Lei Geral de Proteção de Dados do Brasil

Em sua mais recente tentativa de ordem e progresso, o Brasil aprovou a Lei Geral de Proteção de Dados (LGPD) ou a Lei Geral de Proteção de Dados Pessoais. A legislação é uma forma de proteger as informações pessoais e a privacidade dos cidadãos brasileiros, fornecendo diretrizes sobre como esses dados podem ser processados e coletados por organizações. (Dica: Apenas com permissão.) Ela ajuda a padronizar e esclarecer mais de 40 estatutos anteriores, às vezes conflitantes, que regulamentavam dados pessoais, e se aplica tanto a empresas e organizações brasileiras quanto internacionais.

Termos importantes para a LGPD do Brasil 

• Dados Pessoais: Qualquer informação que identifica ou é específica de um indivíduo, como seu nome, sobrenome, apelido, número de identificação, etc.
• Titular dos Dados ou Titular dos Dados Pessoais: O indivíduo sobre o qual os dados pessoais se referem.
• Tratamento de Dados: Qualquer operação realizada com o uso de dados pessoais, como coletar, armazenar, usar ou divulgar informações.
• Controlador de Dados: A pessoa responsável pelas decisões sobre como os dados pessoais são usados ou processados. Eles são os responsáveis finais pelo cumprimento ou falha de sua empresa em atender aos padrões da LGPD.
• Consentimento: permissão ou acordo livre e informado. Neste caso, a permissão do titular dos dados para que suas informações sejam processadas para um determinado fim.
• Autoridade Nacional de Proteção de Dados (ANPD) ou Autoridade Nacional de Proteção de Dados: Ramo do governo federal brasileiro encarregado de supervisionar a regulamentação, conformidade e aplicação da LGPD.
• Encarregados de Proteção de Dados: Pessoa que representa a organização que processa dados pessoais, responsável pela comunicação entre sua empresa, a ANPD e os titulares dos dados. Eles geralmente têm formação em direito ou TI.

O que a LGPD faz 

A LGPD exige que os Controladores de Dados adotem práticas técnicas e administrativas que regulamentem como e por que os dados pessoais podem ser processados (eletronicamente ou fisicamente) e protejam os dados pessoais que processam contra acesso não autorizado, perda, alteração e/ou exposição.

Dez direitos dos titulares dos dados

A LGPD do Brasil lista dez direitos dos titulares dos dados, que são a base para todos os requisitos de processamento feitos a empresas ou organizações:

1. O direito de confirmar que seus dados foram processados;
2. O direito de acessar seus dados;
3. O direito de corrigir dados incompletos, imprecisos ou desatualizados;
4. O direito de anonimizar, bloquear ou excluir dados desnecessários ou excessivos ou dados que não estão sendo processados em conformidade com a LGPD;
5. O direito de transferir seus dados para outro serviço ou provedor de produtos;
6. O direito de excluir dados pessoais processados com seu consentimento;
7. O direito de informações sobre terceiros públicos e privados com os quais o controlador compartilhou seus dados;
8. O direito de informações sobre o que acontece se negarem o consentimento;
9. O direito de revogar seu consentimento.
10. O direito à portabilidade de dados, permitindo que o titular solicite uma cópia completa de seus dados em um formato utilizável por concorrentes.

Requisitos para controladores de dados/organizações

A LGPD exige que os controladores de dados/organizações:

• Nomeiem um Encarregado de Proteção de Dados para gerenciar solicitações ou reclamações de clientes cuja identidade e informações de contato são públicas e clear, preferencialmente em seu site;
• Mantenham um registro das operações de processamento que realizam;
• Informem, corrijam, excluam, anonimizem ou movam dados pessoais conforme solicitado pelo titular dos dados;
• Removam os dados uma vez que o relacionamento terminar;
• Implementem medidas administrativas e de segurança para proteger a segurança dos dados contra roubo, acesso não autorizado, acidentes ou outros problemas;
• Comuniquem quaisquer violações de dados aos titulares dos dados, autoridades locais e à ANPD.

Existem dez bases sob as quais as empresas podem processar legalmente dados pessoais. Os dados podem ser processados:

1. Para fins legítimos, específicos e explícitos aos quais o titular dos dados concordou;
2. Para cumprir uma obrigação legal ou regulatória;
3. Para executar políticas públicas com base em contratos legais, acordos ou similares;
4. Para executar um contrato a pedido do titular dos dados (como uma compra ou transação);
5. Para realizar pesquisas e garantir sempre que possível que os dados pessoais tenham sido anonimizados;
6. Para o exercício de direitos em procedimentos judiciais, administrativos ou de arbitragem;
7. Para a proteção da vida ou segurança física do titular dos dados ou de terceiros;
8. Para proteger a saúde, conforme realizado por profissionais de saúde ou entidades de saúde;
9. Quando necessário para cumprir os interesses legítimos do controlador ou de terceiros;
10. Para a proteção de crédito.

O que a ANPD faz 

A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão a ser formado do governo federal brasileiro encarregado de supervisionar a regulamentação, conformidade e aplicação da LGPD. Embora sob a direção do presidente, a ANPD tem poderes de decisão. Ela consistirá em um conselho consultivo de 28 membros dividido em vários grupos: o Conselho de Administração, o Conselho Nacional, um Escritório de Assuntos Internos e outras unidades especializadas para tarefas legais e de fiscalização.

Eles serão responsáveis por:

• Fornecer interpretação e diretrizes práticas sobre como implementar a LGPD;
• Investigar e auditar reclamações ou violações relatadas e trabalhar com o Encarregado de Proteção de Dados em uma resolução;
• Emitir sanções por violações no processamento de dados;
• Realizar estudos, debates públicos e audiências sobre a proteção de dados pessoais.

Quando a LGPD entrou em vigor 

A lei entrará em vigor em 1º de janeiro de 2021.

As sanções por violação de conformidade com a LGPD foram adiadas até 1º de agosto de 2021.

Recomendações 

• Em primeiro lugar, esperar até o último minuto para estar em conformidade pode ser um erro custoso. A não conformidade pode resultar em multas de até 2% de sua receita no Brasil, do ano fiscal anterior, para um máximo de 50 milhões de reais por infração (aproximadamente 12,9 milhões de dólares americanos ou 11,2 milhões de euros).
• Nomeie um Encarregado de Proteção de Dados para monitorar o processamento e a segurança de dados, e publique claramente seu nome e informações de contato em seu site.
• Sempre peça consentimento. Seja clear e transparente sobre como e por que os dados do cliente estão sendo processados, e facilite a opção de aceitar ou recusar.
• Armazene os dados apenas pelo tempo necessário para processar uma transação e não mais.
• Certifique-se de documentar todo o seu pipeline de processamento: como você está coletando, armazenando, usando e compartilhando dados pessoais? Você pode ser chamado a apresentar essa documentação, então é melhor tê-la preparada.
• Agende auditorias regulares. Vazamentos de dados são enormemente custosos em recursos e reputação. Estar atento permitirá que você detecte erros ou predadores mais rapidamente, e ser proativo sempre parece melhor do que ser pego de surpresa.

Mais informações 

• Site oficial da LGPD

Perguntas frequentes