Gerou muita polêmica e discursão nos bastidores, mas, enfim, o Brasil passou a fazer parte dos países que contam com uma legislação específica para proteção de dados e da privacidade dos seus cidadãos. A Lei Geral de Proteção de Dados Pessoais (LGPD ou LGPDP), Lei nº 13.709/2018 é a legislação brasileira que regula as atividades de tratamento de dados pessoais e que também altera os artigos 7º e 16 do Marco Civil da Internet.
A LGPD cria um conjunto de novos conceitos jurídicos, dados pessoais e dados pessoais sensíveis. Define as condições nas quais os dados pessoais podem ser tratados, estabelece um conjunto de direitos para os titulares dos dados, gera obrigações específicas para os controladores dos dados e cria uma série de procedimentos e normas para que haja maior cuidado com o tratamento de dados pessoais e o compartilhamento com terceiros.
Fundamentada em diversos valores, o respeito à privacidade; autodeterminação informativa; liberdade de expressão, de informação, comunicação e de opinião; à inviolabilidade da intimidade, da honra e da imagem; ao desenvolvimento econômico e tecnológico e a inovação; à livre iniciativa, livre concorrência e defesa do consumidor e aos direitos humanos de liberdade e dignidade das pessoas.12
Qual é a amplitude da lei?
De acordo com o Art. 3º, a LGPD aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados. Isto é válido desde que a operação de tratamento seja realizada no território nacional e a atividade tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional ou que os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
Como as empresas devem se preparar para a LGPD?
O primeiro passo é entender como a sua empresa está enquadrada e como está realizando o tratamento de dados. Neste caso, são necessários dois perfis de profissionais: um responsável por tecnologia e outro responsável pela parte jurídica e que domina a nova lei.
O segundo passo é a parte prática: permitir uma soberania do titular dos dados. Ou seja, deve permitir que o titular ou usuário de qualquer serviço, online ou offline, tenha o controle sobre os seus dados coletados.
Basicamente, devem fornecer mecanismos para o titular entender como sua empresa utilizará os dados. A partir de agora os termos de uso ganham maior relevância e precisam estar mais claros, com punições explícitas contra eventuais descumprimentos destes termos.
A soberania também dá novos direitos ao usuário, que, anteriormente, não estavam tão claros, como a possibilidade de solicitar a alteração dos dados que ele tenha fornecido. Além disso, o usuário tem o direito de realizar a revogação dos dados, que é a solicitação de que a empresa não possa mais fazer uso destas informações e também a exclusão, que é o direito que ele tem de solicitar que estes dados não sejam mais armazenados ou tratados pela sua empresa.
Outros regulamentos similares à LGPD no Brasil são o Regulamento Geral sobre a Proteção de Dados (GDPR) na União Europeia, que passou a ser obrigatório em 25 de maio de 2018 e aplicável a todos os países da União Europeia (UE), e o California Consumer Privacy Act of 2018 (CCPA), nos Estados Unidos da América, implementado através de uma iniciativa em âmbito estadual, na Califórnia, onde foi aprovado no dia 28 de junho de 2018 (AB 375).
Dados pessoais: é toda e qualquer informação relacionada a pessoa natural identificada ou identificável. Entre os exemplos de dados pessoais podemos citar o nome, RG, CPF, e-mail, telefone fixo e celular, endereço residencial, etc. Não são considerados dados pessoais aqueles relativos à uma pessoa jurídica, como CNPJ, razão social, endereço comercial, entre outros.
Dados pessoais sensíveis: é todo dado pessoal que pode gerar qualquer tipo de discriminação, tais como os dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.
Titular: pessoa natural a quem se referem os dados pessoais.
Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
Processador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Encarregado: é o indicado pelo controlador, denominado Data Protection Officer (DPO) na GDPR, que faz a comunicação entre os titulares que terão seus dados processados e o controlador.
Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
Anonimização: processos e técnicas por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. O dado anonimizado não é considerado dado pessoal para fins de aplicação da LGPD.
Pseudoanonimização: processos e técnicas por meio dos quais um dado tem sua possibilidade de associação dificultada. O dado pseudoanonimizado é considerado dado pessoal para fins de aplicação da LGPD, tendo em vista a possibilidade de associação desse dado a uma pessoa natural.
Autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.
Fique com seu radar ligado aí! Nosso próximo assunto será sobre ligações indesejáveis. Você sabia que recebemos em média 50 ligações por mês consideradas tentativas de fraude?
Nosso Radar está sempre ligado! E o seu? Se pintar dúvida por aí, envie sua mensagem que iremos fazer o possível para esclarecer.