O que é a Lei Geral de Proteção de Dados?
A LGPD é uma lei brasileira criada para regulamentar e padronizar o tratamento de dados pessoais por parte das empresas. A lei se aplica a qualquer empresa localizada em território nacional e que realiza coleta, armazenamento e todo tipo de manipulação de dados pessoais.
Todo dado somente pode ser coletado e tratado mediante consentimento do titular. A lei se aplica tanto no cenário online quanto no offline.
Principais objetivos da LGPD
A Lei Geral de Proteção de Dados tem o objetivo de assegurar o direito à privacidade e à proteção de dados pessoais dos usuários, por meio de práticas transparentes e seguras, garantindo direitos fundamentais do cidadão.
O estabelecimento de regras claras, únicas e harmônicas sobre tratamento de dados pessoais tende a fomentar o desenvolvimento econômico e tecnológico, além de fortalecer a segurança das relações jurídicas e a confiança do titular no tratamento de dados pessoais. Isso garante a livre iniciativa, a livre concorrência e a defesa das relações comerciais e de consumo.
O que são dados pessoais?
A Lei Geral de Proteção de Dados classifica como dado pessoal qualquer tipo de informação que, isolada ou combinada, seja capaz de identificar um cidadão vivo.
Nome, endereço residencial, idade, número de telefone, dados bancários, profissão, endereço de trabalho, número de documento, endereço de e-mail, endereço de IP, cookies de navegação, localização por GPS, histórico de navegação, fotos, preferências de consumo e outras informações.
A lei ainda possui três classificações que distinguem as formas de tratamento dos dados quando eles são: públicos, sensíveis e anonimizados. Para entender melhor você pode ler nosso texto sobre as exceções da LGPD.
Existe também um artigo da lei que trata especialmente dos dados pessoais de crianças e adolescentes. Estes somente podem ser coletados e tratados mediante consentimento específico por pelo menos um dos pais ou pelo responsável legal. O controlador de dados deve realizar todos os esforços razoáveis para verificar que o consentimento foi dado pelo responsável legal da criança, consideradas as tecnologias disponíveis.
Os principais direitos dos cidadãos titulares de dados
- Confirmar a existência de tratamento de seus dados pessoais;
- Acessar seus dados pessoais;
- Corrigir dados pessoais incompletos, inexatos ou desatualizados;
- Anonimização, bloqueio ou eliminação de dados pessoais desnecessários, excessivos ou tratados em desconformidade com a LGPD;
- Portabilidade de dados pessoais a outro fornecedor de produto ou serviço.
- Eliminação de dados tratados com o seu consentimento;
- Obtenção de informações sobre as entidades públicas e privadas com as quais o controlador realizou o compartilhamento de dados pessoais;
- Obtenção de informações sobre a possibilidade de não consentir com o tratamento de dados pessoais e sobre as consequências da negativa;
- Revogação do consentimento dado para o tratamento de dados pessoais;
- Portabilidade dos dados (artigo 18, V), que, similar ao o que pode ser feito entre diferentes empresas de telefonia e bancos, permite ao titular não só requisitar uma cópia da integralidade dos seus dados, mas também que estes sejam fornecidos em um formato interoperável, que facilite a transferência destes para outros serviços, mesmo para concorrentes. Devido a sua natureza, este novo direito tem sido encarado como um forte elemento de competição entre diferentes empresas que oferecem serviços similares baseados no uso de dados pessoais.
O que as empresas devem fazer para estar em dia com a lei – LGPD
Due Diligence sobre dados pessoais
Identificação e classificação: dos dados, departamentos, meios (físico ou digital), operadores internos e externos para mensuração de exposição da empresa à LGPD.
Auditoria sobre o Tratamento
Aderência das 20 atividades de tratamento de dados (coleta, controle, eliminação, etc.) aos princípios gerais previstos no Art. 6º da LGPD, mediante revisão e criação de documentos (contratos, termos, políticas) para uso interno e externo.
Gestão do Consentimento e Anonimização
Controle do consentimento e anonimização para atender possível solicitação do titular e da futura agência.
Gestão dos Pedidos do Titular
Criação de banco de dados para controle dos pedidos dos titulares dos dados (acesso, confirmação, anonimização, consentimento, portabilidade etc.).
Relatório de Impacto
Atendimento à ANPD e demais órgãos do Sistema Nacional de Proteção do Consumidor que poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais.
Segurança dos Dados
Adoção das medidas de segurança da informação aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas.
Governança do Tratamento
Criação de regras de boas práticas e de governança que estabeleçam procedimentos, normas de segurança, ações educativas e mitigação de riscos no tratamento de dados pessoais.
Plano de Comunicação – Incidente de Segurança
Comunicação aos órgãos fiscalizatórios (ANPD, Procon, Senacon) e à imprensa sobre incidente de segurança que acarrete risco ou danos.
Validação do término do tratamento
Adoção das providências necessárias à eliminação dos dados tratados e verificação de eventual conservação dos dados com a elaboração de documentos que evidenciem a eliminação.
Certificação
Certificação por auditoria especializada das práticas relacionadas à LGPD.
Data Protection Officer (Encarregado)
Identificação do encarregado (Pessoa Física ou Jurídica) e sua capacitação para exercer as atividades previstas na LGPD.
Prevenção de Conflitos
Inclusão de uma cláusula compromissória de mediação vinculada à câmara privada online cadastrada no CNJ para mitigação do contencioso judicial