LGPD

O que é a Lei Geral de Proteção de Dados?

A LGPD é uma lei que perpassa diferentes agentes econômicos no Brasil, do setor privado, público e do terceiro setor, oferecendo as regras e condições para que os dados pessoais possam ser utilizados nas atividades dos agentes de tratamento.

Conforme descrito na Lei Geral de Proteção de Dados, em seu Art. 1º:

“Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.”

Sendo assim, a LGPD propõe a definição de normas e regras para o uso, coleta, armazenamento e compartilhamento de dados dos usuários por empresas públicas e privadas, visando promover a proteção de dados de todo cidadão que esteja no Brasil de forma igualitária.

O que muda com a LGPD?

A maior mudança, sem dúvida, trazida pela legislação diz respeito ao controle dos cidadãos em razão da garantia de acesso às informações sobre os seus dados. Dessa forma, o titular de dados, conceituado como “a pessoa física a quem se referem os dados pessoais que são objeto de tratamento”, torna-se o real dono dos dados pessoais objeto de tratamento das organizações.

Por parte das empresas, a responsabilidade será obedecer aos princípios estabelecidos pela lei para o tratamento de dados pessoais, além da garantia dos direitos definidos aos titulares de dados. A nova lei atingirá toda e qualquer atividade que envolva utilização de dados pessoais, incluindo o tratamento pela internet, consumidores, colaboradores, entre outros.

Princípios

Conforme descrito anteriormente, a LGPD, em seu Art. 6º, estabelece a obrigatoriedade sobre a presença da boa-fé no tratamento de dados pessoais (DP), assim como a observação de alguns princípios, detalhados abaixo:

Finalidade:

Realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

Adequação:

Compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

Necessidade:

Limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

Livre acesso:

Garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais em processamento.

Qualidade dos dados:

Garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

Transparência:

Garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

Segurança:

Utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

Prevenção:

Adoção de medidas para prevenir a ocorrência de danos em virtude do Tratamento de Dados Pessoais;

Não discriminação:

Impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

Responsabilização e prestação de contas:

Demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Os Direitos dos Titulares de Dados

A partir do Art. 18 da Lei Geral de Proteção de Dados, toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade.

Além disso, o titular dos dados pessoais tem direito a obter algumas respostas e garantias do controlador, em relação aos dados pessoais tratados por ele. Dessa forma, por meio de uma requisição formal realizada pelo meio de contato estabelecido e divulgado pelo controlador, o titular poderá solicitar a qualquer momento e mediante requisição:

I – Confirmação da Existência de Tratamento

Os Titulares de DP têm direito de serem informados, diante requisição ao Controlador, sobre a existência de Tratamento de seus DP. A confirmação deve ser feita de forma imediata, se em formato simples, ou ainda, num prazo de 15 dias, de forma detalhada.

II – O direito de acesso

Os Titulares de Dados têm o direito de acessar seus Dados Pessoais.

III – O direito à retificação

A LGPD inclui o direito de os indivíduos terem dados pessoais imprecisos corrigidos ou concluídos se forem incompletos. Em certas circunstâncias, o controlador poderá se reservar o direito de recusar pedido de retificação, quando não puder ser documentalmente comprovada a incorreção, pelo titular.

IV – Anonimização, bloqueio ou eliminação de dados desnecessários

Os Titulares de Dados têm o direito de solicitar a restrição ou supressão de seus DP. Este não é um direito absoluto e só se aplica em certas circunstâncias. Em algumas situações, por exemplo, os dados não podem ser eliminados, anonimizados ou bloqueados, pois estão sendo utilizados em demanda judicial, regulatória ou administrativa envolvendo autoridades públicas.

Quando o processamento é restrito, o controlador pode armazenar os dados pessoais, mas não os usar.

V – O direito à portabilidade de dados

O direito à portabilidade de dados permite que os Titulares de Dados obtenham e reutilizem seus dados pessoais para seus próprios propósitos em diferentes serviços.

Ele permite que eles movam, copiem ou transfiram dados pessoais facilmente de um ambiente de TI para outro de forma segura e segura, sem afetar sua usabilidade.

Este direito depende de regulamentação pela Autoridade de Dados do Brasil, além de se aplicar apenas às informações que um Titular de Dados efetivamente forneceu a um controlador.

VI – O direito de apagar

A LGPD introduz o direito de os indivíduos terem DP apagados. O direito não é absoluto e só se aplica em certas circunstâncias.

VII – Informação sobre o compartilhamento dos dados

A LGPD introduz o direito de os indivíduos terem informações sobre as entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

VIII – Informação sobre possibilidade de não fornecer consentimento e sobre consequências

Os titulares de dados têm o direito de serem informados sobre a possibilidade de não fornecer consentimento ao tratamento de dados ao qual está sujeito. Os titulares de dados também devem ser informados igualmente sobre a impossibilidade, no caso em que o tratamento não seja baseado em consentimento.

IX – Revogação do consentimento

A LGPD dá aos titulares de dados o direito de revogarem o consentimento anteriormente dado para um determinado tratamento de dados pessoais.

X – Reclamações perante a ANPD

A LGPD dá aos titulares de dados o direito de realizar reclamações junto à Autoridade Nacional de Proteção de Dados, ANPD. Este direito é exercido diretamente junto à ANPD e ao controlador que, se solicitada pelo titular de dados, compromete-se a orientá-lo.

Transferência Internacional de Dados

A LGPD, em seu Art. 33, determina as condições para que uma Transferência Internacional de Dados possa acontecer, sendo elas:

I – para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei;

II – quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos nesta Lei, na forma de:

a) cláusulas contratuais específicas para determinada transferência;

b) cláusulas-padrão contratuais;

c) normas corporativas globais;

d) selos, certificados e códigos de conduta regularmente emitidos;

III – quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional;

IV – quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro;

V – quando a autoridade nacional autorizar a transferência;

VI – quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;

VII – quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, sendo dada publicidade nos termos do inciso I do caput do art. 23 desta Lei;

VIII – quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades; ou

IX – quando necessário para atender as hipóteses previstas nos incisos II, V e VI do art. 7º desta Lei.

Definições

Para garantir que a empresa entenda suas obrigações com a proteção de Informações Pessoais, as seguintes definições se aplicam e baseiam-se no entendimento atual desses termos conforme estabelecidas pela LGPD, em seu Art. 5º:

Dados Pessoais

Qualquer informação relativa a uma pessoa física identificada ou identificável (Titular de Dados), direta ou indiretamente, em particular, por referência a um identificador como nome, número de identificação, dados de localização, um identificador on-line ou a um ou mais fatores específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa natural.

Dados Pessoais Sensíveis

Dados Pessoais que são, por sua natureza, particularmente sensíveis, conforme contexto definido pela LGPD, merecem proteção específica, pois o contexto de seu processamento poderia criar riscos significativos aos direitos e liberdades fundamentais. Dados Pessoais Sensíveis incluem Dados Pessoais revelando origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, ou membros sindicais, dados genéticos, dados biométricos com o propósito de identificar exclusivamente uma pessoa natural, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa natural.

Controlador de Dados

A pessoa física ou jurídica, autoridade pública, agência ou qualquer outro órgão, que isoladamente ou em conjunto com outros, determina os propósitos e meios de processamento de Dados Pessoais.

Operador de Dados

Uma pessoa física ou jurídica, autoridade pública, agência ou qualquer outro órgão que processe Dados Pessoais em nome de um Controlador de Dados.

Titular de Dados

A pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

Tratamento

Uma operação ou conjunto de operações que é realizada em Dados Pessoais ou em conjuntos de Dados Pessoais, seja por meios automatizados, como coleta, gravação, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, divulgação ou de outra forma disponibilização, alinhamento ou combinação, restrição, eliminação ou destruição dos dados.

Anonimização

Desidentificar irreversivelmente dados pessoais de tal forma que a pessoa não pode ser identificada usando tempo, custo e tecnologia razoáveis, seja pelo controlador ou por qualquer outra pessoa para identificar esse indivíduo. Os princípios de processamento de Dados Pessoais não se aplicam a dados anonimizados, pois não são mais Dados Pessoais.

AIPD – Avaliação de Impacto sobre a Proteção de Dados

Definido pela LGPD, também leva o nome de RIPD, ou Relatório de Impacto sobre a Proteção de Dados. É uma documentação do controlador que contém a descrição dos processos de Tratamento de Dados Pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

Privacy21 by Forte