Tudo o que você precisa saber sobre a nova Lei Geral de Proteção de Dados (LGPD)
Entenda o que é a LGPD
A Lei nº 13.709, publicada em 15 de agosto de 2018 – Lei Geral de Proteção de Dados, foi inspirada no modelo de regulação europeu de proteção de dados (GDPR). O seu principal objetivo é de proteger a privacidade, a liberdade de expressão e preservar os dados pessoais, uma vez que a sociedade está se tornando, cada vez mais, digital e movida por dados.
A lei contempla os pilares de coleta, tratamento e armazenamento dos dados pessoais, em que é preciso ser informado, de maneira clara, o motivo pelo qual as informações estão sendo coletadas, como serão utilizadas e a maneira com que serão armazenadas.
Para o tratamento dos dados, a lei criou duas figuras que atuam como agentes: o controlador e o encarregado. Nós veremos as definições de cada atuação mais para frente neste artigo.
As mudanças estão impactando significativamente diversos setores da economia, por exigir modificações rápidas na forma como empresas lidam com os dados existentes de seus clientes e parceiros.
Mas devemos tratar essa novidade como algo positivo, que veio para proteger informações sensíveis, em meio a tantos compartilhamentos de dados existentes no meio digital. Um outro ponto positivo é a transparência com que os negócios tratarão essas informações com os seus consumidores e usuários.
Definições da LGPD:
Dado pessoal – informações relacionadas a pessoas físicas.
Dados pessoais sensíveis – informações sobre raça/etnia, religião, política, saúde, entre outras.
Titular– pessoa a que se referem os dados pessoais a serem tratados.
Anonimização – utilização dos meios técnicos disponíveis no momento de tratamento dos dados.
Consentimento – quando a pessoa em questão autoriza o tratamento de seus dados pessoais para um objetivo determinado.
Controlador – pessoa ou empresa que tem a responsabilidade das decisões sobre o tratamento dos dados pessoais. Este mesmo controlador deve indicar um encarregado, que ficará responsável por atender a todas as demandas que possam surgir referentes ao tratamento dos dados, como reclamações, comunicações de autoridades, orientação de funcionários, entre outras funções.
Operador – pessoa ou empresa a quem compete a realização e processamento do tratamento desses dados, de acordo com as instruções e o propósito do controlador.
Encarregado – pessoa ou empresa que vai atuar como canal de comunicação entre o controlador, autoridades nacionais e o titular dos dados.
Tratamento – as maneiras, técnicas, comunicações e difusões pelas quais os dados serão utilizados com autorizações específicas.
Transferência internacional de dados – toda a transferência de informações do Brasil para outro país estrangeiro.
Relatório de impacto à proteção de dados – é o documento do controlador que contém a descrição dos processos de tratamento de dados.
Autoridade Nacional – órgão responsável por administrar e fiscalizar o cumprimento da lei.
Os princípios da LGPD
A lei apresenta 11 princípios. Abaixo você encontra cada um deles com uma breve descrição:
Boa-fé – o dever de comportamento leal entre as partes envolvidas.
Finalidade – a realização do tratamento dos dados para um fim específico, que foi informado ao titular.
Adequação – a compatibilidade do tratamento com as finalidades que foram informadas ao titular.
Necessidade – limitação do tratamento dos dados apenas necessários para o fim específico, já acordado entre as partes.
Livre acesso – o direito do titular de consultar gratuitamente o tratamento desses dados, como por exemplo, a duração do mesmo.
Qualidade dos dados – o direito do titular em acompanhar a atualização dos dados, cumprimento e a sua finalidade.
Transparência – a garantia de acesso ao titular sobre o tratamento dos dados, como a sua finalidade, respeitando os segredos comercial e industrial necessários.
Segurança – a garantia de técnicas de segurança para proteger os dados pessoais de acessos não autorizados, situações acidentais e perda.
Prevenção – medidas que previnem danos em virtude do tratamento dos dados pessoais.
Não discriminação – a impossibilidade de tratar os dados para fins discriminatórios, ilícitos ou abusivos.
Responsabilização e prestação de contas – o agente deve comprovar que é capaz de cumprir as normas de proteção de dados pessoais e a eficácia dessas medidas de proteção.
Após descrever as definições, princípios e passar o significado geral da nova lei, vamos apresentar alguns pontos importantes de como a LGPD muda a rotina de empresas e pessoas. Confira a seguir!
Agentes de tratamento
Uma das novidades da Lei Geral de Proteção de Dados (LGPD), foi a criação dos chamados agentes responsáveis pelo tratamento das informações. São eles: Controlador e Operador.
A definição sobre o que é um controlador ou um operador estão presentes no artigo 5º da lei 13.709/2018, a LGPD:
VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Bases legais para tratamento de dados
A LGPD prevê dez bases legais que autorizam o tratamento de dados pessoais. As bases legais não têm dependência ou predominância entre si. Para todo caso de tratamento de dados, a empresa é responsável por definir qual é a base legal mais apropriada.
São elas:
– Consentimento
– Cumprimento de Ordem Legal
– Execução de Políticas Públicas
– Estudo por Órgão de Pesquisa
– Execução do Contrato/ Diligências Pré-Contratuais
– Exercício Regular de Direitos
– Proteção da Vida
– Tutela da Saúde
– Interesse Legítimo do Controlador/Terceiro
– Proteção ao Crédito
O que muda com a lei e quais são as exceções
Para a LGPD o tratamento de dados pessoais é toda e qualquer operação de captura, coleta, recepção, classificação, utilização, processamento, armazenamento, avaliação, transferência e exclusão dessas informações.
As empresas devem ser transparentes ao solicitar dados pessoais, informando como serão coletados, por que serão coletados, como e por quanto tempo serão armazenados.
Outro ponto importante é que quando for de legítimo interesse da pessoa, as empresas poderão fazer o tratamento dos dados, desde que mantenham a transparência citada acima. Como por exemplo: envios de e-mail marketing com informações de legítimo interesse para a execução profissional do titular dos dados.
Com a lei, os dados somente poderão ser tratados:
- Se o titular consentir a coleta e utilização das informações;
- Para cumprimento de obrigações legais, pela administração pública e tratamento necessário a políticas públicas;
- Realização de estudos por órgãos de pesquisa, com a garantia de utilização de meios técnicos para o tratamento;
- Quando forem necessários para execução de contratos;
- Direitos em processo judicial, proteção da vida, tutela de saúde, proteção de crédito e interesses legítimos do controlador ou de terceiros.
Para dados sensíveis como de raça/etnia, opção sexual, religião e política, a lei é ainda mais rígida, com o intuito de manter seguras essas informações do titular para que não sejam utilizadas de maneira preconceituosa ou que restrinjam o acesso dessas pessoas a serviços e produtos. Esta regra leva algumas exceções, como para fins de segurança à vida, estudos ou de segurança pública.
Casos em que a lei não será aplicada:
- O tratamento dos dados feito por uma pessoa natural para fins particulares e não econômicos;
- Para fins jornalísticos, artísticos ou acadêmicos;
- Para segurança pública: defesa nacional, segurança do Estado ou investigação;
- Tratamentos de fora do território nacional, desde que determinado país proporcione grau de proteção adequados aos da LGPD.
Como isso impacta o dia a dia das empresas e pessoas?
Para que as empresas estejam de acordo com todas as normas da LGPD é preciso a contratação de consultoria técnica e jurídica para avaliação dos sistemas em funcionamento e também para que todas as modificações sejam realizadas e entrem em funcionamento. Essa ajuda técnica vai também ser muito importante para mensurar os possíveis impactos que a lei pode trazer nos negócios e como a empresa pode agir rapidamente para prevenir grandes perdas e identificar novas oportunidades.
As empresas deverão ser mais transparentes ao solicitar dados pessoais, como são coletados, armazenados e por quanto tempo serão utilizados. Então, quando a finalidade do consentimento dos dados for concluída, para a lei, os dados não são mais necessários, então o tratamento deve ser encerrado. A lei prevê também essa finalização se o titular pedir a exclusão das informações e retirar o seu consentimento, a qualquer momento.
Outros motivos que também podem causar o encerramento são: por determinação da autoridade nacional se a lei for violada, cumprimento de obrigação legal ou regulatória, encerramento de estudos ou transferências a terceiros por meio de portabilidade consentida pelo titular das informações.
Além disso, as empresas devem tratar apenas dados necessários para suas operações e são vetadas a armazenar informações que não sirvam para uma necessidade específica. Outro ponto de atenção é que as empresas precisam também reforçar as medidas de segurança para proteger todas as informações contra vazamentos ou quaisquer outros tipos de violação desses dados pessoais.
Para fins profissionais, as organizações poderão continuar a tratar as informações, respeitando sempre o legítimo interesse do titular em ser contatado, com o objetivo de aprimorar as suas atividades comerciais e de execução das suas atividades de trabalho.
Outro ponto que a lei prevê é a nomeação de um Data Protection Officer (DPO), que é o agente que mencionamos acima. Este profissional é o responsável por garantir que todas as normas estão sendo cumpridas dentro das organizações.
Para as pessoas:
Os titulares das informações terão mais transparência sobre a utilização das suas informações e também por quanto tempo, além de saber quem é o responsável por esse tratamento e como pode pedir para os dados serem excluídos, a qualquer momento.
Eles também poderão confirmar a existência do tratamento dos dados, ter acesso a eles, solicitar correções, informações sobre entidades públicas e privadas que fazem uso das informações e ter a opção de não consentir o tratamento.
Como falamos no começo deste artigo, as pessoas poderão ter mais controle sobre as suas informações, principalmente na realidade virtual em que vivemos hoje, com tantos recursos de captação e compartilhamento de dados existentes.
Como a ITB360 atua em meio a LGPD
A ITB360 sempre se preocupou com a segurança e privacidade de dados de nossos colaboradores, clientes e parceiros, portanto, nós já estávamos preparados!
Pelo fato de possuirmos clientes em todos os continentes, as adequações se iniciaram com a lei geral de proteção de dados da União Europeia (GDPR), que entrou em vigor no dia 25 de maio de 2018, portanto antes mesmo disso (meados de 2016) investimos em auditorias, treinamento de nossos profissionais e tecnologia para segurança da informação.
Essas mudanças e precauções também contribuíram para o direcionamento da ITB360 em concentrar seus esforços e obter maior profundidade em dados B2B, criar variáveis proprietárias e prover mais inteligência para nossos clientes e para a sociedade.
As fontes de dados capturadas por nossa plataforma