O muda com a LGPD e como se adequar

O que é LGPD e como essa lei é aplicada no Brasil?

A Lei Geral de Proteção de Dados (13.709/2018) tem como foco proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Também tem como objetivo a criação de um cenário de segurança jurídica, com a padronização de regulamentos e práticas para promover a proteção de dados pessoais de todo cidadão que esteja no Brasil.

A lei define o que são dados pessoais e explica que alguns deles estão sujeitos a cuidados mais específicos, como os dados pessoais sensíveis e dados pessoais sobre crianças e adolescentes. Esclarece ainda que todos os dados tratados, tanto no meio físico quanto no digital, estão sujeitos á regulação. Além disso, a LGPD estabelece que não importa se a sede de uma organização ou o centro de dados dela estão localizados no Brasil ou no exterior se há o processamento de informações sobre pessoas, brasileiras ou não, que estão no território nacional, a LGPD dever ser observada. A lei autoriza também o compartilhamento de dados pessoais com organismos internacionais e com outros países, desde que observados os requisitos nela estabelecidos.

Consentimento do titular

Na LGPD, o consentimento do titular dos dados é considerado elemento essencial para o tratamento, regra excepcionada nos casos previstos no art. 11, ll, da LeiA lei traz várias formas de segurança ao cidadão, como: Possibilitar  a solicitação que os seus dados pessoais sejam excluídos; revogar o consentimento; transferência de dados para outro fornecedor de serviços, entre outras medidas. O tratamento dos dados deve ser feito levando em conta alguns requisitos, como finalidade e necessidade, a serem previamente acertado e informados ao titular.

Como será a fiscalização da LGPD?

Para fiscalizar e aplicar penalidades pelos descumprimentos da LGPD, o Brasil conta com a Autoridade Nacional de Proteção de Dados Pessoais, a ANPD. A instituição será responsável pro regular e orientar, preventivamente, sobre como aplicar a lei. No entanto, não basta apenas a ANPD (Lei nº 13.853/2019) e é por esse motivo que a Lei Geral de proteção de Dados Pessoais também prevê a existência dos agentes de tratamento de dados e estipula suas funções dentro das organizações, como:

  • O controlador, que toma as decisões sobre o tratamento;
  • O operador, que realiza o tratamento, em nome do controlador;
  • E o encarregado, que interage com os titulares dos dados pessoais e a autoridade nacional.

Com relação á administração de riscos e falhas, o responsável por gerir dados pessoais também deve:

  • Redigir normas de governança;
  • Adotar medidas preventivas de segurança; 
  • Replicar boas práticas e certificações existentes no mercado; 
  • Elaborar planos de contingência; 
  • Realizar auditorias;
  • Resolver incidentes com agilidade, com o aviso imediato sobre violações á ANPD e aos indivíduos afetados.

As falhas de segurança podem gerar multas de até 2% do faturamento anual da organização no Brasil – limitado a R$ 50 milhões por infração. A autoridade nacional fixará níveis de penalidade segundo a gravidade de falha e enviará  alertas e orientações antes de aplicar sanções ás organizações.

Classificação dos dados

A classificação de dados é definida em quatros grupos. Nesses grupos serão definidos como o dado é classificado de acordo com a lei.

Dados pessoais

A partir da Lei nº 13,709/2018 a proteção de dados passou a ser um compromisso de todos os cidadãos, da administração publica e das empresas privadas que utilizam esses dados.

O dado pessoal é aquele que identifica de forma direta ou indireta a pessoa natural.

Exemplos: 

  • Nome e sobrenome;
  • Data e local de nascimento;
  • RG e CPF;
  • Retrato em fotografia
  • Endereço residencial;
  • Endereço de e-mail;
  • Número de cartão bancário;
  • Renda;
  • Histórico de pagamento;
  • Hábitos de consumo;
  • Dados de localização, como por exemplo, a função de dados de localização no celular;
  • Endereço de IP (protocolo de internet);
  • Testemunhos de conexão (cookies);
  • Número de telefone.

Dados sensíveis

De todos os dados pessoais coletados, há aqueles que exigem maior atenção no tratamento: aqueles relacionados a crianças e adolescentes; e os “sensíveis”. que são os que revelam origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical, questões genéticas, biométricas  e sobre a saúde ou a vida sexual de uma pessoa.

Quando o dado corresponder a menores de idade, é imprescindível obter o consentimento específico e em destaque dado por pelo menos um dos pais ou responsável legal e se limitar a pedir apenas o conteúdo estritamente necessário, sem repasse a terceiros.

Sobre os dados sensíveis, o tratamento depende do consentimento explícito do(a) titular dos dados e para um fim definido. E, sem o consentimento do titular, a LGPD define que somente será possível, quando a informação for indispensável em situações relacionadas a uma obrigação legal.

Dados públicos

O tratamento de dados pessoais públicos deve considerar a finalidade, a boa-fé e o interesse público que justificam a sua disponibilização. A LGPD define que uma organização pode, sem precisar pedir novo consentimento, tratar dados tomados públicos pelo titular em momento anterior e de forma evidente. Porém, se a organização quiser compartilhar esses dados com outras organizações, necessariamente ela deverá pedir novo consentimento para esse fim resguardadas as hipóteses de dispensa previstas na Lei.

Dados anonimizados

A anonimizados que o dado somente é considerado anonimizados se não permitir que, por meios técnicos ou outros, seja reconstruído o caminho para revelar quem é o titular do dado. Se a identificação ocorrer, não se tratará de dado anonimizados, mas sim de dado pseudonimizados, e estará sujeito á LGPD.

 

Fonte: Planalto do Governo