Inspirada em regulações europeias sobre esse mesmo assunto, essa lei deve mudar a forma como são tratados os dados pessoais de consumidores pelas empresas, sendo que o seu descumprimento poderá impor sérias sanções aos infratores, desde uma advertência até a aplicação de multas de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.
A LGPD prevê que o tratamento de dados pessoais - assim consideradas as informações relacionadas a pessoa natural identificada ou identificável - somente poderá ser realizado mediante o fornecimento de consentimento pelo titular, para o cumprimento de obrigação legal ou quando necessário para a execução de contrato do qual seja parte o titular, além de outras hipóteses restritas previstas na lei.
Vale ressaltar que não são apenas protegidos os dados como nome, CPF, e-mail ou telefone, já que a proteção é estendida a dados que tornem a pessoa identificável.
Para fins da LGPD, por tratamento entende-se toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Portanto, as empresas que mantêm um banco de dados de clientes para envio de simples ofertas estão sujeitas às regras da nova lei.
O consentimento do titular dos dados poderá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular, cabendo ao controlador da informação o ônus de provar que recebeu tal consentimento. No caso de dados de crianças, devem ser tratados mediante consentimento específico e em destaque, dado por pelo menos um dos pais ou responsável legal.
Em caso de consentimento por escrito, a autorização deverá conter cláusula de consentimento que, além de ser redigida de forma destacada das demais cláusulas contratuais, deverá referir-se a finalidades determinadas, sendo consideradas nulas as autorizações genéricas.
Caberá às empresas, ainda, facilitar a revogação da autorização pelo titular do dado e o acesso às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca da:
I - finalidade específica do tratamento;
II - forma e duração do tratamento, observados os segredos comercial e industrial;
III - identificação do controlador;
IV - informações de contato do controlador;
V - informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
VI - responsabilidades dos agentes que realizarão o tratamento; e
VII - direitos do titular, com menção explícita aos direitos contidos no art. 18 da referida lei, dentre os quais configuram a confirmação da existência de tratamento; acesso aos dados; correção de dados incompletos, inexatos ou desatualizados; dentre outros.
Ao controlador dos dados, assim denominada a pessoa física ou jurídica a quem competem as decisões referentes ao tratamento de dados pessoais, compete também indicar um encarregado, que atuará como canal de comunicação entre o controlador e os titulares, cujas atividades consistirão em: I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; II - receber comunicações da autoridade nacional e adotar providências; III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Adapte sua empresa e não deixe para ultima hora, agende sua consulta
em jlvieiraadvogados.com ⚖️. Assine nosso newsletter e continue atualizado.