A Lei Geral de Proteção de Dados é a principal legislação brasileira sobre proteção e privacidade de dados pessoais. A lei está em vigor e exige que as empresas adotem novas políticas para garantir a segurança dos dados de clientes.
O que é a LGPD?
A Lei Geral de Proteção de Dados (LGPD) é o principal marco regulatório sobre proteção e privacidade de dados pessoais no Brasil.
A LGPD está disposta na Lei nº 13.709, de 14 de agosto de 2018. Porém, as discussões sobre proteção de dados no Brasil são anteriores. Em 2014, o Marco Civil da Internet (Lei nº 12.965/2014) já trazia normas sobre isso, porém restritas aos canais digitais. Um dos avanços da LGPD foi tratar de proteção de dados pessoais independentemente do meio.
A lei foi aprovada em 2018, e entrou em vigor em agosto de 2020, assim como, criou a Autoridade Nacional de Proteção de Dados (ANPD).
A função da ANPD, que garante a aplicabilidade da lei, é elaborar as diretrizes para uma política nacional de proteção de dados e aplicar as sanções administrativas. As sanções, por sua vez, já estão dispostas na LGPD, e já podem ser aplicadas desde 1º de agosto de 2021.
A LGDP dispõe as normas sobre o tratamento de dados pessoais por empresas privadas, poder público ou por outras pessoas, em qualquer meio (físico ou digital), com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade.
A legislação define que “dado pessoal” é toda informação relacionada à pessoa natural identificada ou identificável. Um “dado pessoal sensível”, por sua vez, está relacionado à raça ou etnia, religião, política, saúde etc.
Já o “tratamento” é toda operação realizada com dados pessoais, como coleta, classificação, utilização, reprodução, transmissão, armazenamento e outras. A LGPD procura regular todas essas atividades.
A lei traz capítulos sobre os requisitos para o tratamento de dados pessoais, os direitos dos titulares, o tratamento pelo poder público, a transferência internacional de dados, o papel dos agentes de tratamento de dados, as boas práticas de governança, a fiscalização e a ANPD.
Nas disposições preliminares, a lei informa os 10 princípios que devem reger as atividades de tratamento de dados. É com base nesses princípios que foram criadas todas as normas para a proteção de dados. São eles:
Princípio da finalidade: o tratamento deve ser feito apenas para propósitos legítimos, específicos, explícitos e informados ao titular dos dados.
Princípio da adequação: compatibilidade do tratamento com as finalidades informadas ao titular.
Princípio da necessidade: limitação do tratamento ao mínimo necessário para a realização da sua finalidade, com dados pertinentes, proporcionais e não excessivos.
Princípio do livre acesso: garantia de acesso fácil e gratuito à integralidade dos dados armazenados e às informações sobre forma e duração do tratamento.
Princípio da qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados para o cumprimento da finalidade do tratamento.
Princípio da transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes.
Princípio da segurança: adoção de medidas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas.
Princípio da prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.
Princípio da não discriminação: impossibilidade de tratar dados para fins discriminatórios ilícitos ou abusivos.
Princípio da responsabilização e prestação de contas: capacidade de demonstrar a adoção de medidas eficazes para o cumprimento das normas.
A LGPD define também as sanções às quais o infrator pode se submeter, que devem ser aplicadas pela Autoridade Nacional de Proteção de Dados:
– Advertência;
– Multa de até 2% do faturamento anual da empresa (limitada a R$ 50 milhões);
– Multa diária (soma limitada a R$ 50 milhões);
– Publicização da infração;
– Suspensão do banco de dados a que se refere a infração;
– Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Para se adequar à Lei Geral de Proteção de Dados, é importante fazer uma leitura atenta da legislação, inclusive com uma consultoria especializada, se possível.
Mas procuramos destacar aqui os pontos mais importantes da LGPD, aos quais a sua empresa precisa começar a se adaptar. Confira:
Consentimento do titular
De acordo com a legislação, consentimento é a “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”.
Você só pode coletar dados de pessoas se tiver o consentimento delas. Esse consentimento deve ser explícito. Deixe que o usuário decida se quer ou não entregar os dados à sua empresa, sem forçar a barra. No caso de dados de crianças e adolescentes, o consentimento deve ser dado por pelo menos um dos pais ou pelo responsável legal. O consentimento só é dispensável quando os dados são tornados manifestamente públicos pelo titular, resguardados os seus direitos e os princípios da lei.
Finalidade do tratamento dos dados
A legislação define que finalidade é a “realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades”.
Isso quer dizer que o usuário dá consentimento para uma finalidade específica de tratamento de dados. Portanto, essa finalidade deve estar clara e transparente na hora do opt-in. Se ela mudar depois, o usuário precisa saber e consentir novamente. E você só pode coletar os dados estritamente necessários para a finalidade do tratamento.
Além disso, a LGPD não permite que as empresas utilizem autorizações genéricas. Portanto, nada de escrever termos genéricos.
Direitos do titular
Um dos principais cuidados que você deve ter é disponibilizar um meio de acesso fácil e imediato das pessoas aos seus dados. A lei diz que o titular tem o direito de acessar, a qualquer momento, os dados pessoais que estão armazenados com a empresa.
As informações podem ser disponibilizadas de forma eletrônica ou impressa, mas sempre de forma clara, simples e acessível, com uso de recursos audiovisuais se necessário, considerando as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário.
O titular também deve poder corrigir, editar, anonimizar e excluir seus dados quando quiser, saber se eles foram compartilhados (e com quais empresas) e transferi-los para outro responsável.
Obrigações dos agentes de tratamento de dados
A LGPD também traz as definições e responsabilidades dos agentes de tratamento de dados, que devem garantir a aplicação da lei nas empresas e a proteção dos dados dos usuários.
O controlador é a pessoa natural ou jurídica que toma as decisões sobre o tratamento de dados pessoais. Já o operador é quem realiza o tratamento, de acordo com as decisões e orientações do controlador. A empresa que tem contato direto com o cliente seria um controlador, enquanto uma empresa de call center, por exemplo, seria um operador.
As empresas devem também nomear um encarregado, que deve fazer a comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). É a pessoa responsável pelo tratamento dos dados na empresa.
Medidas de segurança e governança
O texto da Lei diz que as empresas devem adotar medidas de segurança para proteger os dados pessoais de acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração e outas formas de tratamento inadequado.
Caso aconteça algum incidente, o controlador deve comunicar à autoridade nacional e aos titulares quais dados foram afetados, quais riscos estão relacionados e quais medidas vai adotar para reverter e mitigar os prejuízos. Se a autoridade nacional julgar necessário, o incidente também deve ser comunicado publicamente com ampla divulgação.
Para evitar que essas situações ocorram, as empresas devem adotar boas práticas de segurança. Os agentes, individualmente ou em associações, podem formular regras de governança que estabeleçam normas, padrões técnicos, obrigações, ações educativas mecanismos de supervisão e outros aspectos relacionados ao tratamento de dados pessoais.
Prestação de contas
Uma das principais mudanças da LGPD é a obrigatoriedade de prestar contas sobre as medidas de proteção de dados pessoais.
A autoridade nacional pode solicitar aos controladores um relatório de impacto à proteção de dados pessoais. Esse documento deve conter a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
Na próxima semana vamos te apresentar como a sua empresa pode se adequar à Lei Geral de Proteção de Dados.