LGPD o que é a Lei Geral de Proteção de Dados?
A Lei Geral de Proteção de Dados Pessoais (LGPD) estipula regras abrangentes, essenciais e necessárias para a coleta, processamento e armazenamento de dados pessoais. Ela foi inspirada na GDPR (General Data Protection Regulation), que entrou em vigor na Europa em 2018, com enorme influência para empresas e pessoas.
A LGPD no Brasil (Lei n.º 13.709, de 14/8/2018) entrou em vigor em 18 de setembro de 2020. Este é um passo significativo para o Brasil, como um país que possui leis de proteção de dados vigentes. Os novos regulamentos garantem a privacidade dos cidadãos brasileiros, assim como impedem restrições comerciais com outros países.
Tabela de conteúdos
- Por que precisamos da LGPD e porque que é importante?
- Como a LGPD muda as relações entre empresas e os consumidores?
- Quem fiscaliza o cumprimento da LGPD?
- Quem é quem na LGPD?
- Toda empresa precisa de um Encarregado de Proteção de Dados?
- O que você deve fazer para se preparar para o cumprimento da LGPD?
- Como posso obter mais informações sobre a LGPD?
Por que precisamos da LGPD e porque que é importante?
A LGPD foi criada para proteger a privacidade e os dados pessoais dos usuários através de práticas transparentes.
Ela também garante direitos fundamentais, pois é composta de regras claras sobre como utilizar dados pessoais pelas empresas sem que ocorram excessos.
A LGPD é baseada em vários princípios, que são os seguintes:
· Certificar que o direito das pessoas à privacidade e proteção de dados pessoais seja protegido através de práticas transparentes e seguras.
· Ter regras claras sobre como os dados pessoais são processados.
· Garantir que as pessoas se sintam confiantes sobre o processamento de seus dados pessoais, e que as empresas possam operar de forma livre e justa, com maior segurança jurídica em suas operações.
· Promover a concorrência e a livre atividade econômica, incluindo a portabilidade de dados de forma segura e transparente.
Como a LGPD muda as relações entre empresas e os consumidores?
De acordo com o LGPD, as empresas são obrigadas a informar aos titulares sobre suas políticas de proteção e privacidade e obter consentimento explícito antes de coletar ou usar dados pessoais.
Isto fortalece o relacionamento entre empresas e consumidores, já que os consumidores podem estar mais confiantes de que seus dados estão protegidos.
As empresas que violam a LGPD podem enfrentar penalidades severas, portanto, elas têm um forte incentivo para cumprir a lei. Isto deve resultar em maior confiança entre empresas e consumidores, e um ambiente online mais seguro para todos.
Quem fiscaliza o cumprimento da LGPD?
O Brasil tem a Autoridade Nacional de Proteção de Dados Pessoais, a ANPD. Esta instituição é encarregada de regulamentar, orientar preventivamente e fiscalizar o cumprimento da LGPD. Além disso, ela também é responsável em aplicar as sanções da LGPD para empresas que não cumprirem a lei.
As falhas de segurança e uso indevido de dados pessoais por empresas podem gerar multas de até 2% do faturamento anual — limitado a R$ 50 milhões por infração. A autoridade nacional fixará níveis de penalidade segundo a gravidade de cada falha e enviará alertas e orientações antes de aplicar sanções às empresas.
Quem é quem na LGPD?
A Lei Geral de Proteção de Dados Pessoais também prevê a existência dos agentes de tratamento de dados e estipula suas funções, nas empresas, como:
· o controlador, que toma as decisões sobre o tratamento e responsável primário por qualquer infração. Toda empresa é um controlador de dados.
· o operador, que realiza o tratamento, em nome do controlador; Ex: Um escritório de contabilidade (operador) terceirizado de uma empresa (controlador).
· o encarregado de tratamento de dados pessoais (DPO), que interage com os titulares dos dados pessoais e a autoridade nacional. Ele orienta e direciona para a adequação LGPD de um controlador. É desejável que se tenha um profissional com conhecimentos gerais em TI, Direito, Processos Empresariais e Gestão de Projetos.
Segundo as recentes diretrizes da ANPD, o encarregado pode ser:
· um funcionário da empresa
· um agente externo
· pessoa física ou jurídica
Além disso, é recomendável que o encarregado seja indicado por um ato formal, como um contrato de prestação de serviços ou um ato administrativo.
Toda empresa precisa de um Encarregado de Proteção de Dados?
Não. A ANPD determinou recentemente que pequenas empresas, startups, freelancers e organizações sem fins lucrativos não precisam nomear um Oficial de Proteção de Dados (DPO) para cumprir com a LGPD.
Mesmo sem nomear um DPO, você deve ter alguém em sua empresa responsável por monitorar o cumprimento da LGPD. Essa pessoa não precisa ser um DPO formado, mas pode ser chamada de “Líder Digital” ou algo similar.
Não ter a obrigatoriedade de um DPO não é desculpa para não conformidade à Lei Geral de Proteção de Dados.
O que você deve fazer para se preparar para o cumprimento da LGPD?
Você primeiramente deve ler a Lei Geral de Proteção de Dados neste endereço: Lei L13709.
Em seguida guardar este post para as definições a seguir:
Glossário LGPD
- Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
- Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
- Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
- Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
- Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
- Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
- Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
- Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
- Agentes de tratamento: o controlador e o operador;
- Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
- Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
- Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
- Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
- Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
- Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
- Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
- Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
- Órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico; e
- Autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.
Direito dos titulares dos dados pessoais
Em seu artigo 18, a LGPD traz os direitos dos titulares de dados pessoais:
· Confirmação da existência de tratamento.
· Acesso aos seus dados.
· Correção de dados incompletos, inexatos ou desatualizados.
· Anonimização, bloqueio ou eliminação de dados tratados em desconformidade com a LGPD.
· Portabilidade dos dados a outro fornecedor de serviço ou produto.
· Eliminação dos dados pessoais tratados com o consentimento do titular
· Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados.
· Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
· Revogação do consentimento.
· Oposição ao tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto na lei.
· Revisão de decisões automatizadas.
Princípios da LGPD
Estes são os princípios que guiam o tratamento de dados pessoais:
· Princípio da boa-fé
· Princípio da finalidade
· Princípio da adequação
· Princípio da necessidade
· Princípio do livre acesso
· Princípio da qualidade dos dados
· Princípio da transparência
· Princípio da segurança
· Princípio da prevenção
· Princípio da não discriminação· Princípio da responsabilização e prestação de contas
Bases legais para o tratamento de dados pessoais
Cada processo de sua empresa que envolve dados pessoais deve ser mapeado e classificado conforme uma base legal a seguir:
· Consentimento do titular dos dados
· Cumprimento de obrigação legal
· Administração Pública
· Estudos por órgão de pesquisa
· Execução de contrato
· Processo Judicial, administrativo ou arbitral
· Proteção da vida
· Tutela da Saúde
· Interesse legítimo
· Proteção de crédito
Como posso obter mais informações sobre a LGPD?
A adequação LGPD envolve revisitar diferentes processos empresariais. Por isso é oportuno a indicação de uma pessoa interna que entenda a forma como a empresa opera para o projeto acontecer de forma mais rápida.
Além disso, a adequação LGPD é um processo contínuo dentro do seu negócio! Se você não tiver um líder digital interno em sua empresa para tratar de questões relacionadas a LGPD você terá que pagar consultorias para sempre.
Por isso estamos aqui para ajudá-lo a encontrar as respostas para todas as suas perguntas sobre a LGPD. Nós queremos encorajar os pequenos empreendedores a começarem a se adequar, no seu tempo e respeitando sua estrutura.
Criamos uma lista de e-mail com todos os passos para a adequação LGPD em pequenas e médias empresas que você pode fazer por conta própria. O primeiro passo é o Plano de Trabalho de adequação LGPD.
1 Comentário