A lei número 13.709/2018, também conhecida como Lei Geral de Proteção de Dados, ou LGPD, é a lei que dispõe sobre a proteção dos dados pessoais de todas as pessoas naturais em território brasileiro. Foi decretada pelo Congresso Nacional em 14 de agosto de 2018 e entrará em vigor em agosto de 2020.
A lei acompanha um movimento internacional em prol da proteção de dados pessoais dos cidadãos de todo o mundo. Baseada diretamente na General Data Protection Rules da União Europeia, a regulamentação visa inibir que sejam coletados “dados em excesso”, bem como limita seu uso para fins com os quais seus titulares não tenham explicitamente concordado.
Fundamentos da LGPD
A lei foi escrita em base de 7 fundamentos. São eles que delimitam o que é legal e o que é ilegal no que tange à proteção de dados, permeando os princípios e as bases legais da lei.
De acordo com o Artigo 2º da LGPD, são eles:
- I – o respeito à privacidade;
- II – a autodeterminação informativa;
- III – a liberdade de expressão, de informação, de comunicação e de opinião;
- IV – a inviolabilidade da intimidade, da honra e da imagem;
- V – o desenvolvimento econômico e tecnológico e a inovação;
- VI – a livre iniciativa, a livre concorrência e a defesa do consumidor; e
- VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
Mas o que isso significa?
O interesse dos titulares dos dados é que vai ditar quais dados serão coletados e como eles serão operados. Além disso, o titular é livre para solicitar qualquer informação a respeito do processo de tratamento, bem como solicitar a eliminação de seus dados da base de pessoas ou organizações que estejam em posse deles, se assim lhe convir.
Assim, a transparência e a garantia de privacidade se tornam os pilares de toda empresa que deseje se posicionar com credibilidade no mercado e de toda organização que preze por uma boa imagem junto ao público.
Trata-se de um compromisso incontestável com a segurança e o respeito aos dados dos cidadãos brasileiros.
As diretrizes da LGPD
A lei elenca 10 princípios para o tratamento de dados pessoais. É com base nessas diretrizes que você deve realizar qualquer operação concernente aos dados, da coleta à sua utilização conforme os propósitos da empresa.
Finalidade
Com a implantação da LGPD, todo e qualquer tratamento de dados pessoais deve ter um fim específico, explícito e claramente informado a seu titular. Isso significa que, além de informar quais dados deseja-se coletar, será necessário explicar para o que cada dado coletado será utilizado.
O objetivo é assegurar que sejam coletados apenas os dados indispensáveis para o fim explicitado pela organização. Por exemplo, se uma organização precisa dos dados de um cliente para gerar um contrato de prestação de serviços, ela deve deixar bem claro que dados são esses (nome, telefone, RG, CPF, endereço, etc.) e o porquê de sua necessidade (identificação contratual).
Com a lei, fica também vedada a modificação da finalidade durante o tratamento.
Adequação
Todos os dados pessoais devem estar de acordo com a finalidade informada. A razão pela qual a coleta será feita deve ter relação com o tipo de dado solicitado. Retomando o exemplo do contrato de prestação de serviços, não teria, a princípio, razão para se solicitar a data de nascimento do titular, certo? Mas, se no contrato consta que são prestados serviços personalizados na ocasião de aniversário, essa coleta pode ser justificada.
Necessidade
Deve-se utilizar os dados estritamente para alcançar as necessidades apresentadas pela empresa (identificação do indivíduo para geração do contrato de prestação de serviços, ainda conforme o exemplo). Qualquer desvio de conduta será punido.
Livre-acesso
Toda e qualquer pessoa física tem o direito de consultar, junto à organização, de forma simplificada e gratuita, todos os dados dos quais seja titular e que tenham sido coletados por dita organização. O que foi e o que será feito com esses dados, bem como por quanto tempo eles serão tratados, deve ser explicitado ao titular.
Qualidade dos Dados
Garante, aos titulares dos dados, a exatidão, a clareza, a relevância e a atualização constante dos dados, de acordo com a necessidade da organização e para o cumprimento da finalidade de seu tratamento, previamente informada ao titular.
O nível de detalhamento e exatidão vai variar de acordo com a necessidade e finalidade do tratamento de dados.
Transparência
Os titulares dos dados têm direito a informações claras, precisas e facilmente acessíveis quanto aos responsáveis pelo tratamento de dados e à realização do tratamento de dados, observados os segredos comercial e industrial – isto é, respeitando as informações que as organizações mantêm como confidenciais junto às legislações pertinentes.
Em caso de transferência de dados a terceiros, como fornecedores, por exemplo, o titular deve ser informado.
Segurança
É responsabilidade da organização buscar os meios, processos e a tecnologia necessária para garantir a proteção de dados pessoais. Deve-se impedir o acesso por terceiros não-autorizados, assim como tomar medidas preventivas para solucionar acidentes que possam vir a ocorrer.
Prevenção
As organizações devem tomar precauções para evitar danos em virtude do tratamento de dados, ou seja, impedir seu vazamento ou que sejam utilizados para fins que possam prejudicar seus titulares.
Não-Discriminação
De acordo com a lei, fica proibida a utilização de dados pessoais para discriminar ou promover qualquer forma de abuso contra seus titulares. Este princípio trata sobre dados pessoais sensíveis, como origem racial, étnica, religião, posicionamento político, saúde e similares.
Responsabilidade e Prestação de Contas
As organizações devem comprovar que estão seguindo todas as prerrogativas da LGPD, a fim de demonstrar boa-fé e diligência.
Bases legais da LGPD
Toda coleta e processamento de dados deverá se atentar à base jurídica imposta pela Lei Geral de Proteção de Dados, onde estão previstas hipóteses que poderiam tornar ilegais o tratamento de dados pessoais pelas organizações. As duas principais são:
Consentimento
Para a obtenção dos dados, é necessário e irrevogável o consentimento do titular destes dados. Em outras palavras, toda a informação coletada deve ser fornecida livremente pelos titulares, estando estes livres para escolher entre permitir ou negar a coleta de dados e solicitar sua exclusão da base de dados da organização quando conveniente.
Legítimo Interesse
Organizações e empresas poderão promover o tratamento de dados pessoais caso possuam finalidades legítimas, transparentes e partindo de situações concretas.
Como ressalva, apenas os dados pessoais estritamente necessários para a finalidade pretendida podem ser tratados, conforme explicamos anteriormente nos itens Finalidade e Adequação.
Atores, papéis e agentes da LGPD
A LGPD detalha em seu texto quatro agentes envolvidos nos processos de privacidade de dados:
Titular
A pessoa física proprietária dos dados pessoais.
Controlador
Quem coleta os dados pessoais e toma as decisões em relação a todo o processo de tratamento dos dados, razão de sua utilização e o tempo de armazenamento.
Operador
A organização ou pessoa física que vai realizar todo o processo de tratamento e processamentos dos dados pessoais coletados. O operador irá seguir as orientações do controlador.
Encarregado
A pessoa física, indicada pelo controlador, responsável pela comunicação entre o controlador, os titulares e a Autoridade Nacional de Proteção de Dados, que realizará a fiscalização do tratamento de dados. Também é responsável por orientar o controlador (seja organização ou pessoa física) sobre as melhores práticas em relação ao tratamento de dados.
Exceções da LGPD
A LGPD possui algumas exceções em sua atuação. Conforme elucidado pelo Artigo 4º da lei, elas incidem sobre:
Fins particulares e não-econômicos
Trata-se da coleta de dados realizada por pessoa natural para fins particulares e que não incida em qualquer tipo de ganho econômico. Observe que essa exceção se limita a pessoa natural; logo, isso significa que empresas sem fins lucrativos também respondem à LGPD.
Fins exclusivos
Faz referência a atividades às quais a lei não se aplica devido à natureza de sua finalidade, como:
- Jornalísticas e artísticas;
- Acadêmicas;
- De segurança pública;
- De defesa nacional;
- De segurança do Estado;
- Investigação e repressão de infrações penais.
Provenientes de fora do território nacional
Todos os dados coletados fora do território nacional que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamentos brasileiros ou transferência internacional de dados com outro país, desde que ele tenha algum tipo de legislação voltada à proteção de dados.
Além disso, todo e qualquer tratamento de dados deve ter um término e descarte previstos pela organização. Via de regra, os dados devem sempre ser excluídos pelos controladores.
No entanto, existem 4 exceções admitidas pela lei, registradas no artigo 16:
Cumprimento legal ou mandato
Quando mantidos por força de lei – isto é, em casos determinados judicialmente -, os dados não devem ser descartados mesmo após o término do tratamento.
Órgãos de pesquisa
Refere-se aos órgãos de pesquisa, determinando que os dados coletados podem ser mantidos. A exigência para isto é que os órgãos forneçam garantia de anonimização (quando dado perde a possibilidade de associação, direta ou indireta, a um indivíduo).
Transferência de dados a terceiros
Quando os dados forem transferidos a terceiros, existe a possibilidade de não-encerramento, uma vez que os dados estão sujeitos à necessidade de um mediador a mais. Não obstante, todas as diretrizes de tratamento de dados devem ser cumpridas.
Dados para uso exclusivo do controlador
Por outro lado, quando os dados são para uso exclusivo do controlador, é vedado qualquer acesso a terceiros, a não ser que os dados sejam anonimizados.
Conclusão
A adequação aos requisitos da lei pode ser desafiadora para a maioria das empresas. Mas é necessária e, se bem feita, trará benefícios à empresa, na medida em que demonstra seu compromisso com os direitos de seus clientes e potenciais clientes.
Quer conhecer soluções que vão te ajudar a estar em compliance com a lei?
Clique aqui e converse com um dos especialistas em privacidade de dados da Compugraf. Nós vamos te ajudar a se adequar à lei o quanto antes!