador siga as práticas e a aplicação de controles pode ocorrer a infração e o vazamento de dados pessoais.
Diante do exposto, percebe-se a importância de elaboração do RIPD, uma vez que o instrumento citado possibilita avaliar os impactos em qualquer operação de tratamento de dados. Salienta-se que o RIPD não elimina os riscos, mas auxilia na mitigação dos potenciais riscos. Além disso, no que se refere à aplicação de sanções, observa-se que deve observar o princípio constitucional da proporcionalidade.
Observação:
O Projeto de Lei nº 1.179 de 2020 foi aprovado pelo Senado e resgatou o prazo original da LGPD. Assim, a LGPD está prevista para entrar em vigor em 14 de agosto de 2020, mas sanções ficarão para agosto do ano de 2021.
Referências:
Lei nº 13.709 de 2018.
Guia de Boas Práticas - LGPD. Governo Federal. Abril 2020. Disponível em:
https://www.gov.br/governodigital/pt-br/governanca-de-dados/guia-lgpd.pdf
GROSSMANN, Luís Osvaldo. Senado resgata data original e LGPD entra em vigor em agosto de 2020. Convergência Digital. 19 maio de 2020. Disponível em: https://www.convergenciadigital.com.br/cgi/cgilua.exe/sys/start.htm?UserActiveTemplate=site&infoid=53699&sid=9
PINHEIRO, Patrícia Peck. Proteção de dados pessoais: comentários à Lei nº 13.709 de 2018. São Paulo: Saraiva Educação, 2018.
Professora. Advogada. Mestra em Direito e Inovação - UFJF. Especialista em Direito Público. Graduada em Administração Pública.
