Empresário: você já está adequado à LGPD?
A LGPD também conhecida como Lei Geral de Proteção de Dados Pessoais altera os artigos 7º e 16º do Marco Civil da Internet do Brasil. Este assunto é muito importante, principalmente para as empresas, pois trará uma série de obrigações no que diz respeito ao tratamento dos dados pessoais.
A lei estabelece parâmetros relativos a como os dados poderão ser coletados, processados, armazenados e destruídos ou descartados. Provavelmente, as empresas de tecnologia serão as mais afetadas, pois são as que mais fazem uso dos dados como um ativo estratégico. Entretanto, a lei também se aplica a empresas de todos os tipos, desde que realizem o tratamento conforme especificado pela LGPD.
São considerados dados pessoais as informações que podem ser atreladas a uma pessoa (titular) identificável, como nome, CPF ou número de telefone, por exemplo. Entre os objetivos da lei estão a preservação da privacidade e da liberdade.
O que é LGPD?
A Lei Geral de Proteção de Dados Pessoais (LGPD) foi sancionada por Michel Temer em 2018 e entrou em vigor no mês de agosto deste ano (2020).
Dados pessoais: é toda e qualquer informação relacionada à pessoa natural identificada ou identificável. Entre os exemplos de dados pessoais podemos citar o nome, RG, CPF, e-mail, telefone fixo e celular, endereço residencial, etc. Não são considerados dados pessoais aqueles relativos a uma pessoa jurídica, como CNPJ, razão social, endereço comercial, entre outros.
Dados pessoais sensíveis: é todo dado pessoal que pode gerar qualquer tipo de discriminação, tais como os dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.
Titular: pessoa natural a quem se referem os dados pessoais.
Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
Processador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Encarregado: é o indicado pelo controlador, denominado data protection officer (DPO) na GDPR, que faz a comunicação entre os titulares que terão seus dados processados e o controlador.
Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
Anonimização: processos e técnicas por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. O dado anonimizado não é considerado dado pessoal para fins de aplicação da LGPD.
Pseudoanonimização: processos e técnicas por meio dos quais um dado tem sua possibilidade de associação dificultada. O dado pseudoanonimizado é considerado dado pessoal para fins de aplicação da LGPD, tendo em vista a possibilidade de associação desse dado a uma pessoa natural.
Qual é a amplitude da lei?
De acordo com o Art. 3º, a LGPD aplica-se: (1) a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que a operação de tratamento seja realizada no território nacional; (2) a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; (3) ou os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
Serão considerados coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta.
Não se aplicam ao tratamento de dados pessoais, segundo a lei, os dados para fins particulares e não econômicos; realizados para fins jornalísticos, artísticos e acadêmicos; realizados para fins de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais; ou provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.
Mesmo que a sua empresa não faça coleta de dados pessoais ela também precisa se adequar, pois a lei também fala do tratamento dos dados, pessoais ou não. Após o tratamento de dados, dentro do que a legislação conceitua, a empresa fica obrigada a realizar a eliminação dos dados.
Como as empresas devem se preparar para a LGPD?
O primeiro passo é entender como a sua empresa está enquadrada e como está realizando o tratamento de dados. Neste caso, são necessários dois perfis de profissionais: um responsável por tecnologia e outro responsável pela parte jurídica e que domina a nova lei.
O segundo passo é a parte prática: permitir uma soberania do titular dos dados. Ou seja, deve permitir que o titular ou usuário de qualquer serviço, online ou offline, tenha o controle sobre os seus dados coletados.
Basicamente, devem fornecer mecanismos para o titular entender como sua empresa utilizará os dados. A partir de agora os termos de uso ganham maior relevância e precisam estar mais claros, com punições explícitas contra eventuais descumprimentos destes termos.
A soberania também dá novos direitos ao usuário, que anteriormente não estavam tão claros, como a possibilidade dele solicitar a alteração dos dados que ele tenha fornecido. Além disso, o usuário tem o direito de realizar a revogação dos dados, que é a solicitação de que a empresa não possa mais fazer uso destas informações e também a exclusão, que é o direito que ele tem de solicitar que estes dados não sejam mais armazenados ou tratados pela sua empresa.