A Lei Geral de Proteção de Dados (Lei Federal nº 23.709/18) (LGPD alteração vigência), aprovada em 2018, é a legislação brasileira que regula as atividades de tratamento de dados pessoais e que também altera os artigos 7º e 16 do Marco Civil da Internet. A LGPD entraria em vigor em agosto deste ano, mas teve sua vigência prorrogada para 2022.
A saber, essa prorrogação se deve à lentidão da adequação por parte das empresas e também “à morosidade na instalação da Autoridade Nacional de Proteção de Dados (ANPD), instituição que será responsável por editar os regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, que servirão de norte para balizar as ações das empresas de adequação à LGPD”.
Objetivos da Lei Geral de Proteção de Dados
Em primeiro lugar, os principais objetivos da Lei Geral de Proteção de Dados são: assegurar o direito e a proteção da privacidade dos dados pessoais dos usuários de serviços (online ou não); estabelecer a transparência no tratamento dos dados; fomentar o desenvolvimento econômico e tecnológico; fortalecer a segurança das relações jurídicas e a confiança do usuário no que diz respeito ao tratamento de dados pessoais.
Esses objetivos devem ser alcançados por meio do estabelecimento de práticas transparentes e seguras. Essas práticas devem ser regidas a partir do desenvolvimento e da aplicação de regras claras, únicas e harmônicas sobre a coleta e o tratamento de dados pessoais. A Lei Geral de Proteção de Dados age sobre toda e qualquer atividade que envolva a utilização de dados pessoais, por pessoa física ou jurídica, em território nacional ou em qualquer país onde o dado esteja localizado.
O que são dados pessoais de acordo com a Lei Geral de Proteção de Dados?
A Lei Geral de Proteção de Dados trata como dado pessoal toda e qualquer informação que torne possível a identificação e/ou a localização de um cidadão vivo. Certamente, nome, idade, telefone, endereço, profissão, fotografia, número de documento, características pessoais, localização de gps e uma série de outras informações que tornem possível a identificação de qualquer pessoa.
Inegavelmente, os Dados Pessoais são categorizados pela LGPD em diferentes níveis e, em cada um deles, deve receber um tratamento específico e uma atenção especial por parte do órgão ou empresa que realiza a coleta. Os dados são classificados em: dados sensíveis, dados pessoais de crianças e adolescentes e dado pessoal anonimizado.
Dados sensíveis são informações que podem ser utilizadas de forma discriminatória e, por isso, demandam uma proteção especial. A Lei Geral de Proteção de Dados define como dados sensíveis aqueles que implicam sobre: origem racial ou étnica; convicção religiosa; opinião política; filiação a sindicato ou a organização de caráter religioso; filosófico ou político; dado referente à saúde ou à vida sexual; dado genético ou biométrico quando vinculado a uma pessoa natural.
Artigo 14 – LGPD
O tratamento relacionado aos dados pessoais de crianças e adolescentes deve ser realizado com o consentimento específico por pelo menos um dos pais ou pelo responsável legal (art. 14, §1º). O controlador, responsável pela manutenção dos dados, é quem deve realizar todos os esforços razoáveis para verificar que o consentimento a que se refere o § 1º deste artigo foi dado pelo responsável pela criança, consideradas as tecnologias disponíveis (art. 14, §5º).
Assim sendo, o dado pessoal anonimizado é todo dado que não possibilite a identificação do titular. Desta forma, estariam fora do escopo de aplicação da Lei Geral de Proteção de Dados. Abre-se uma exceção quando o processo de anonimização puder ser revertido ou se estes forem utilizados na formação de perfis comportamentais. Dados efetivamente anonimizados são essenciais para o funcionamento de tecnologias no campo da Internet das Coisas, inteligência artificial, machine learning, smart cities e análise de grandes contextos comportamentais.
Pontos principais da Lei Geral de Proteção de Dados
Principalmente, no que diz respeito à coleta dos dados pessoais, o titular dos mesmos deve ter total ciência da ação e consentir sobre a mesma. É indispensável que eles sejam informados sobre quais dados estão sendo coletados e para qual uso eles serão destinados. Além disso o titular tem o direito de acessar seus dados a qualquer momento, alterá-los e até mesmo revogar o acesso e o direito de tratamento.
A empresa ou órgão que lida com a coleta e o tratamento de dados pessoais deve manter em sua equipe agentes controladores e operadores de dados. Ambos são agentes de tratamentos e devem documentar cada passo de suas ações, a fim de resguardar um trabalho realizado de forma legítima e em dia com a LGPD. Essa documentação é ainda mais importante quando o tratamento é baseado em interesse legítimo como trata o artigo 37 da lei.
Operador de Dados
O operador é aquele que realiza o tratamento de dados de acordo com as instruções fornecidas pelo controlador (art. 39). O controlador é responsável por indicar o encarregado (DPO – Data Protection Officer) pelo tratamento de dados pessoais (art. 41). Conforme inovação trazida pela redação da Medida Provisória n.º 869/2018, o Data Protection Officer pode ser pessoa física ou jurídica (nacional ou internacional).
O encarregado pelo tratamento dos dados deve ter sua identidade e informações para contato sempre públicas e de fácil acesso para o titular dos dados. A pessoa responsável por realizar o tratamento dos dados está sujeita a receber reclamações e comunicações por parte do titular e, por isso, tem o dever de prestar esclarecimentos e adotar as providências cabíveis.
Lei Geral de Proteção de Dados: como adequar sua empresa?
Com toda a certeza, o primeiro passo, e o mais importante, para se adequar aos princípios da Lei Geral de Proteção de Dados é a realização de uma imersão com toda a equipe. É necessário que todos entendam do que se trata a lei e a importância do tratamento dos dados pessoais. Lidar com informações requer muita responsabilidade, principalmente quando essas informações dizem respeito à vida pessoal de terceiros. A não adequação pode causar danos irreparáveis à imagem da empresa.Mapeie todo o processo de coleta, armazenamento e tratamento dos dados e identifique os pontos que devem receber maior atenção e modificações. Nomeie os agentes de tratamento dos dados e alinhe a empresa toda aos novos processos. Ter uma equipe alinhada, e de acordo com toda a parte teórica da lei, torna muito mais fácil o processo