A
Lei Geral de Proteção de Dados Pessoais – LGPD (Lei n. 13.709, de 2018) dispõe
sobre o tratamento de dados pessoais das pessoas naturais, definindo as
hipóteses em que tais dados podem legitimamente ser utilizados por terceiros e
estabelecendo mecanismos para proteger os titulares dos dados contra usos
inadequados.
A
lei é aplicável ao tratamento de dados realizado por pessoas naturais ou por
pessoas jurídicas de direito público ou privado, e tem o objetivo de proteger
os direitos fundamentais de liberdade e de privacidade e o livre
desenvolvimento da personalidade da pessoa natural.
Além de proteger os direitos fundamentais relacionados à
esfera informacional do cidadão, a Lei introduz uma série de novos direitos que
asseguram maior transparência quanto ao tratamento dos dados e conferem
protagonismo ao titular quanto ao seu uso.
A aprovação da LGPD e a criação da Autoridade Nacional
de Proteção de Dados - ANPD representam também importantes passos para colocar
o Brasil no mesmo patamar de muitos outros países que já aprovaram leis e
estruturas institucionais dessa natureza.
A constituição de
um ambiente jurídico voltado à proteção de dados pessoais corresponde também ao
alinhamento com diretrizes da Organização para a Cooperação e Desenvolvimento
Econômico – OCDE, que há décadas vem desempenhando um relevante papel na
promoção do respeito à privacidade como um valor fundamental e como um
pressuposto para o livre fluxo de dados.
Por fim, do ponto de vista dos agentes de tratamento de
dados, sejam empresas ou o próprio poder público, a LGPD traz a oportunidade de
aperfeiçoamento das políticas de governança de dados, com adoção de regras de
boas práticas e incorporação de medidas técnicas e administrativas que mitiguem
os riscos e aumentem a confiança dos titulares dos dados na organização.
Segundo a LGPD, tratamento de dados pessoais é toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
A
LGPD adota um conceito aberto de dado pessoal, definido como a informação
relacionada a uma pessoa natural identificada ou identificável. Assim, além das
informações básicas relativas ao nome, número de inscrição no Registro Geral
(RG) ou no Cadastro Nacional de Pessoas Físicas (CPF) e endereço residencial,
são também considerados dados pessoais outros dados que permitam a
identificação de um indivíduo, tais como a orientação sexual, a filiação
político-partidária, o histórico médico e também aqueles referentes aos
aspectos biométricos do indivíduo.
Segundo a LGPD,
poderão ser igualmente considerados como dados pessoais aqueles utilizados para
formação do perfil comportamental de determinada pessoa natural, se
identificada
Os dados pessoais sensíveis são aqueles aos quais a LGPD conferiu uma proteção ainda maior, por estarem diretamente relacionados aos aspectos mais íntimos da personalidade de um indivíduo. Portanto, são dados pessoais sensíveis aqueles relativos à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a um indivíduo.
A LGPD garante proteção a todos os dados cujos titulares são pessoas naturais, estejam eles em formato físico ou digital. Assim, a LGPD não alcança os dados titularizados por pessoas jurídicas – os quais não são considerados dados pessoais para os efeitos da Lei.
O tratamento de dados pessoais (não sensíveis) poderá ser realizado em qualquer uma das seguintes hipóteses, previstas no art. 7º da LGPD:
A LGPD prevê uma ampla gama de direitos dos titulares de dados, dentre os quais podem ser destacados os seguintes:
A ANPD - Autoridade Nacional de Proteção de Dados é um órgão da administração pública federal com autonomia técnica e decisória, vinculado à Presidência da República. Ela é responsável por fiscalizar e garantir o cumprimento da lei, bem como aplicar sanções administrativas em caso de descumprimento.
É a pessoa natural a quem se referem os dados pessoais que são objetos de coleta e tratamento.
A lei se aplica a qualquer operação que envolve a coleta e o tratamento de dados pessoais e que seja realizada em território brasileiro.
A LGPD é aplicável a qualquer operação de tratamento de dados pessoais que tenham sido coletados dentro do território brasileiro ou que tenha como objetivo oferecer bens ou serviços a pessoas localizadas no Brasil, independentemente destes dados pessoais terem sido coletados offline ou online, em meios físicos ou digitais.
Dados pessoais coletados offline são obtidos sem a utilização de
ferramentas informatizadas, como por exemplo, a lista de presença em eventos.
Os dados pessoais coletados online são os que utilizam
ferramentas informatizadas e/ou automatizados para serem obtidos, tais como os
cadastros de candidatos para vagas de emprego.
São três: o controlador, o operador e o encarregado.
O controlador é a pessoa natural ou jurídica de direito público ou privado a quem compete as decisões referentes ao tratamento de dados pessoais.
O operador é a pessoa natural ou jurídica de direito público ou privado que realiza o tratamento de dados pessoais em nome do controlador.
O encarregado é a pessoa indicada pelo controlador e/ou operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD.
São os casos em que o tratamento de dados pessoais for feito por uma pessoa física, para fins particulares, e não comerciais, por exemplo, coleta de dados pessoais dos integrantes da família para a montagem de uma árvore genealógica; para fins exclusivamente jornalísticos, artísticos e acadêmicos; ou pelo poder público - no caso de segurança pública, defesa nacional, segurança do Estado e atividades de investigação e repressão de infrações penais.
Dados pessoais coletados offline são obtidos sem a utilização de
ferramentas informatizadas, como por exemplo, a lista de presença em eventos.
Os dados pessoais coletados online são os que utilizam
ferramentas informatizadas e/ou automatizados para serem obtidos, tais como os
cadastros de candidatos para vagas de emprego.
Dado anônimo ou anonimizado é qualquer dado pessoal que, submetido a meios técnicos razoáveis, passe a não mais identificar ou a proporcionar a identificação de uma pessoa natural, direta ou indiretamente, de maneira definitiva e irreversível.
O tratamento de dados pessoais sensíveis somente poderá ocorrer com consentimento do titular ou seu responsável legal, de forma destacada e para finalidades específicas. Sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
Caso a empresa ofereça bens ou serviços para pessoas localizadas no Brasil e, portanto, coletar dados de usuários, a LGPD também se aplica e, portanto a empresa deve se adequar.
A LGPD traz alguns princípios que devem ser respeitados no tratamento de dados pessoais: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas.
É a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. O consentimento e sua finalidade devem estar claros e destacados.
Se a empresa precisa de um dado pessoal já coletado com o consentimento
do titular para outra finalidade de uso, é necessário informá-lo sobre este
novo intuito. Importante ressaltar que, além de informar, é preciso atualizar o
consentimento do titular.
O termo de consentimento, como consta no Art. 8, pode ser adquirido por
escrito ou por outro meio que demonstre a manifestação de vontade do titular.
Sim, a LGPD estabelece que o titular dos dados poderá, a qualquer
momento, revogar seu consentimento.
Não. O consentimento para dados sensíveis deve sempre explicitar a
finalidade de seu uso, de forma destacada. Se houver alteração na finalidade, é
preciso renovar o consentimento de forma expressa.
A LGPD estabelece, no artigo 14, que o tratamento de dados pessoais de
crianças e adolescentes deverá ser realizado em seu melhor interesse. Para
tratamento de dados de crianças até 12 anos de idade, é necessário
consentimento específico e em destaque, dado por, pelo menos, um dos pais ou
pelo responsável legal.
Os dados de crianças e
adolescentes poderão ser coletados sem o consentimento, quando for necessário
para sua proteção ou para contatar os pais ou o responsável legal, sendo
utilizados uma única vez e sem armazenamento. Sem consentimento, em nenhum
caso, poderão ser repassados a terceiros.
Se o tratamento de dados não acontecer como previsto na lei, os
controladores serão responsabilizados. Caso o operador não tenha cumprido
ordens passadas pelo controlador ou falhe na segurança dos dados, ele também
pode ser penalizado.
A penalidade imposta irá depender da avaliação da ANPD, mas pode ser uma
advertência, a determinação da publicação e divulgação da infração cometida, o
bloqueio ou eliminação dos dados que sofreram violações e também multas simples
e/ou diárias.
As multas são de até 2% do faturamento da empresa, limitados a R$
50.000.000,00 (cinquenta milhões de reais) por infração, além da possibilidade
de suspenção das atividades de coleta e tratamento, sem prejuízo da indenização
pelos danos que causarem aos titulares dos dados.
A General Data Protection Regulation (GDPR) é a lei
europeia vigente que trata da proteção de dados pessoais e que culminou na
criação da LGPD. As empresas e órgãos estatais brasileiros que mantenham
negócios com os países europeus terão a obrigatoriedade de garantir que suas
políticas de tratamento de dados estejam em conformidade com a GDPR, sob o
risco de penalidades, bem como perda de clientela, valor de marca e credibilidade
no mercado internacional.
DPO, ou Data Protection Officer, é o encarregado que irá
atuar como canal de comunicação entre o controlador, os titulares dos dados e a
ANPD.
Sim, os dados pessoais tratados pelo poder público também estarão
sujeitos à LGPD. Porém, o poder público pode tratar dados pessoais sem pedir o
consentimento do titular sempre que for necessário para a execução de políticas
públicas. O poder público também poderá tratar dados pessoais, fora do escopo
da lei, no caso de segurança pública, defesa nacional, segurança do Estado e
atividades de investigação e repressão de infrações penais, que serão tratados
de acordo com legislação específica, que contenha medidas proporcionais e
necessárias para que o tratamento de dados pessoais atenda ao interesse
público. Para a criação das normas específicas para esses casos, a Autoridade
Nacional de Proteção de Dados Pessoais - ANPD emitirá recomendações e opiniões
técnicas.
A Lei permite o uso compartilhado de dados pessoais entre entes do poder
público, desde que atenda a finalidades específicas de execução de políticas
públicas e a atribuição legal desses órgãos, respeitados os princípios do art.
6º. O inciso III do art. 7º assegura, como uma de suas dez bases legais para o
tratamento de dados, o tratamento e uso compartilhado pela Administração
Pública de dados necessários à execução de políticas públicas previstas em
leis, regulamentos ou ainda respaldadas em contratos, convênios ou instrumentos
congêneres, nos termos do Capítulo IV.
O artigo 26 prevê que o uso compartilhado de dados pessoais pelo poder
público deve atender a finalidades específicas de execução de políticas
públicas e atribuição legal pelos órgãos e pelas entidades públicas,
respeitados os princípios de proteção de dados pessoais elencados no art. 6º da
Lei.
Veta a transferência dos dados pessoais constantes de bases de dados a
que tenha acesso, exceto:
A transferência internacional de dados pessoais pode ser feita:
A LGPD determina que o controlador deverá comunicar tanto ao titular
quanto à ANPD a ocorrência de qualquer incidente de segurança que possa causar
risco ou dano ao titular.
O titular dos dados tem direito a solicitar revisão de decisões tomadas
unicamente com base em tratamento automatizado de dados pessoais que afetem
seus interesses, inclusive de decisões destinadas a definir o seu perfil
pessoal, profissional, de consumo e de crédito ou os aspectos de sua
personalidade. Além disso, o controlador deverá fornecer, sempre que
solicitadas, informações claras e adequadas a respeito dos critérios e dos
procedimentos utilizados para a decisão automatizada, observados os segredos
comercial e industrial.
A análise e as ações para entrar em conformidade com a LGPD devem passar
por pessoas, processos e tecnologia. Por conta de todas as variáveis
envolvidas, o uso da tecnologia faz muita diferença e é importante, pois,
dependendo do tamanho e nível de complexidade de uma organização, pode se
tornar extremamente difícil gerenciar todo o ambiente de acordo com os
requisitos da lei sem uma ferramenta de gestão que consiga agregar, registrar e
controlar todas as demandas.
Segundo o Art. 49 da Lei, os sistemas utilizados para o tratamento de
dados pessoais devem ser estruturados de forma a atender aos requisitos de
segurança, aos padrões de boas práticas e de governança e aos princípios gerais
previstos na Lei e às demais normas regulamentares.
De acordo com a lei, são considerados compartilhamento de dados toda
comunicação, difusão, transferência internacional, interconexão de dados
pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e
entidades públicas no cumprimento de suas competências legais, ou entre esses e
entes privados, reciprocamente, com autorização específica, para uma ou mais
modalidades de tratamento permitidas por esses entes públicos, ou entre entes
privados.
Segundo a LGPD, o compartilhamento de dados pessoais pode ocorrer em
caso de consentimento expresso e específico do titular dos dados e pela
administração pública, para o tratamento e uso compartilhado de dados
necessários à execução de políticas públicas previstas em leis e regulamentos
ou respaldadas em contratos, convênios ou instrumentos congêneres.
A LGPD determina que o compartilhamento de dados sensíveis com o
objetivo de obter vantagem econômica poderá ser vedado ou regulamentado pelas
autoridades, e no caso específico de dados de saúde determina a vedação, exceto
em casos de consentimento expresso ou para a adequada prestação de serviços de
saúde suplementar, de assistência farmacêutica e de assistência à saúde,
incluídos os serviços auxiliares de diagnose e terapia.
O uso de algoritmos não é vedado pela LGPD. No entanto, o artigo 20, que
aborda decisões tomadas exclusivamente por meio de automação, ou seja, sem
participação de seres humanos, determina que o titular dos dados pode, sempre
que desejar, requerer a revisão de decisão automatizada que afete seus
interesses.
Será necessária a revisão dos contratos e procedimentos, com a inclusão
de cláusulas específicas sobre proteção de dados com clientes e fornecedores em
que possa ocorrer o compartilhamento de dados pessoais de terceiros. Será
necessária também a adoção de procedimentos e ferramentas capazes de certificar
a segurança dos dados compartilhados.
Em caso de incidentes, o controlador, por meio do encarregado de dados,
deverá comunicar à autoridade nacional e ao(s) titular(es) dos dados
comprometidos, além de executar as medidas para reverter ou mitigar os efeitos
do incidente, conforme plano previamente estabelecido de resposta a incidentes
e remediação da empresa.
A LGPD não é específica a
nenhum setor e se aplica às práticas de armazenamento e processamento de dados
tanto em nuvem como local.
Confira nesta cartilha
quais são esses riscos.
Conheça nesta cartilha as
boas práticas para combater os riscos durante os seus processos de
trabalho.