Lei Geral de Proteção de Dados Pessoais - O Que Você Precisa Saber! - NetSeg

Lei Geral de Proteção de Dados Pessoais - O Que Você Precisa Saber!

TI & Software | 2020-08-11

Para facilitar o entendimento da Lei Geral de Proteção de Dados Pessoais – LGPD, apresentamos este artigo contendo os principais controles, características e obrigações que você deve conhecer, bem como um primeiro passo para um projeto de conformidade com a lei. Evidentemente, este texto é um passo inicial e não esgota o assunto. Posteriormente uma leitura completa da lei deve ser realizada.

A LEI

A LGPD dispõe sobre o tratamento de dados pessoais de pessoa natural. Este tratamento pode ser realizado por outra pessoa natural ou por pessoa jurídica de direito público ou privado.

Seu objetivo é proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Com esta lei o Brasil se posiciona como um Estado que deseja proteger os dados pessoais das pessoas naturais localizadas no seu território nacional.

A LGPD se baseia no regulamento da União Europeia, GDPR – General Data Protection Regulation, que entrou em vigor em 25 de maio de 2018.

A REGRA MÁXIMA

Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos de liberdade, de intimidade e de privacidade. Em resumo: você é o dono dos seus dados pessoais, tem direitos sobre eles, e as organizações somente poderão utilizar seus dados pessoais se cumprirem as regras de permissão para uso de dados pessoais (Base Legal).

PRINCIPAIS DEFINIÇÕES

  1. Pessoa Natural: é o Titular dos seus dados pessoais. É o dono destes dados.
  2. Dado Pessoal: informação relacionada a pessoa natural, que identifica ou pode       identificar esta pessoa.
  3. Dado Pessoal Sensível: é o dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter       religioso, filosófico ou político, dado referente à saúde ou a vida sexual, dado       genético ou biométrico, quando vinculado a uma pessoa natural.
  4. Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem       competem as decisões referentes ao tratamento de dados pessoais.
  5. Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador.
  6. Tratamento: qualquer operação realizada com Dados Pessoais. É o Prestador de Serviços.

APLICAÇÃO DA LEI

A LGPD aplica-se a qualquer tratamento de Dados Pessoais, que tenham sido coletados no território nacional, ou serviços oferecidos a pessoas localizadas no território nacional ou o tratamento seja realizado no território nacional. Isto significa que independe do país sede da organização.

BASE LEGAL

Base Legal significa as opções que obrigatoriamente devem ser consideradas para a realização de qualquer tratamento de dado pessoal. Isto significa que a organização precisa identificar todos os dados pessoais sob sua responsabilidade, e para cada um deles, identificar a Base Legal para o tratamento que realiza. Vamos comentar as mais utilizadas:

  1. Fornecimento de consentimento pelo Titular.

            O Titular precisa explicitamente dar o seu consentimento para o tratamento dos seus dados pessoais.

  1. Obrigação legal ou regulatória pelo Controlador.

            Quando existe uma lei que exige o tratamento de dados pessoais.

  1. Execução de Contrato ou Diligências pré-contratuais

            Quando existe ou existirá um contrato com a pessoa natural.

As demais opções de Base Legal são:

            - Execução de políticas públicas previstas em lei;

            - Estudos por Órgãos de Pesquisas;

            - Exercício regular de direitos em processos judiciais;

            - Proteção da vida;

            - Tutela da saúde;

            - Interesses legítimos do controlador;

            - Proteção ao crédito.

PRINCÍPIOS

Quando do tratamento de dados pessoais, a organização deve seguir diretrizes obrigatórias. Destacamos os três princípios básicos.

1. Finalidade, Adequação e Necessidade.

Significa que todo tratamento de dado pessoal precisa ter uma finalidade específica, o tratamento tem que ser adequado a esta finalidade e a coleta de dados deve ser mínima para atender exclusivamente à necessidade da finalidade.

Isto significa que todo uso da informação precisa estar justificado. Não se pode coletar informação pessoal para um uso futuro que o Titular não foi informado.

Os demais princípios são:

            - Livre acesso pelo Titular em relação aos seus dados;

            - Qualidade dos dados;

            - Transparência;

            - Segurança dos dados;

            - Prevenção;

            - Não discriminação;

            - Responsabilização e prestação de contas.

GESTÃO DE SEGURANÇA DA INFORMAÇÃO

Todo Controlador e Operador devem ter implementado uma Gestão de Segurança da Informação para garantir a adequada proteção dos dados pessoais.

DIREITOS DO TITULAR

A organização deve garantir que atende aos direitos do Titular do dado pessoal. O Titular deve ter acesso facilitado às informações sobre o tratamento dos seus dados, inclusive ter conhecimento da finalidade do tratamento, duração do tratamento, responsabilidades dos agentes que farão o tratamento, eventual uso compartilhado dos seus dados e informações de contato do Controlador.

COMUNICAÇÃO DE INCIDENTES COM DADOS PESSOAIS

A organização deverá comunicar à Autoridade Nacional e ao Titular a ocorrência de incidentes de segurança que possa acarretar risco ou dano relevante aos Titular. Em algumas situações a organização terá que comunicar o incidente ao mercado. Dependendo do tipo de negócio, este fato pode acarretar forte impacto negativo na reputação da organização.

ANONIMIZAÇÃO DE DADOS

Anonimizar um conjunto de dados pessoais é retirar a informação que identifica o Titular. Exemplo. Temos CPF, ano de nascimento e cidade onde a pessoa mora. Se retirarmos o CPF este conjunto de dados foi anonimizados, e desta maneira este conjunto deixa de ser dados pessoais. Muitas empresas podem anonimizar dados quando tem interesse estatístico grupal. A LGPD recomenda que quando possível a organização utilize a anonimização. A anonimização não permite retorno.

DADOS DE CRIANÇAS E ADOLESCENTES

A lei exige um cuidado especial para tratamento de dados pessoais de crianças e adolescentes. Somente poderá ser realizado com o consentimento específico dado por pelo menos um dos pais ou pelo responsável legal.

ENCARREGADO PELO TRATAMENTO DE DADOS

A lei brasileira é mais simples do que o GDPR da União Europeia. A LGPD exige apenas que toda empresa tenha um encarregado, que pode ser funcionário, prestador de serviço, parcial ou dedicado, com as seguintes obrigações:

  1. Orientar os funcionários e os contratados da organização a respeito das práticas a serem adotadas em relação à proteção de dados pessoais.
  2. Receber reclamações e comunicações de titulares, prestar esclarecimento e adotar providências.
  3. Receber comunicações da Autoridade Nacional e adotar providências.
  4. Outras funções definidas pela organização.

DOCUMENTO IMPACTO À PROTEÇÂO DE DADOS PESSOAIS

Este documento pode ser solicitado em várias ocasiões pela Autoridade Nacional, portanto recomendo que seja elaborado pela organização. Ele deve conter no mínimo como é realizado o tratamento de dados pessoais pela organização e quais são as ameaças e riscos à proteção destes dados.

A LGPD possui outros detalhes como a definição da Autoridade Nacional de Proteção dos Dados e situações mais específicas. Mas, se você entender os controles aqui apresentados, tenha certeza de que você está conhecendo a essência da LGPD esta é o primeiro passo para implementar um Projeto de Conformidade com a LGPD. Sucesso!