O que é LGPD? Lei Geral de Proteção de Dados

O que é LGPD? A Lei Geral de Proteção de Dados Pessoais (LGPD) Lei nº 13.709/2018 é uma legislação brasileira que regulamenta a proteção e a privacidade de dados dos cidadãos do país.

Portanto, entendemos que é a lei assim como qualquer outra lei, é uma maneira de termos a onde recorrer, para não sermos reféns de sites e empresas má intencionadas com os seus dados.

Dessa forma, a lei se fundamentou em diversos valores como respeito a privacidade, dignidade das pessoas, liberdade de expressão, honra a imagem e a inviolabilidade da intimidade.

Alguns conceitos jurídicos foram “criados” com a lei como “dados pessoais”, “dados pessoais sensíveis”.

Em resumo, a lei estabelece condições para que os usuários determinem como seus dados podem ser tratados, ou no mínimo avisa-los sobre, definindo um conjunto de direitos para os donos dos dados, e para os tratadores de dados, cria obrigações especificas que devem ser obedecidas agora conforme a lei.

Foram criados normas e procedimentos para que os dados sejam melhor tratados.

Não sei se vocês já perceberam, muitos sites que antes não exibiam agora exibem aquela notificação de cookies avisando que o site coleta dados etc. Isso nada mais é que os donos desses sites se adequando a lei LGPD, caso contrário estarão infligindo a lei.

Quem são os envolvidos?

• Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
• Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
• Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
• Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
• Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
• Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
• Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
• Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
• Agentes de tratamento: o controlador e o operador;
• Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
• Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
• Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
• Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
• Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
• Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
• Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
• Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
• Órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico; e
• Autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.

O que muda com a LGPD?

Novas formas de organização das informações. Uma das principais práticas que as empresas precisam adotar é uma política de organização dos dados. Dessa forma, é preciso atingir os seguintes objetivos:

identificar quais dados pessoais são coletados por qualquer área da empresa;

separá-los e organizá-los corretamente, classificando-os (ainda mais se estivermos falando de dados sensíveis, como os dados coletados pelas empresas de saúde, por exemplo);

saber gerenciá-los de maneira sistematizada.

E atenção: a LGPD vale tanto para os dados digitais quanto os dados físicos presentes na papelada da empresa.

No dia a dia, a empresa precisa investir em um processo de ordenamento e de gerenciamento de todos esses dados e informações. Portanto, é a hora de descartar tudo o que não for útil para o negócio, gerenciando apenas os dados que a empresa realmente precisa, tornando os processos mais ágeis e produtivos.

Para que serve a LGPD?

A LGPD estabelece que não importa se a sede de uma organização ou o centro de dados dela estão localizados no Brasil ou no exterior: se há o processamento de conteúdo de pessoas, brasileiras ou não, que estão no território nacional, a LGPD deve ser cumprida. Determina também que é permitido compartilhar dados com organismos internacionais e com outros países, desde que isso ocorra a partir de protocolos seguros e/ou para cumprir exigências legais.

Consentimento

Outro elemento essencial da LGPD é o consentir. Ou seja, o consentimento do cidadão é a base para que dados pessoais possam ser tratados. Mas há algumas exceções a isso. É possível tratar dados sem consentimento se isso for indispensável para: cumprir uma obrigação legal; executar política pública prevista em lei; realizar estudos via órgão de pesquisa; executar contratos; defender direitos em processo; preservar a vida e a integridade física de uma pessoa; tutelar ações feitas por profissionais das áreas da saúde ou sanitária; prevenir fraudes contra o titular; proteger o crédito; ou atender a um interesse legítimo, que não fira direitos fundamentais do cidadão.

Automatização com autorização

Por falar em direitos, é essencial saber que a lei traz várias garantias ao cidadão, que pode solicitar que dados sejam deletados, revogar um consentimento, transferir dados para outro fornecedor de serviços, entre outras ações. E o tratamento dos dados deve ser feito levando em conta alguns quesitos, como finalidade e necessidade, que devem ser previamente acertados e informados ao cidadão. Por exemplo, se a finalidade de um tratamento, feito exclusivamente de modo automatizado, for construir um perfil (pessoal, profissional, de consumo, de crédito), o indivíduo  deve ser informado que pode intervir, pedindo revisão desse procedimento feito por máquinas.

ANPD e agentes de tratamento

E tem mais. Para a lei a “pegar”, o país contará com a Autoridade Nacional de Proteção de Dados Pessoais, a ANPD. A instituição vai fiscalizar e, se a LGPD for descumprida, penalizar. Além disso, a ANPD terá, é claro, as tarefas de regular e de orientar, preventivamente, sobre como aplicar a lei. Cidadãos e organizações poderão colaborar com a autoridade.

Mas não basta a ANPD – que está em formação – e é por isso que a Lei Geral de Proteção de Dados Pessoais também estipula os agentes de tratamento de dados e suas funções, nas organizações: tem o controlador, que toma as decisões sobre o tratamento; o operador, que realiza o tratamento, em nome do controlador; e o encarregado, que interage com cidadãos e autoridade nacional (e poderá ou não ser exigido, a depender do tipo ou porte da organização e do volume de dados tratados).

Gestão em foco

Há um outro item que não poderia ficar de fora: a administração de riscos e falhas. Isso quer dizer que quem gere base de dados pessoais terá que redigir normas de governança; adotar medidas preventivas de segurança; replicar boas práticas e certificações existentes no mercado. Terá ainda que elaborar planos de contingência; fazer auditorias; resolver incidentes com agilidade. Se ocorrer, por exemplo, um vazamento de dados, a ANPD e os indivíduos afetados devem ser imediatamente avisados. Vale lembrar que todos os agentes de tratamento sujeitam-se à lei. Isso significa que as organizações e as subcontratadas para tratar dados respondem em conjunto pelos danos causados. E as falhas de segurança podem gerar multas de até 2% do faturamento anual da organização no Brasil – e no limite de R$ 50 milhões por infração. A autoridade nacional fixará níveis de penalidade segundo a gravidade da falha. E enviará, é claro, alertas e orientações antes de aplicar sanções às organizações.

Que tipo de dados são considerados pela LGPD?

São exemplos: dados cadastrais, data de nascimento, profissão, dados de GPS, identificadores eletrônicos, nacionalidade, gostos, interesses e hábitos de consumo, entre outros. Ou seja, desde o número dos seus documentos até as páginas curtidas e os perfis seguidos nas redes sociais podem ser considerados dados pessoais.

Há, também, uma segunda divisão do dado pessoal, nomeado como “sensível” (inciso II, do art. 5º), sendo todo aquele com conteúdo “sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.”. Ou seja, são aqueles dados que podem levar a discriminação de uma pessoa e, por tal motivo, devem ser considerados e tratados como dados sensíveis.

Dado anonimizado

Importante conceitualizar o dado anonimizado, o qual não é caracterizado como pessoal (inciso III, do art. 5º): “dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.”. Este é o caso das pesquisas que possuem como objeto a informação prestada, que fundamentará o conhecimento – não importando a identidade do sujeito, a qual também não é revelada – como, por exemplo, aquelas que indagam sobre a quantidade de eletrodomésticos existentes em sua casa ou sobre as marcas de celular que você conhece. 

Leia também: 7 Motivos para usar LINUX na hora de PROGRAMAR

Sanções da LGPD

Entrou em vigor a aplicação de sanções para quem descumprir a Lei Geral de Proteção de Dados Pessoais (LGPD), Lei n° 13.709. As instituições serão obrigadas a justificar a coleta de dados pessoais e solicitar autorização para o proprietário das informações. Segundo a norma, qualquer pessoa pode requerer a consulta dos dados, assim como a sua retirada do sistema.

Conforme o art. 52 da LGPD, a ANPD pode aplicar as seguintes sanções administrativas:

• advertência, com indicação de prazo para adoção de medidas corretivas;
• multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
• multa diária, observado o limite total a que se refere o inciso II;
• publicização da infração após devidamente apurada e confirmada a sua ocorrência;
• bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
• eliminação dos dados pessoais a que se refere a infração;
• suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; 
• suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; 
• proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.  

Quem fiscaliza a LGPD?

A fiscalização e a regulação da LGPD ficarão a cargo da Autoridade Nacional de Proteção de Dados Pessoais (ANPD). Essas são tarefas essenciais para que a autoridade nacional atue como um órgão a serviço do cidadão. A autoridade será ainda um elo entre sociedade e governo, permitindo que as pessoas enviem dúvidas, sugestões, denúncias ligadas à LGPD para apuração.

Terá também um importante papel de orientadora e de apoiadora dos órgãos de governo e empresas em relação às situações em que elas podem ou não tratar dados pessoais do cidadão. A proposta da ANDP é orientar, orientar e orientar, preventivamente. Após isso, fiscalizar, advertir e, somente após tudo isso, penalizar, se a LGPD continuar sendo descumprida.

Vale frisar que o “sucesso” da LGPD e da ANDP no país depende da adoção da lei por cada órgão de governo, cada empresa. E, para diminuir disparidades, é essencial que todos atuem juntos. Só assim para a lei “pegar” e atender, então, ao clamor social por mais proteção aos dados pessoais.

Acesso a lei no site do planalto!