Lei Geral de Proteção de Dados Pessoais - O Que Você Precisa Saber!
Para facilitar o entendimento da Lei Geral de Proteção de Dados Pessoais – LGPD, apresentamos este artigo contendo os principais controles, características e obrigações que você deve conhecer, bem como um primeiro passo para um projeto de conformidade com a lei. Evidentemente, este texto é um passo inicial e não esgota o assunto. Posteriormente uma leitura completa da lei deve ser realizada.
A LEI
A LGPD dispõe sobre o tratamento de dados pessoais de pessoa natural. Este tratamento pode ser realizado por outra pessoa natural ou por pessoa jurídica de direito público ou privado.
Seu objetivo é proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Com esta lei o Brasil se posiciona como um Estado que deseja proteger os dados pessoais das pessoas naturais localizadas no seu território nacional.
A LGPD se baseia no regulamento da União Europeia, GDPR – General Data Protection Regulation, que entrou em vigor em 25 de maio de 2018.
A REGRA MÁXIMA
Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos de liberdade, de intimidade e de privacidade. Em resumo: você é o dono dos seus dados pessoais, tem direitos sobre eles, e as organizações somente poderão utilizar seus dados pessoais se cumprirem as regras de permissão para uso de dados pessoais (Base Legal).
PRINCIPAIS DEFINIÇÕES
- Pessoa Natural: é o Titular dos seus dados pessoais. É o dono destes dados.
- Dado Pessoal: informação relacionada a pessoa natural, que identifica ou pode identificar esta pessoa.
- Dado Pessoal Sensível: é o dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dado referente à saúde ou a vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
- Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
- Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador.
- Tratamento: qualquer operação realizada com Dados Pessoais. É o Prestador de Serviços.
APLICAÇÃO DA LEI
A LGPD aplica-se a qualquer tratamento de Dados Pessoais, que tenham sido coletados no território nacional, ou serviços oferecidos a pessoas localizadas no território nacional ou o tratamento seja realizado no território nacional. Isto significa que independe do país sede da organização.
BASE LEGAL
Base Legal significa as opções que obrigatoriamente devem ser consideradas para a realização de qualquer tratamento de dado pessoal. Isto significa que a organização precisa identificar todos os dados pessoais sob sua responsabilidade, e para cada um deles, identificar a Base Legal para o tratamento que realiza. Vamos comentar as mais utilizadas:
- Fornecimento de consentimento pelo Titular.
O Titular precisa explicitamente dar o seu consentimento para o tratamento dos seus dados pessoais.
- Obrigação legal ou regulatória pelo Controlador.
Quando existe uma lei que exige o tratamento de dados pessoais.
- Execução de Contrato ou Diligências pré-contratuais
Quando existe ou existirá um contrato com a pessoa natural.
As demais opções de Base Legal são:
- Execução de políticas públicas previstas em lei;
- Estudos por Órgãos de Pesquisas;
- Exercício regular de direitos em processos judiciais;
- Proteção da vida;
- Tutela da saúde;
- Interesses legítimos do controlador;
- Proteção ao crédito.
PRINCÍPIOS
Quando do tratamento de dados pessoais, a organização deve seguir diretrizes obrigatórias. Destacamos os três princípios básicos.
1. Finalidade, Adequação e Necessidade.
Significa que todo tratamento de dado pessoal precisa ter uma finalidade específica, o tratamento tem que ser adequado a esta finalidade e a coleta de dados deve ser mínima para atender exclusivamente à necessidade da finalidade.
Isto significa que todo uso da informação precisa estar justificado. Não se pode coletar informação pessoal para um uso futuro que o Titular não foi informado.
Os demais princípios são:
- Livre acesso pelo Titular em relação aos seus dados;
- Qualidade dos dados;
- Transparência;
- Segurança dos dados;
- Prevenção;
- Não discriminação;
- Responsabilização e prestação de contas.
GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Todo Controlador e Operador devem ter implementado uma Gestão de Segurança da Informação para garantir a adequada proteção dos dados pessoais.
DIREITOS DO TITULAR
A organização deve garantir que atende aos direitos do Titular do dado pessoal. O Titular deve ter acesso facilitado às informações sobre o tratamento dos seus dados, inclusive ter conhecimento da finalidade do tratamento, duração do tratamento, responsabilidades dos agentes que farão o tratamento, eventual uso compartilhado dos seus dados e informações de contato do Controlador.
COMUNICAÇÃO DE INCIDENTES COM DADOS PESSOAIS
A organização deverá comunicar à Autoridade Nacional e ao Titular a ocorrência de incidentes de segurança que possa acarretar risco ou dano relevante aos Titular. Em algumas situações a organização terá que comunicar o incidente ao mercado. Dependendo do tipo de negócio, este fato pode acarretar forte impacto negativo na reputação da organização.
ANONIMIZAÇÃO DE DADOS
Anonimizar um conjunto de dados pessoais é retirar a informação que identifica o Titular. Exemplo. Temos CPF, ano de nascimento e cidade onde a pessoa mora. Se retirarmos o CPF este conjunto de dados foi anonimizados, e desta maneira este conjunto deixa de ser dados pessoais. Muitas empresas podem anonimizar dados quando tem interesse estatístico grupal. A LGPD recomenda que quando possível a organização utilize a anonimização. A anonimização não permite retorno.
DADOS DE CRIANÇAS E ADOLESCENTES
A lei exige um cuidado especial para tratamento de dados pessoais de crianças e adolescentes. Somente poderá ser realizado com o consentimento específico dado por pelo menos um dos pais ou pelo responsável legal.
ENCARREGADO PELO TRATAMENTO DE DADOS
A lei brasileira é mais simples do que o GDPR da União Europeia. A LGPD exige apenas que toda empresa tenha um encarregado, que pode ser funcionário, prestador de serviço, parcial ou dedicado, com as seguintes obrigações:
- Orientar os funcionários e os contratados da organização a respeito das práticas a serem adotadas em relação à proteção de dados pessoais.
- Receber reclamações e comunicações de titulares, prestar esclarecimento e adotar providências.
- Receber comunicações da Autoridade Nacional e adotar providências.
- Outras funções definidas pela organização.
DOCUMENTO IMPACTO À PROTEÇÂO DE DADOS PESSOAIS
Este documento pode ser solicitado em várias ocasiões pela Autoridade Nacional, portanto recomendo que seja elaborado pela organização. Ele deve conter no mínimo como é realizado o tratamento de dados pessoais pela organização e quais são as ameaças e riscos à proteção destes dados.
A LGPD possui outros detalhes como a definição da Autoridade Nacional de Proteção dos Dados e situações mais específicas. Mas, se você entender os controles aqui apresentados, tenha certeza de que você está conhecendo a essência da LGPD esta é o primeiro passo para implementar um Projeto de Conformidade com a LGPD. Sucesso!