LGPD – Objetivos da Lei
A lei nº 13.709 de 14 de agosto de 2018 ou Lei Geral de Proteção de Dados Pessoais (LGPD) dispõe sobre o tratamento de dados pessoais, em qualquer meio, inclusive nos meios digitais, por pessoa natural ou jurídica de direito público ou privado.
A LGPD possui os seguintes objetivos:
Conceitos da LGPD
A LGPD trouxe os conceitos a seguir para cumprir seus objetivos em relação à proteção de dados:
- Dado pessoal: informação ou parcela de informação relacionada a pessoa natural identificada ou identificável.
- Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, saúde, vida sexual, genética ou biometria, quando vinculado a pessoa natural.
- Dados anonimizados: Dado relativo à titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. Dados estatísticos, sem o vínculo entre a informação e a pessoa natural.
- Tratamento: Toda operação realizada com dados pessoais.
Os princípios para tratamento dos dados pessoais
O tratamento de dados pessoais, como dito anteriormente, é toda operação realizada com os dados pessoais que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Regulado pela LGPD, o tratamento de dados pessoais deve ser sempre pautado pelos princípios destacados no Art. 6º da lei e também por boa-fé. A seguir, cada princípio detalhado.
- Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades (Art. 6º, I da LGPD).
- Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento (Art. 6º, II da LGPD).
- Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados (Art. 6º, III da LGPD).
- Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais (Art. 6º, IV da LGPD).
- Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento (Art. 6º, V da LGPD).
- Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial (Art. 6º, VI da LGPD).
- Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão (Art. 6º, VII da LGPD).
- Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais (Art. 6º, VIII da LGPD).
- Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos (Art. 6º, IX da LGPD).
- Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas (Art. 6º, X da LGPD).
Bases legais – Conceito
Além de estar em conformidade com os princípios destacados, os processos de tratamento dos dados pessoais também deverão ser legitimados por uma base legal. Elas são hipóteses previstas na lei para que possa ocorrer o tratamento dos dados pessoais. A seguir, as bases legais.
As principais bases legais são: Execução de contrato, Cumprimento de obrigação legal ou regulatória, Exercício regular de direitos, Proteção da vida, Legítimo interesse e Consentimento.
- Execução de Contrato: utilizada nos casos de contrato onde há a necessidade de tratamento e o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular dos dados. Quando determinado que os dados pessoais são imprescindíveis para a prestação de um serviço, a hipótese legal de execução de contrato poderá ser utilizada.
- Exercício Regular de Direitos: utilizada nos casos para tratamento dos dados que seja necessário que o Controlador possa exercer seus direitos em processos judiciais, administrativos, arbitrais ou no contexto contratual.
- Obrigação Legal ou Regulatória: utilizada nos casos para o cumprimento de uma obrigação prevista expressamente em lei ou normas regulatórias, às quais o Controlador esteja sujeito, em que há o tratamento de dados pessoais
- Proteção da vida: relacionada com questões que coloquem em risco a vida ou integridade física do titular ou de terceiros.
- Legítimo interesse: utilizada para fundamentar o tratamento de dados pessoais para finalidades legítimas, consideradas a partir de uma situação concreta, como por exemplo, o apoio e promoção de atividades do Controlador. É necessário balancear os interesses do agente de tratamento com os direitos dos titulares dos dados pessoais.
- Consentimento: quando esta for a base legal adequada, será necessária a obtenção de consentimento livre, informado e inequívoco do titular. O consentimento deve ser relativo a cada finalidade determinada e informada, sendo nulas declarações genéricas. Caso haja mudança da finalidade para o tratamento dos dados pessoais, o titular deverá ser previamente informado. Em caso de utilização de dados pessoais sensíveis o consentimento deve ser específico e destacado para que seja válido.
Agentes de tratamento
O tratamento de dados pessoais é executado pelos chamados agentes de tratamento: o Controlador e o Operador.
- Registrar o tratamento
- Instruções claras, assegurando o cumprimento
- Elaborar Relatório de Impacto à Proteção de Dados
- Responder perante o titular e a ANPD
- Adotar medidas de segurança
- Direito de regresso, na medida de sua participação no evento danoso
- Registrar o tratamento
- Seguir as instruções lícitas do controlador
- Adotar medidas de segurança
- Direito de regresso, na medida de sua participação no evento danoso.
- Além disso, o Operador deverá realizar o tratamento segundo as instruções fornecidas pelo Controlador, que verificará a observância das próprias instruções e das normas sobre a matéria.
-
-
- Responsabilidade solidária entre Controlador e Operador (Art. 42, LGPD):
- Aquele que causar dano ao titular é obrigado a repará-lo.
- O titular pode demandar contra o controlador ou operador.
-
Direito dos titulares de dados
Na LGPD foi criado também o titular de dados pessoais, que é a pessoa natural a quem se referem os dados pessoais que são objeto das operações de tratamento (Art. 5º, V da LGPD).
Também foram fixados os direitos destes titulares na LGPD, obrigando sua observância pelos agentes de tratamento de dados pessoais, especialmente quando definidos como Controladores.
Os direitos dos titulares de dados pessoais são:
Sanções
Para coibir o descumprimento das obrigações previstas na LGPD, foram criadas sanções (Art. 52 da LGPD), havendo também a previsibilidade de medidas atenuantes a serem consideradas no momento da fixação das penas.
Vigência da lei
A LGPDfoi publicada em agosto de 2018 e, desde então, as normas sobre proteção de dados pessoais no Brasil vem se desenvolvendo. As sanções previstas pela LGPD entraram em vigor em 1º de agosto de 2021. Além do processo legislativo, a ANPD já iniciou sua atuação e recomenda-se o monitoramento de sua atividade.
Afaste os riscos que a LGPD pode trazer para seus negócios implementando um Sistema de Gestão da Segurança da Informação e de Dados Pessoais.
Esteja em conformidade com a LGPD de um jeito simples e seguro.
