A Lei Geral de Proteção de Dados Pessoais – LGPD (Lei nº 13.709, de 14 de agosto de 2018) tem como propósito zelar pela proteção dos dados pessoais dos cidadãos. Essa lei foi alterada pela Medida Provisória nº 869, de 27 de dezembro de 2018, que inclusive criou a Autoridade Nacional de Proteção de Dados – ANPD.

Assim como a General Data Protection Regulation (GDPR) da União Europeia, a LGPD estabelece definições a respeito de dados pessoais, dados pessoais sensíveis, controle, processamento, consentimento e anonimização.

Aplicação da LGPD?

Aplica-se a todas as pessoas físicas e jurídicas, de direito público ou privado, que realizem tratamento de dados pessoais em meio analógico ou digital, sempre que o tratamento de dados for realizado no território brasileiro ou se a atividade envolver oferecimento de produtos ou serviços a pessoas que se encontrem em território nacional.

EXISTEM 4 SEGMENTAÇõES DE DAdOS NA LGPD

Dados Pessoais

Dados Sensíveis

Dados Anonimizados

Dados Pseudonimizados

Tipos de dados

Vamos explicar um por um para você compreender melhor:

Dados pessoais são compostos de quaisquer informações que identifiquem uma pessoa física ou que possam levar à sua identificação. Há dois tipos de dados pessoais:

Direto: Nome, CPF, RG, Matrícula, Título de eleitor, Foto.
Indireto: Hábitos de consumo, Profissão, Sexo, Idade, entre outros.

Importante reforçar que os dados pessoais tornados públicos continuam sendo tutelados pela lei.

Dados pessoais sensíveis são formados por dados classificados por origem racial ou étnica, saúde, vida sexual, genética, biometria, religião, opinião política e cor da pele, por exemplo.

Anonimizados são os dados nos quais o titular não pode ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.

Pseudonimizados são dados pessoais que, por meio de tratamento, perdem a possibilidade de serem associados de maneira direta ou indireta a um indivíduo. Nesse caso, o controlador pode localizar a pessoa, usando informação adicional que era mantida separadamente.

O que é tratamento de dados pessoais

TRATAMENTo É TODA oPERAÇÃO REALIZADA CoM DADOS PeSSOAIS QUE ENVOLVA:

Coleta

Recepção

Utilização

Reprodução

Distribuição

Arquivamento

Produção

Classificação

Acesso

Transmissão

Processamento

Armazenamento

Eliminação

Avaliação

Modificação

Comunicação

Transferência

Difusão ou Extração

Bases legais

Uma informação de suma relevância para o conhecimento de todos nós é que a lei somente permite o tratamento de dados pessoais quando associado a uma base legal. As bases legais são condições determinadas pela LGPD para que seja possível fazer a coleta e o tratamento dos dados pessoais, sendo diferentes para dados pessoais e dados pessoais sensíveis. Veja abaixo quais são essas bases legais e o que cada uma delas contempla.

Base legal para dados pessoais

Consentimento;
Cumprimento de obrigação legal ou regulatória;
Execução de políticas públicas pela Administração Pública;
Realização de estudos por órgãos de pesquisas;
Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;
Proteção da vida ou da incolumidade física do titular ou de terceiros;
Tutela da saúde;
Interesse legítimo do controlador ou de terceiros;
Proteção de crédito;
Para execução de contratos e procedimentos preliminares a eles relacionados.

Base legal para dados pessoais sensíveis

Consentimento;
Cumprimento de obrigação legal ou regulatória;
Execução de políticas públicas pela Administração Pública;
Realização de estudos por órgãos de pesquisas;
Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;
Proteção da vida ou da incolumidade física do titular ou de terceiros;
Tutela da saúde;
Garantia da prevenção à fraude e da segurança do titular.

PRINCÍPIoS PARA O TRATAmENTO DE DAdOS

Finalidade

Propósitos legítimos, específicos, explícitos e informados. Deve ser de conhecimento do titular antes de qualquer fase do tratamento.

Adequação

Tratamento apenas de dados compatíveis com as finalidades informadas ao titular.

Necessidade

Utilização apenas de dados estritamente necessários.

Livre acesso

Acesso fácil ao tratamento e à integralidade dos dados.

Qualidade dos dados

Dados exatos, claros e fiéis à realidade.

Transparência

Informações claras e precisas aos titulares.

Segurança

Uso de medidas técnicas e administrativas aptas a proteger os dados pessoais de extravios, destruições, modificações, transmissões ou acessos não permitidos.

Prevenção

Adoção de medidas para evitar danos aos titulares.

Não discriminação

Não utilização de dados pessoais para fins discriminatórios, ilícitos ou abusivos.

Responsabilização e prestação de contas

Demonstração de adoção de medidas eficazes ao cumprimento das normas.

Agentes de tratamento de dados pessoais

CONTRoLADOR

Pessoa física ou jurídica, de direito público (governo) ou privado (empresa), a quem competem as decisões referentes ao tratamento de dados pessoais.

OPERADoR

Pessoa natural ou jurídica, de direito público ou privado, subordinada ao controlador na cadeia de tratamento de dados pessoais, que realiza o tratamento de dados pessoais em nome do controlador, tendo como obrigação o cumprimento das instruções fornecidas e a observância da LGPD.

A definição de quem está na posição de controlador ou operador, de acordo com a respectiva atividade de tratamento de dados pessoais, é importante para determinar obrigações e responsabilidades de cada um desses agentes de tratamento.

Essa avaliação e definição podem ser tarefas simples ou extremamente complexas, em razão da dinamicidade das operações de tratamento que usualmente envolvem seus agentes.

Controlador:

Toma todas as decisões referentes ao tratamento de dados pessoais ao longo do ciclo de vida destes;
Determina as finalidades e os meios de tratamentos dos dados pessoais;
Avalia o enquadramento das bases legais de tratamento;
Pode ser responsabilizado diretamente por violações da LGPD;
Garante o cumprimento dos direitos dos titulares.

Operador:

Realiza o tratamento de dados pessoais em nome do controlador;
Não possui poder decisório;
Pode vir a executar tarefas complexas e com alguma discricionariedade, mas sempre sob o comando do controlador;
Pode ser responsabilizado solidariamente por violações que vier a causar à LGPD;
O operador sempre obedecerá ao controlador, que é quem efetivamente determina a finalidade do tratamento dos dados; entretanto, se o operador usar esses mesmos dados para outra finalidade, torna-se também controlador, com as responsabilidades inerentes à posição.

Direitos do titular de dados

A LGPD reúne, em um só lugar, os direitos dos titulares dos dados. Antes dela, esses direitos estavam previstos de forma esparsa em diversas leis, como o Código de Defesa do Consumidor e o Marco Civil da Internet. O titular pode exercer esses direitos sobre seus dados pessoais a qualquer momento, mediante requisição ao controlador.

CONFIRMAÇÃO DA EXISTÊNCIA DE TRATAMENTO

ACESSO AOS DADOS

CORREÇÃO DE DADOS INCOMPLETOS, INEXATOS OU DESATUALIZADOS

ANONIMIZAÇÃO, BLOQUEIO OU ELIMINAÇÃO DE DADOS DESNECESSÁRIOS

PORTABILIDADE DOS DADOS

ELIMINAÇÃO DOS DADOS PESSOAIS TRATADOS COM O CONSENTIMENTO DO TITULAR

INFORMAÇÃO SOBRE COMPARTILHAMENTO DE DADOS

INFORMAÇÃO DA CONSEQUÊNCIA DO NÃO CONSENTIMENTO

REVOGAÇÃO DO CONSENTIMENTO

CoMO EXErCER SEUS DIReITOS

Caso sejam identificados, os dados serão disponibilizados conforme o formato escolhido para recebimento: e-mail ou impresso.

SAIbA

Penalidades para a companhia

Em caso de descumprimento da LGPD, as empresas estão sujeitas às penalidades e sanções administrativas aplicáveis pela ANPD conforme a seguir:

Advertência;
Multa simples (até 2% do faturamento até o limite de R$ 50 milhões);
Multa diária;
Possibilidade de publicização da infração;
Bloqueio dos dados pessoais envolvidos;
Eliminação dos dados pessoais envolvidos;
Suspensão parcial, por até 06 meses, do banco de dados envolvido;
Suspensão do exercício da atividade de tratamento dos dados pessoais;
Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Serão levados em consideração pela ANPD:

Gravidade e natureza das infrações;
Boa-fé e cooperação do infrator;
Vantagem obtida com a infração;
Condições econômicas do infrator;
Reincidência e gravidade do dano causado;
Adoção de mecanismos e procedimentos internos de proteção de dados;
Adoção de política de boas práticas e governança;
Pronta adoção de medidas corretivas;
Proporção entre a gravidade da infração e a intensidade da sanção.

A LEI GErAL DE PROTEÇÃo DE DADOS