Saiba tudo sobre a LGPD e como ela pode afetar a questão de acesso a dados pessoais.
O Brasil aprovou a Lei Geral de Proteção de Dados (LGPD) no ano de 2018, e entrou em vigor em fevereiro de 2020. Neste artigo, veremos o que é a LGPD e como difere das demais leis gerais que existem em outros países.
A Lei de número 14.010 (de 2020) que acabou adiando de janeiro de 2021 para 1º de agosto deste ano, em função da pandemia, segue sob a vigência da Autoridade Nacional de Proteção de Dados (ANPD), embora o governo já tenha aprovado os regimentos e ainda devem passar por mais uma aprovação do Senado.
O que é a LGPD?
Basicamente, a Lei Geral de Proteção de Dados (LGPD) esclarece a junção de 40 estatutos que hoje estão vigentes sobre a questão do acesso a dados pessoais, sejam online ou offline. A ideia geral é homologar e juntar estes diferentes regulamentos para que sejam compartilhados com outro regulamento maior, no caso de documentos estrangeiros.
Desta forma, a LGPD se aplica a qualquer empresa ou organização que processe dados pessoais de pessoas no país, independentemente onde esteja a empresa ou grupo de pessoas físicas. Portanto, se uma empresa quer angariar clientes, no Brasil ou fora, ela deve começar a se preparar para a conformidade LGPD.
Dados pessoais
Embora a LGPD não tenha uma definição única para dados pessoais, se você ler todo o texto, poderá ver ecos da definição de dados pessoais de regulamentos europeus, por exemplo. A LGPD afirma que dados pessoais podem significar “quaisquer dados” que, por si só, ou combinados com outros dados, podem identificar uma pessoa singular ou submetê-la a um tratamento específico.
Assim, a LGPD tem uma visão ampla de quais dados se qualificam como dados pessoais, sendo ainda mais abrangente do que os regulamentos internacionais.
Direitos do titular dos dados
Por exemplo, o artigo 18 da LGPD explica alguns direitos fundamentais dos titulares dos dados, que incluem:
- O direito à confirmação da existência do tratamento;
- O direito de acessar os dados;
- O direito de corrigir dados incompletos, imprecisos ou desatualizados;
- O direito de tornar anônimo, bloquear ou excluir dados desnecessários ou excessivos ou dados que não estejam sendo processados em conformidade com a LGPD;
- Direito à portabilidade dos dados para outro prestador de serviços ou produtos, mediante solicitação expressa
- O direito de apagar dados pessoais processados com o consentimento do titular dos dados;
- O direito à informação sobre entidades públicas e privadas com as quais o controlador compartilha dados;
- O direito à informação sobre a possibilidade de negar o consentimento e as consequências dessa negação; e
- O direito de revogar o consentimento.
Além disso, o artigo 41 da LGPD simplesmente diz:
“O controlador deve nomear um oficial responsável pelo processamento de dados”, o que sugere que qualquer empresa que processe os dados de pessoas, precisará contratar um DPO (Oficial de Proteção de Dados).
Base legal para processamento de dados
Possivelmente, a parte mais significativa da LGPD diz respeito ao que se qualifica como base legal para o processamento de dados. Por exemplo, no artigo 7, a LGPD lista o seguinte:
- Com o consentimento do titular dos dados;
- Para cumprir uma obrigação legal ou regulamentar do controlador;
- Executar políticas públicas previstas em leis ou regulamentos, ou com base em contratos, acordos ou instrumentos semelhantes;
- Realizar estudos por entidades de investigação que garantam, sempre que possível, o anonimato dos dados pessoais;
- Executar um contrato ou procedimentos preliminares relacionados com um contrato do qual o titular dos dados seja parte, a pedido do titular dos dados;
- Exercer direitos em procedimentos judiciais, administrativos ou arbitrais;
- Para proteger a vida ou a segurança física do titular dos dados ou de terceiros;
- Proteger a saúde, em procedimento realizado por profissionais de saúde ou por entidades de saúde;
- Para atender aos legítimos interesses do responsável pelo tratamento ou de terceiros, exceto quando prevaleçam os direitos e liberdades fundamentais do titular dos dados, que exigem a proteção de dados pessoais; ou
- Para proteger o crédito (referindo-se a uma pontuação de crédito).
Relatório de violações de dados
A LGPD não fornece um prazo muito fixo, pois o artigo 48 apenas declara que “o responsável pelo tratamento deve comunicar à autoridade nacional e ao titular dos dados a ocorrência de um incidente de segurança que possa criar risco ou dano relevante aos titulares dos dados em um prazo de razoável período.”
Assim, uma vez que a Agência Nacional de Proteção de Dados ainda não foi estabelecida, não há orientação sobre o que constitui um “período de tempo razoável”.
Multas
As multas sob a LGPD são severas, mas estão abaixo dos valores de regulamentos estrangeiros. O artigo 52 estabelece que a multa máxima por infração é de “2% da receita de pessoa jurídica privada, grupo ou conglomerado no Brasil, no exercício fiscal anterior, sem impostos, até um máximo total de 50 milhões de reais”.
Deste modo, as multas da LGPD estão em linha com as multas de regulamentos europeus por infrações menos flagrantes.
Devemos deixar claro que as leis de proteção de dados estão começando a ser consideradas em todo o mundo, da Índia aos EUA.
Para saber mais sobre a LGPD:
Art. 1 – Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive por meios digitais, por pessoa física ou jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Art. 2 – A disciplina de proteção de dados pessoais é baseada no seguinte:
I – respeito à privacidade;
II – autodeterminação informacional;
III – liberdade de expressão, informação, comunicação e opinião;
IV – inviolabilidade da intimidade, honra e imagem;
V – desenvolvimento econômico e tecnológico e inovação;
VI – livre iniciativa, livre concorrência e defesa do consumidor;
VII – direitos humanos, livre desenvolvimento da personalidade, dignidade e exercício da cidadania pelas pessoas físicas.
Assim, a LGPD acaba criando um novo patamar legal para o uso de dados pessoais no país em um momento em que a sociedade se encontra cada vez mais orientada para a segurança de dados.
Fizemos alguns apontamentos em relação aos demais regulamentos estrangeiros porque ter uma Lei Geral de Proteção de Dados, o Brasil acaba ingressando também no quadro de mais de 120 países que podem ser considerados como possível nível de adequação à proteção da privacidade e de uso de dados pessoais.
Âmbito de aplicação
A LGPD terá uma forma de aplicação transversal e multissetorial para os setores da economia, tanto público como privado, online e offline. Além da dessa aplicação, há também a extraterritorial, que semelhante ao Regulamento Geral de Proteção de Dados da União Europeia, a LGPD pode ultrapassar os limites geográficos, onde qualquer empresa estrangeira que tenha uma filial no Brasil, estará sujeita à nova lei.
Conceito de dados pessoais
A LGPD fornece um conceito amplo do que deve ser considerado dado pessoal relacionado a uma pessoa física identificada ou identificável.
Ou seja: quaisquer dados, isolados ou agregados a outro, que possam permitir a identificação de uma pessoa física ou sujeitá-la a determinado comportamento. Também existe os dados pessoais que apresentam natureza mais sensível, no que se relaciona a práticas discriminatórias, como origem racial ou étnica, crença religiosa, opinião política, dados de saúde ou vida sexual.
Dados anônimos
São os dados sobre um titular que não podem ser identificados considerando o uso de tempo, custo e meios técnicos razoáveis no momento do tratamento dos dados.
Dados públicos
Tem havido muita discussão sobre os limites do uso de dados pessoais acessíveis ao público, como aqueles de bancos de dados administrados, de órgãos públicos, publicações oficiais ou perfis públicos em redes sociais.
A LGPD lida com tais situações, tratando-as de maneiras diferentes e impondo certas limitações, como limitar o uso e divulgação dos dados pessoais de forma pública.
Direitos básicos do titular dos dados
Os titulares dos dados terão seus direitos básicos ampliados e deverão ser garantidos de forma acessível e efetiva. Dentre os direitos elencados, é importante destacar:
- o direito de acesso aos dados;
- retificação;
- cancelamento ou exclusão;
- oposição ao tratamento;
- direito à informação;
- explicação sobre o uso dos dados.
A novidade aqui é o direito à portabilidade de dados, ou seja, o titular pode solicitar uma cópia integral mas, inclusive, poderá tê-los disponíveis para que consiga realizar sua transferência.
Responsabilidade
Os agentes envolvidos no processamento de dados, como o controlador e o processador, podem ser responsáveis por problemas de segurança da informação e/ou no uso indevido e não autorizado dos dados.
Registro de atividades de processamento de dados
As atividades de processamento de dados pessoais devem ser registradas, desde a coleta até a exclusão, mas orientando quais devem ser os tipos de dados pessoais que serão coletados, seu uso, fim, tempo de retenção, etc.
Códigos de conduta e organismos de certificação
A LGPD incentiva a adoção de códigos de conduta que garantam a conformidade com as regras de proteção de dados.
Quais são os próximos capítulos
Quando o DPO for criado, enquanto autoridade pública independente que será responsável pela supervisão da lei e da aplicação, terá uma forma de trabalho como outras agências reguladoras. A lei que criará o DPO também prevê a geração do Conselho Nacional de Proteção de Dados.
Resumindo, a importância da LGPD como papel regulador, terá um impacto social como nunca. Corporações e indivíduos terão de se adaptar e se reestruturar sob uma nova forma cultural e jurídica no uso dos dados.
E você? Está pronto para começar o curso LGPD 365 online, focado na prática da implantação e adequação das empresas na nova Lei Geral de Proteção de Dados?
TREINAMENTO E CERTIFICAÇÃO OFICIAL ACADI-TI
CURSO LGPD 365