contato@amaralmonteiro.com.br
12 3207 3918

Blog

guia completo sobre a lei geral de protecao de dados

Veja o guia completo sobre a Lei Geral de Proteção de Dados!

Sancionada em agosto de 2018, a Lei 13.709, conhecida como Lei Geral de Proteção de Dados (LGPD), pode ser considerada um marco legal para a proteção de dados pessoais, inclusive nos meios digitais. Essencialmente, ela regulamenta o processo de coleta, armazenamento, uso e transferência das informações de cunho pessoal.

Embora as disposições do referido texto normativo entrem em vigor apenas em agosto de 2020, é fundamental que as instituições, sobretudo as empresas, conheçam as exigências legais e aproveitem esse período para adotarem as medidas necessárias para cumpri-las. Afinal, a inobservância das normas pode causar inúmeros transtornos para a organização.

Pensando nisso, preparamos este guia com tudo o que você precisa saber acerca da Lei Geral de Proteção de Dados (LGPD). Confira!

1. O que é a Lei Geral de Proteção de Dados?

A Lei 13.709/2018 foi inspirada no General Data Protection Regulation (GDPR), texto que regulamenta o uso de dados pessoais na União Europeia. Ambos documentos legais foram editados em resposta às demandas ocasionadas pelas evoluções sociais, sobretudo o intenso uso de meios digitais para armazenamento de informações e a popularização das redes sociais.

Os ciberataques (ataques de hackers) e os inúmeros escândalos envolvendo a divulgação de dados de usuários de redes sociais, como o Facebook, colocaram em evidência a necessidade de os países regulamentarem a utilização das informações pessoais dos indivíduos, principalmente para preservar o direito à privacidade e à intimidade.

Nesse cenário, no Brasil foi promulgada a Lei Geral de Proteção de Dados (LGPD). Ela disciplina a utilização das informações pessoais de cada indivíduo por pessoas naturais (físicas) e jurídicas, sejam instituições públicas ou privadas.

Seu objetivo é resguardar o direito à autodeterminação informativa, à privacidade, à intimidade e à liberdade de expressão. Além disso, ela busca preservar a livre iniciativa, a ampla concorrência e o desenvolvimento econômico e tecnológico.

Vale lembrar que, para garantir a eficácia de suas disposições, a LGPD estabelece punições para aqueles que violarem seus preceitos e utilizarem as informações pessoais de terceiros de forma indevida. Por isso, é extremamente importante que as instituições conheçam as exigências legais e adotem as medidas necessárias para cumpri-las devidamente. Confira a seguir o que estabelece a LGPD!

2. Como funciona a Lei Geral de Proteção de Dados?

Como você viu, a Lei 13.709/2018 regulamenta o tratamento de dados pessoais. Para fins de aplicação de suas disposições, entende-se por tratamento de dados qualquer operação que envolva a armazenagem e manuseio de informações pessoais de terceiros.

Cabe lembrar que a LGPD entrará em vigor em agosto de 2020. A partir dessa data, suas normas deverão ser observadas por todas as instituições que fazem tratamento de dados, independentemente do porte e segmento econômico, salvo se o tratamento de informações for realizado para fins:

  • exclusivamente jornalísticos e artísticos;
  • exclusivamente acadêmicos (neste caso, aplicam-se apenas as disposições contidas no artigo 7º e 11º da lei);
  • de segurança pública;
  • de defesa nacional;
  • de segurança do Estado;
  • de atividades de investigação criminal.

Ressalvadas as hipóteses acima, a lei deve ser observada em todas as atividades de armazenagem, manuseio e transferência de informações pessoais de terceiros realizadas em todo o território nacional, bem como fora do território brasileiro, quando:

  • elas tiverem por objeto a oferta de serviços ou produtos aos consumidores brasileiros;
  • as informações tiverem sido coletados em território brasileiro;
  • os dados sejam relativos a indivíduos que estejam no território nacional.

Por fim, calha salientar que as normas decorrentes da Lei Geral de Proteção de Dados Pessoais são aplicáveis à coleta, armazenamento, manuseio e transferência de dados em qualquer meio, ou seja, elas são válidas até mesmo nos casos em que as operações são realizadas fora da internet ou de dispositivos digitais.

Agora que você já sabe quais as hipóteses de aplicação da Lei 13.709/18, continue a leitura e descubra quais são os pilares da lei e o que ela determina!

3. Quais são os pilares da LGPD?

Para compreender as exigências normativas, é fundamental conhecer os pilares, ou seja, os princípios da Lei Geral de Proteção de Dados. Afinal, além de terem orientado a atividade legislativa, eles nortearão a aplicação das normas. Veja quais são:

Boa-fé objetiva

Pode ser compreendida como o dever de as partes agirem com lisura, lealdade.

Finalidade

Determina que o tratamento de dados pessoais e sensíveis seja realizado com propósitos específicos, legítimos e explícitos, sendo vedados tratamentos que deles destoam.

Adequação

Consiste na compatibilidade das operações de tratamento com os propósitos previamente informados ao titular dos dados.

Necessidade

Determina que o tratamento de dados seja restrito ao mínimo necessário para a consecução das finalidades almejadas.

Livre acesso

Estabelece que os titulares devem ter acesso facilitado e gratuito sobre a integralidade de seus dados pessoais, bem com o sobre a duração e forma do tratamento.

Qualidade dos dados

Consiste na garantia de que os titulares terão direito à clareza, exatidão e atualização de seus dados, com base nas suas necessidades e para assegurar o cumprimento da finalidade do tratamento.

Transparência

Estabelece que os titulares terão acesso facilitado a informações claras e precisas acerca do tratamento, bem como sobre os agentes que o realizam, resguardados os segredos industrial e comercial.

Segurança

Consiste na obrigatoriedade de os agentes de tratamento adotarem medidas técnicas e administrativas aptas a garantir a proteção de dados contra acessos não autorizados, perdas, alterações e destruições.

Prevenção

Determina a adoção de medidas para prevenir a ocorrência de danos em decorrência do tratamento de dados.

Não discriminação

Proíbe a utilização de tratamentos de dados para fins ilícitos, discriminatórios ou abusivos.

Responsabilização e prestação de contas

Estabelece que cabe aos agentes de tratamento prestar contas acerca das operações realizadas e da adoção das medidas necessárias para garantir o cumprimento das exigências legais, sobretudo das relativas à segurança dos dados.

4. O que determina a Lei Geral de Proteção de Dados?

Antes de entender as determinações legais e o seu âmbito de incidência, você precisa conhecer algumas definições importantes trazidos pela LGPD. São elas:

  • dado pessoal — qualquer informação pessoal relacionada a pessoas físicas, identificada ou identificável, por exemplo, nome, número de RG e CPF, endereço etc.;
  • dado pessoal sensível — qualquer informação relacionada à origem étnica ou racial, opinião política, crença religiosa, filiação a organização de caráter político, religioso ou filosófico, filiação a instituição de natureza sindical, bem como às informações relativas à saúde, vida sexual e dados biométricos ou genéticos;
  • dados anonimizados — são todas as informações relativas à pessoa que não seja passível de identificação por meio da utilização do meios de técnicos disponíveis no momento do tratamento de dados;
  • controlador — pessoa jurídica (seja de direito público, seja de direito privado) ou física que tem competência para tomar as decisões relativas ao tratamento de dados pessoais dos indivíduos;
  • operador — é a pessoa natural (física) ou jurídica (seja de direito público, seja de direito privado) que realiza as operações de tratamento de dado em nome do controlador;
  • encarregado — é a pessoa natural (física) que atua no canal de comunicação entre os titulares dos dados, controlador e autoridade pública. Dentre outras funções, cabe a ele registrar reclamações, prestar esclarecimentos e orientar os demais funcionários;
  • agentes de tratamento — são os operadores e controladores;
  • tratamento — toda atividade realizada com dados pessoais, tais como a coleta, recepção, produção, classificação, acesso, utilização, reprodução, transferência, distribuição, armazenamento, arquivamento, processamento, distribuição, controle, avaliação e modificação da informação;
  • anonimização — consiste na utilização dos recursos técnicos disponíveis no momento do tratamento para que que os dados deixem de ser passíveis de associação ao seu titular.

Agora que você já conhece os conceitos, confira o que determina a LGPD!

4.1. Tratamento de dados pessoais

A LGPD traz um rol taxativo para o tratamento de dados pessoais. Desse modo, só podem ser realizadas operações com informações pessoais de terceiros nas hipóteses expressamente previstas na lei. São elas:

  • quando houver o consentimento expresso do titular das informações — vale ressaltar que o consentimento é toda manifestação de vontade livre, inequívoca e escrita, na qual o titular autoriza o tratamento de seus dados pessoais para uma finalidade específica;
  • quando for necessário para a proteção da incolumidade física ou da vida do titular dos dados ou de terceiros;
  • quando o tratamento de dados for necessário para que o controlador consiga cumprir obrigação legal ou regulatória;
  • se for realizado pela Administração Pública para a execução de políticas públicas expressamente previstas em leis, regulamentos, contratos e convênios;
  • para o exercício regular de direito, seja em processos judiciais, administrativos ou arbitrais (neste último caso, nos termos da Lei de Arbitragem);
  • quando o tratamento de dados se destinar à realização de estudos por órgãos de pesquisas, hipótese em que, sempre que possível, deverá ser garantida a anonimização;
  • quando for necessário para a execução de contratos ou de procedimentos preliminares contratuais do quais o titular dos dados seja parte;
  • em procedimento realizados por profissionais da área da saúde ou instituições sanitárias, para a tutela do direito à saúde;
  • quando o tratamento for necessário para o atendimento de interesses legítimos de terceiro ou do controlador de dados, salvo nos casos em que prevalecem direitos fundamentais do titular das informações;
  • para a proteção de crédito.

É importante lembrar que, se não estiver presente nenhuma das hipóteses mencionadas acima, não poderá haver tratamento de dados pessoais. Além disso, as empresas precisam ficar atentas às especificidades das hipóteses de consentimento e interesse legítimo do controlador de dados ou de terceiros. Confira!

4.1.1. Consentimento do titular

A LGPD determina que o consentimento para o tratamento de dados deverá ser feito de forma escrita, bem como que o instrumento de contrato deve conter cláusula destacada das demais com a especificação da finalidade do tratamento.

Além disso, nos casos em que o controlador precisar comunicar e compartilhar as informações com outros controladores, é imprescindível a obtenção de autorização específica para esse fim junto ao titular dos dados, salvo nos casos em que as informações foram tornadas públicas por seu próprio titular. Cabe lembrar que a autorização pode ser revogada, de forma gratuita e facilitada, a qualquer tempo.

É extremamente importante que o controlador observe as exigências legais para a obtenção do consentimento, uma vez que a inobservância dos procedimentos legais enseja a nulidade do consentimento.

4.1.2. Interesse legítimo do controlador

O tratamento de dados para atender a interesse legítimo do controlador ou de terceiros só será possível se não violar liberdades e direitos fundamentais do titular das informações e desde que sejam adotadas todas as medidas para garantir a transparência no tratamento.

A presença de interesse legítimo sempre será verificada por meio da análise do caso concreto, que deve ser feita com base nos princípios da Lei Geral de Proteção de Dados. A título exemplificativo, a LGPD traz as seguintes hipóteses de finalidades legítimas:

  • promoção e apoio da atividade do controlador;
  • proteção de exercício regular de direito ou prestação de serviços que beneficiem o titular dos dados.

4.2. Tratamento de dados pessoais sensíveis

A Lei 13.709/18 (LGPD) é mais severa no tocante ao tratamento de dados sensíveis, visto que ela restringe as hipóteses em que ele pode ser realizado, bem como exige um consentimento específico para o tratamento dessas informações.

Quando se trata de dados sensíveis, a Lei Geral de Proteção de Dados não admite o tratamento para atender aos interesses legítimos do controlador de dados ou de terceiros, tampouco para proteção de crédito.

No que tange aos dados sensíveis referentes à saúde, é proibida a comunicação ou compartilhamento entre controladores para a obtenção de vantagem econômica, salvo se houver consentimento do titular para a portabilidade. Portanto, a LGPD gerará impactos para a área da saúde.

Ademais, a Lei estabelece que os demais casos em que a comunicação ou compartilhamento de informações pessoais sensíveis entre os controladores tiver como objetivo a obtenção de vantagem econômica poderão ser objeto de vedação ou regulamentação pelo Poder Público.

4.3. Tratamento de dados de crianças e adolescentes

Em razão da especial proteção conferida pela Constituição Federal à criança e ao adolescente, a LGPD estabeleceu que o tratamento de dados dos indivíduos que ainda não completaram 18 anos só poderá ser realizado em observância ao melhor interesse da criança e adolescente, mediante prévia autorização de ao menos um dos pais ou do responsável legal.

A única hipótese em que a Lei dispensa o consentimento expresso é quando a coleta das informações pessoais for necessária para a localização dos pais ou responsável legal. Nesses casos, os dados só poderão ser utilizados para esse fim, sendo vedado seu armazenamento e compartilhamento com terceiros.

4.4. Término do tratamento de dados

Além de disciplinar as hipóteses em que pode ser feita a coleta, a armazenagem, o manuseio e a transferência de informações pessoais de terceiros, a LGPD regulamenta o término do tratamento desses dados. Conforme previsto na legislação, ele ocorrerá sempre que:

  • for verificada que a finalidade do tratamento foi alcançada ou que os dados deixaram de ser úteis para o alcance da finalidade almejada;
  • ocorrer o término do período de tratamento;
  • o titular revogar o consentimento concedido anteriormente, salvo se subsistir relevante interesse público;
  • a autoridade pública determinar o encerramento, em razão da violação das disposições normativas da LGPD.

Quando ocorrer o término do tratamento de dados, as informações pessoais deverão ser eliminadas, ressalvadas as hipóteses em que a lei permite sua conservação, por exemplo, quando elas forem necessárias para o cumprimento de obrigação regulatória ou legal pelo controlador e quando houver o emprego de técnicas de anonimização.

4.5. Obrigações dos agentes de tratamento de dados pessoais

Os agentes de tratamento de dados devem observar e cumprir todas as obrigações estabelecidas na LGPD, uma vez que a violação das disposições normativas pode ocasionar inúmeros transtornos às empresas, tais como advertências, multas e condenações ao ressarcimento de eventuais danos causados a terceiros. Confira a seguir o quais são as obrigações legais!

4.5.1. Obrigações do controlador e do operador

Conforme disposto na LGPD, cabe ao controlador tomar as decisões acerca do tratamento de dados, bem como zelar pela conservação das informações e pela observância das exigências legais. Confira algumas delas:

  • manter registro das atividades de tratamento de dados, sobretudo quando pautadas em legítimo interesse;
  • quando necessário, comprovar que o consentimento do titular foi obtido em estrita observância aos procedimentos legais;
  • sempre que solicitado pela autoridade nacional, elaborar o relatório de impacto à proteção de dados (pessoais e sensíveis) referente às suas atividades de tratamento;
  • indicar encarregado para o tratamento de dados pessoais;
  • fornecer informações acerca do tratamento (tais como origem dos dados, inexistência de registro, finalidade do tratamento) ao titular dos dados, no prazo de 15 dias, contados do requerimento;
  • adotar medidas de segurança para garantir a proteção dos dados pessoais tratados contra violações (destruição, modificação, perda etc.) e acessos não autorizados;
  • comunicar à autoridade nacional e ao titular dos dados a ocorrência de eventuais infortúnios envolvendo a segurança da informação que ocasionem risco de dano relevante aos seus titulares;
  • zelar para que os sistemas utilizados para o tratamento de dados sejam estruturados de forma a garantir a segurança da informação;
  • reparar eventuais danos causados a outrem pela atividade de tratamento de dados.

Como você pode perceber, grande parte das obrigações estão relacionadas à segurança da informação. Por isso, é extremamente importante que as instituições que realizem tratamento de dados estejam preparadas para atender às exigências normativas.

5. Como garantir a proteção das informações da empresa?

Apesar de a Lei 13.709/18 ainda não ter entrado em vigor, é fundamental que as empresas aproveitem esse período de vacatio legis para implementar as medidas necessárias ao atendimento das exigências legais. Confira a seguir como as empresas devem se preparar!

5.1 Informar os funcionários

Para atender às disposições da LGPD, é indispensável que todos os colaboradores que desempenham atividades de tratamento de dados tenham conhecimento acerca das disposições normativas, em especial sobre os direitos dos titulares das informações e das obrigações dos agentes de tratamento (controladores e operadores).

Por isso, a empresa deve escolher o encarregado com cautela e orientá-lo a instruir os demais funcionários, informando-os acerca das exigências legais e das políticas internas da empresa, bem como capacitando-os para a realização das operações de tratamento de dados pessoais com segurança.

5.2 Utilizar softwares para guardar informações

Outra boa prática para garantir a segurança dos dados pessoais é a utilização de softwares para armazenagem das informações. Atualmente, existem diversos sistemas disponíveis no mercado. A escolha deve ser feita com base nas necessidades da empresa e, claro, nas características do software, sobretudo na segurança que ele oferece.

Vale lembrar que também é indispensável realizar as atualizações do sistema escolhido. Afinal, com o passar do tempo, ele é aprimorado e suas medidas de segurança são aperfeiçoadas.

Além disso, as empresas devem fazer backups (cópias de segurança) dos arquivos, principalmente dos consentimentos dos titulares dos dados (quando for o caso) e dos documentos que comprovam o interesse legítimo do controlador ou de terceiro (claro, se for esta a hipótese autorizadora do tratamento).

5.3 Adotar políticas de segurança interna

Criar políticas internas de segurança, delimitando os procedimentos que devem ser observados na realização de operações com dados pessoais e sensíveis, também é uma ótima forma de garantir a proteção das informações de terceiro e o atendimento das exigências normativas.

Ter objetivos e metas de segurança bem delimitadas é importante, pois isso direcionará a tomada de decisões, em particular a escolha de quais medidas podem e devem ser implementadas para garantir a proteção de dados.

Ademais, investir em ferramentas de cibersegurança e estabelecer mecanismos como controle de acessos e criptografia também contribui significativamente para a segurança dos dados. Afinal, essas medidas garantem que apenas pessoas autorizadas tenham acesso às informações.

Vale ressaltar que, além de a LGPD estabelecer punições para os agentes de tratamento que desrespeitam suas disposições normativas, eventuais falhas na segurança e violações de dados pessoais e sensíveis podem afetar a imagem da empresa no mercado. Por isso, é fundamental que as instituições que realizam tratamento de dados estejam atentas às mudanças e adotem as medidas necessárias para garantir o cumprimento das exigências da Lei Geral de Proteção de Dados.

Gostou do post? Compartilhe o conhecimento com seus amigos nas redes sociais!

Powered by Rock Convert
× WhatsApp