Lei Geral de Proteção de Dados
LGPD é a sigla para Lei Geral de Proteção de Dados do Brasil. Em linhas gerais, trata-se de uma legislação que determina até que ponto os dados sobre os cidadãos brasileiros podem ser coletados e tratados, prevendo, assim, punições para transgressões quanto a essas regras.
Após oito anos de debates e redações, em 14 de agosto de 2018, o então presidente Michel Temer sancionou a LGPD, Lei 13.709/2018 que chega a alterar a Lei 12.965/2014, popularmente chamada de Marco Civil da Internet que regula o uso da internet no país. A lei estabelece regras claras sobre os processos de coleta, armazenamento e compartilhamento de dados pessoais.
Do que se trata
A proposta foi inspirada na regulamentação europeia (GDPR - General Data Protection Regulation) e traz 10 bases legais para legitimação do tratamento de dados pessoais. A Lei estabelece que “dado pessoal” é toda informação relacionada a pessoa natural identificada ou identificável e entende por “tratamento de dados” toda operação realizada com dados pessoais, como as que se referem à coleta, classificação, utilização, acesso, reprodução, processamento, armazenamento, eliminação, controle da informação, entre outros.
Motivação
A lei foi sancionada em agosto de 2018 e entrará em vigor em fevereiro de 2020 e a principal meta é garantir a privacidade de dados pessoais e permitir um maior controle sobre eles. A lei determina que o tratamento desses dados deve considerar os princípios de privacidade descritos:
- I - finalidade
- II - adequação
- III - necessidade
- IV - livre acesso
- V - qualidade dos dados
- VI - transparência
- VII - segurança
- VIII - prevenção
- IX - não discriminação
- X - responsabilização e prestação de contas
Ao segui-los, as organizações demonstrarão que os dados pessoais coletados são necessários, mínimos, corretos, de qualidade, atendem uma finalidade de negócio válida dentre outras características.
Quem é envolvido?
A lei detalha os papéis de quatro diferentes agentes:
- O titular: é a pessoa física a quem se referem os dados pessoais.
- O controlador: é a empresa ou pessoa física responsável por como os dados são coletados, para que estão sendo utilizados e por quanto tempo serão armazenados.
- O operador: é a empresa ou pessoa física que realiza o tratamento e processamento de dados pessoais sob as ordens do controlador.
- O encarregado: é a pessoa física indicada pelo controlador e que atua como canal de comunicação entre as partes (controlador, os titulares e a autoridade nacional).
É importante notar que a LGPD estende-se também aos subcontratantes de uma empresa e que possui aplicação extraterritorial. Contudo, a lei exclui a abrangência para aqueles que tratam dados para fins meramente particulares e não econômicos, como fins jornalísticos, artísticos, acadêmicos e todo aquele realizado para fins exclusivamente de segurança pública, defesa nacional e segurança do Estado.
Mecanismos
A lei prevê advertência, multa ou até mesmo a proibição total ou parcial de atividades relacionadas ao tratamento de dados. As multas podem variar de 2% do faturamento do ano anterior até a R$ 50 milhões, passando por penalidades diárias. Além disso, a lei exige a publicização da infração e do infrator, além do bloqueio e até a eliminação de dados, o que pode ter um grande impacto negativo na imagem do infrator.
Criada a partir da MP 869/18, a Autoridade Nacional de Proteção de Dados (ANPD) será o órgão responsável pela fiscalização da proteção de dados por parte das pessoas jurídicas. A ANPD poderá solicitar a qualquer tempo relatórios de riscos de privacidade para certificar-se de que as organizações estão tratando o tema internamente e dentro do estabelecido pela LGPD.
Casos especiais
Uma categoria especial foi criada para dados pessoais “sensíveis” que abrangem registros sobre raça, opiniões políticas, crenças, dados de saúde e características genéticas e biométricas. A lei estabelece condições específicas para tratamento dessa categoria de dados, como por exemplo, a obtenção de consentimento do titular antes do tratamento.
Outro caso especial é quanto ao tratamento de dados pessoais de crianças e adolescentes que exigirá atenção especial, como por exemplo, a obtenção de consentimento de um dos pais antes da coleta dos dados.
Impacto
A LGPD mudará a maneira de fazer negócios: processos atuais podem se tornar ilegais. As informações voltam a ser de propriedade do indivíduo e as empresas deverão mostrar que possuem interesse em utilizar esses dados e como o farão. Será necessário fazer uma avaliação da maturidade dos processos e impactos de riscos.
O titular passa a ganhar mais controle sobre o uso de seus dados e tem o direito de solicitar ao operador o acesso, correção, eliminação, portabilidade e revogação do consentimento de todas suas informações mantidas, em toda a organização. O acesso aos dados pessoais do consumidor deverá ser fornecido de forma clara e completa em até 15 dias da data da solicitação. Desta forma, a lei empodera o consumidor e garante a indenização na ocorrência de danos causados ao titular.
As empresas deverão se adequar às regras, por meio de ações como alterações de seus contratos com prestadores e, principalmente, clientes. Para empresas maiores, a lei fará parte de seus processos de auditoria e significará que novos tipos de funcionários são necessários. Elas deverão se adequar às especificações da coleta de dados dos colaboradores, eliminando informações que não foram autorizados por eles. As organizações também devem estabelecer um Comitê de Segurança da Informação para analisar os procedimentos internos.
Conclusão
O que se conclui é que a entrada em vigor da LGPD significa um grande desafio para as empresas, isso porque, além da facilitação de acesso aos dados para o consumidor, elas precisarão comprovar o cumprimento da norma (através do Relatório de Impacto de Proteção de Dados).
A tecnologia será um dos componentes mais importantes para as organizações nesse processo, uma vez que a nova lei traz desafios de gestão e governança de privacidade tais como gestão de consentimentos, gestão das petições abertas por titulares, gestão do ciclo de vida dos dados pessoais e implementação de técnicas de anonimização.
Você e sua organização estão prontos para entrada em vigor da LGPD? Conte-nos quais você acha que são os maiores desafios.
Inscreva-se no Blog TrincaTech
Receba os posts mais recentes no seu e-mail