A LGPD (Lei Geral de Proteção de Dados, Lei n° 13.709/2018), criada em agosto de 2018, é a primeira legislação do Brasil que trata especificamente do uso de dados pessoais, se assemelhando bastante à GDPR européia. Esta lei garante definições importantes para assegurar privacidade de dados, estabelecendo uma nova estrutura para lidar e proteger os dados pessoais.
A LGPD entrou em vigor em Setembro de 2020.
Factíveis de serem aplicadas a partir de Agosto de 2021, estas multas previstas para descumprimento variam de R$ 50 milhões, por infração, até 2% de faturamento da empresa.
A LGPD se aplica para qualquer dado de cidadãos brasileiros, conforme cenários a seguir:
Desta forma, não importa onde os dados são fisicamente processados ou armazenados. O importante é o foco no cidadão brasileiro.
Dado pessoal é toda e qualquer informação que possa permitir identificar unicamente uma pessoa. No Brasil, por exemplo, poderíamos citar o CPF ou RG – são apenas exemplos visto que quaisquer dados que unicamente identificam uma pessoa serão considerados dados pessoais.
É qualquer dado de potencial discriminatório, tais como origem racial ou étnica, convicção religiosa, opinião política, filiação de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual e dado genético ou biométrico.
A LGPD indica o dado anonimizado como sendo aquele que, originariamente, era relativo a uma pessoa, mas que passou por etapas que garantiram a desvinculação, gerando impossibilidade de identificar unicamente aquela respectiva pessoa.
A LGPD indica o dado pseudoanonimizado como sendo aquele que, por reconstrução de caminho, permite novamente identificar a pessoa titular. Um exemplo poderia ser um dado codificado (remoção temporária de identificação do titular) mas que, após ser decodificado, poderia novamente gerar esta respectiva identificação.
É aquele dado que, por iniciativa própria ou obrigação legal, foi tornado publicamente disponível.
É a pessoa física a quem se referem os dados pessoais.
Tratamento indica as operações envolvidas na operação do dado, da coleta ao descarte. A LGPD estipula normas para ações de tratamento destes dados.
O controlador é definido, segundo a LGPD, como pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
Isto significa que o controlador é a empresa ou a pessoa que coordena e define como o dado pessoal será tratado, da coleta à eliminação. Exatamente por isso, é sobre quem recai a maior responsabilidade em relação à este tratamento.
Políticas devem considerar ações dentro do ciclo de vida do dado, tais como:
A LGPD define o operador como pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador, ou seja, é a pessoa ou a empresa que processa e trata os dados pessoais sob as ordens e políticas do controlador – políticas que devem, por sua vez, considerar as próprias premissas da lei.
Portanto, o operador deve realizar o tratamento de dados de acordo com as diretrizes do controlador que, por sua vez, está fundamentado nas diretrizes da lei.
De acordo com a LGPD, o encarregado é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
O encarregado é conhecido como DPO (Data Protection Officer), atuando com independência para orientar de maneira técnica e embasar as decisões corporativas para que estejam aderentes à legislação de proteção de dados pessoais além de atuar como canal de contato entre controlador, operador, titular e, eventualmente, ANPD.
A Autoridade Nacional de Proteção de Dados é um órgão da administração pública do Brasil, sendo o órgão responsável por fiscalizar o cumprimento da LGPD, aplicar multas e sanções e criar diretrizes e orientações sobre a lei.
São garantias que a lei fornece ao dono do dado. O objetivo é dar às pessoas mais controle sobre as suas próprias informações.
O titular de dados pode solicitar à empresa/organização o acesso a todos os dados pessoais que a empresa possui sobre ele.
O titular de dados tem o direito de solicitar a correção dos dados armazenados pela empresa por motivos que se fizerem necessários tais como incompletude ou desatualização.
O titular possui o direito de solicitar anonimização do dado.
Direito de portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial.
Direito de eliminação dos dados pessoais tratados com o consentimento do titular.
Direito de informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados.
Direito de revogação do próprio consentimento previamente concedido pelo titular.
A LGPD determina 10 hipóteses ou bases legais que devem justificar o tratamento de dados pessoais.
Consentimento é uma declaração expressa e inequívoca de que o titular concorda com o uso dos seus dados para as finalidades respectivas. Este consentimento precisa contemplar alguns requisitos, conforme abaixo:
É a mais flexível das bases legais. Porém, a sua aplicação não é simples. O legítimo interesse permite o uso dos dados sem a necessidade de obtenção de consentimento. Porém, para que uma empresa não infrinja esta base legal, as definições do legítimo interesse devem ser muito bem observadas e aplicadas.
O tratamento dos dados devem considerar outras leis e legislações vigentes. Podem ser citadas as leis trabalhistas, por exemplo.
Ela garante que o poder público poderá tratar e fazer uso compartilhado de dados pessoais se eles forem necessários para colocar em prática políticas públicas previstas em leis e regulamentos ou respaldadas em contratos e convênios.
Esta base prevê o tratamento do dado para realização de estudos por órgãos de pesquisa, como IBGE e IPEA (dentre outros). Estes dados devem ser tratados exclusivamente dentro do órgão de pesquisa e estritamente para a finalidade do estudo, que visa um maior ganho comum para a sociedade.
A LGPD também prevê que os dados pessoais podem ser utilizados para executar ou preparar contratos do qual o titular seja parte, a pedido do mesmo. Um exemplo seria um contrato de admissão profissional.
A LGPD prevê a hipótese de tratamento de dados para exercer direitos em processos judiciais, administrativos e arbitrais, ou seja, a proteção de dados não exclui o uso de dados dentro da legalidade para produzir provas e defesas em processos, garantindo o direito ao contraditório e à ampla defesa.
A LGPD prevê a hipótese de uso do dado para proteção da vida ou da integridade física do titular ou de terceiro. Como exemplo, podemos citar o acesso a documentos de uma pessoa caso ela sofra um acidente e necessite de apoio.
Profissionais da saúde, serviços de saúde ou autoridade sanitária têm o respaldo legal da LGPD para tratar dados pessoais que sejam necessários para a realização de suas atividades. Como exemplos, podemos citar acesso aos dados pessoais para notificar um paciente sobre um resultado de exame.
É possível que dados pessoais sejam consultados para avaliar o perfil de crédito do cidadão brasileiro a fins de aprovação de crédito e redução dos riscos de transações financeiras.
Os princípios são especificações a serem aplicadas pelas empresas no tratamento do dado pessoal.
Determina a não utilização de dados pessoais para finalidades genéricas ou indeterminadas. Ao contrário, o tratamento de dados pessoais deve ser feito para fins específicos e legítimos.
Dados pessoais realmente devem ser utilizados para os fins informados ao titular, ou seja, seguindo o princípio da finalidade.
Salvo a garantia dos segredos industriais/comerciais, deve ser transparente ao titular todos os aspectos que envolvem o uso de seus dados pessoais.
Os dados pessoais devem ser utilizados conforme necessidade ostensivamente específica e genuína.
Empresas devem garantir aos titulares os mecanismos para consulta gratuita sobre onde seus dados são utilizados e tratados.
Empresas devem garantir que os dados dos titulares sejam verdadeiros e atualizados.
As empresas devem adotar medidas técnicas e administrativas para proteger os dados pessoais de acessos não autorizados e eventos ilícitos. Isto inclui as melhores práticas de segurança da informação.
Medidas de prevenção da incorreta forma de tratar o dado pessoal, envolvendo pessoas e processos, devem ser aplicadas de forma a ampliar as medidas de segurança tecnológica aplicadas.
O tratamento de dados não pode ser realizado para fins discriminatórios, ilícitos ou abusivos.
Empresas devem estar aptas a prestar contas no sentido de demonstrar todas as medidas adotadas capazes de comprovar o cumprimento da LGPD.
Conheça nossa política de privacidade de dados pessoais clicando aqui.
Copyright © 2023. Todos os direitos reservados
CNPJ: 07.566.016/0001-05 – ILINK SOLUTIONS SERVICOS DE TECNOLOGIA DA INFORMACAO LTDA
