LGPD - Lei Geral de Proteção de Dados
A LGPD (ou a Lei n° 13.709/18) regula as atividades de tratamento de dados pessoais, ou seja, a coleta, armazenamento, transferência, compartilhamento, exclusão, etc. de dados pessoais, seja por meio virtual ou não.
A Lei foi sancionada em 2018, entrando em vigor em setembro de 2020, no entanto as sanções administrativas para as empresas que não estiverem em conformidade com as novas regras começaram a valer a partir de 1° de agosto de 2021.
Um dos principais objetivos da LGPD foi trazer maior conscientização as empresas e seus representantes acerca da utilização dos dados pessoais de terceiros, clientes e seus colaboradores.
Isso não significa que a nova lei veio para ameaçar o funcionamento das empresas e dos órgãos públicos sujeitos a ela.
Não é sobre proibição que se trata a lei!
A empresa pode e deve tratar dados pessoais, mas em conformidade com uma série de diretrizes para tornar o tratamento mais responsável e eficiente, com transparência para seus titulares e maior segurança para toda a comunidade.
Em outras palavras, a LGPD traz a necessidade de adicionar uma camada extra de proteção, utilizando da boa-fé e deixando mais claros os direitos e responsabilidades do empresário, observando as diretrizes e princípios consagrados pela LGPD quando da realização de atividades de tratamento de dados pessoais e buscando na Lei o enquadramento ao tratamento dos dados nas bases legais por ela ditadas.
A LGPD tem uma série de disposições que devem ser observadas no tratamento de dados, mas cabe aqui destacar duas essenciais que deverão ser utilizadas na análise: os seus princípios e suas bases legais.
PRINCÍPIOS
1. Princípio da Adequação
Está previsto no inciso II, do artigo 6.° da LGPD e prevê a "compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento". Os dados devem ser tratados de acordo com a sua destinação. A coleta de dados deverá ser compatível com a atividade fim do tratamento.
2. Princípio da Necessidade
A coleta de dados deve ocorrer de forma restritiva, cuidando para que o tratamento dos dados pessoais esteja restrito à finalidade pretendida.
3. Princípio da Transparência
Visa garantir aos titulares, informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento dos dados.
4. Princípio do Livre Acesso
Possibilitar que o titular dos dados consulte livremente, de forma facilitada e gratuita, a forma e a duração do tratamento dos dados, bem como sobre a integralidade deles.
5. Princípio da Qualidade dos Dados
Este princípio busca garantir aos titulares dos dados a exatidão, a clareza, a relevância e a atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.
6. Princípio da Segurança
Compreende medidas técnicas e administrativas para proteger os dados de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
7. Princípio da Prevenção
É um dos pilares da Segurança da Informação, buscando a antecipação de eventualidades, com a adoção de medidas para prevenir a ocorrência de danos em razão do tratamento de dados pessoais.
8. Princípio da Responsabilização e Prestação de Contas
Neste princípio espera-se que o controlador (empresa que trata os dados) ou o operador (aquele que segue as normativas do controlador para tratar os dados) demonstrem todas as medidas eficazes e capazes de comprovar o cumprimento da lei e a eficácia das medidas aplicadas.
9. Princípio da Não Discriminação
O tratamento dos dados não pode ser realizado para fins discriminatórios, ilícitos ou abusivos, ou seja, não se pode excluir de titulares de dados pessoais, no momento de seu tratamento, informações determinadas por características, sejam elas de origem racial ou étnica, opinião política, religião ou convicções, geolocalização, filiação sindical, estado genético ou de saúde ou orientação sexual.
10. Princípio da Finalidade
Previsto no inciso I do art. 6.º da LGPD, emprega-se como a "realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades", ou seja, o dado deverá, na coleta, ter a indicação clara e completa que a justifique.
BASES LEGAIS
No processo de adequação de sua empresa para a LGPD, a lei viabiliza o tratamento de dados pessoais em algumas hipóteses previstas em lei (bases legais LGPD).
Se, porventura, a empresa trata os dados fora de uma dessas bases legais, ela está correndo o risco de ser penalizada.
Portanto, é importante ajustar as atividades de sua empresa para alguma dessas hipóteses de que vamos tratar - nem sempre será limitada a uma única hipótese - a empresa é a responsável por definir qual a base legal mais adequada.
São elas:
1. Consentimento pelo titular
2. Obrigação legal
3. Política pública
4. Pesquisa
5. Execução de contrato
6. Exercício regular do direito em processo
7. Tutela da saúde
8. Proteção da vida
9. Legítimo interesse
10. Proteção ao crédito.
E O QUE SÃO DADOS PESSOAIS?
Dado pessoal é toda e qualquer informação que identifique ou possa identificar uma pessoa natural (pessoa física).
Os dados que identificam uma pessoa são nome, CPF, identidade, título de eleitor, dentre outros.
Já os dados que possam identificar uma pessoa, é o que causa dúvida no entendimento: uma placa de carro, IP de um computador, características físicas, dependendo do contexto, podem ser considerados dados pessoais.
A lei trata ainda de outra categoria de dados, os sensíveis que são os dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, e por trazerem maior exposição do titular, estão sujeitos a condições de tratamento específicas.
Por fim, há ainda a categoria de dados de crianças e adolescentes, que salvo hipóteses previstas na lei, só poderão ser tratados mediante o consentimento específico por pelo menos um dos pais ou pelo responsável legal.
QUAL OBJETIVO DA LGPD?
Proteger os direitos fundamentais de liberdade e de privacidade da pessoa natural (pessoa física) titular de dados pessoais.
QUEM A LEI PROTEGE?
A lei protege os titulares dos dados pessoais, ou seja, consumidores e funcionários das empresas.
E sim: as empresas estão obrigadas a tratar os dados de seus funcionários também.
Aqui cabe ressaltar que as empresas e as pessoas físicas que já faleceram não estão sob a proteção da LGPD.
QUEM DEVE SE ADEQUAR A LGPD?
TODAS AS PESSOAS JURÍDICAS e PESSOAS FÍSICAS que tratem dados com finalidade econômica, como os PROFISSIONAIS LIBERAIS (advogados, psicólogos, médicos, dentistas, nutricionistas, contadores etc.).
Empresas sem fins lucrativos como ONGs, Associações e igrejas também devem estar em conformidade com a lei.
QUAIS SÃO AS CONSEQUÊNCIAS DE QUEM NÃO CUMPRIR A LGPD?
As consequências são a aplicação de sanção administrativa que variam de uma simples advertência com um prazo para que a empresa se adeque à legislação, multas de até 2% sobre o faturamento da empresa (a famosa e temida multa de até 50 milhões), mais multa diária e - o que na minha opinião pode ser muito mais danoso para a empresa - a publicização da infração e o bloqueio dos dados pessoais.
IMAGINE ENTÃO SUA EMPRESA NÃO PODER ACESSAR O
BANCO DE DADOS DE SEUS CLIENTES?
COMO E POR QUEM SERÁ FEITA A FISCALIZAÇÃO?
As empresas serão fiscalizadas através da ANPD (Agência Nacional de Proteção de Dados).
Este é um órgão da administração pública federal responsável por zelar pela proteção de dados pessoais e por implementar e fiscalizar o cumprimento da LGPD no Brasil.
Além da ANPD, os demais Órgãos de Proteção e Defesa do Consumidor estão legitimados para fiscalizar as empresas.
E além da fiscalização rotineira, a ANPD aceita ainda denúncias dos titulares de dados através de seu sitio eletrônico.
COMO ADEQUAR MINHA EMPRESA?
A LGPD não é apenas ter uma Política de Privacidade ou de Cookies, ter um documento de consentimento do titular dos dados, não é ter um contrato, um software específico. A LGPD vai muito além!
Os passos consistem na conscientização da empresa e dos colaboradores, no mapeamento dos dados, diagnósticos dos problemas, do planejamento das ações para a execução e implementação das soluções e pôr fim a monitoração das soluções implementadas.