XG Firewall Proteção Web, E-Mail, Servidores, Rede e Aplicativos com gestão simples e descomplicada
O que é a LGPD?
A Lei Geral de Proteção de Dados Pessoais (LGPD), ou Lei 13.709/2018, regula o uso e o tratamento por empresas ou pessoas físicas de dados pessoais.
Seu objetivo é oferecer aos indivíduos maior controle sobre como seus dados pessoais são tratados e utilizados, exigindo maior nível de segurança e controles de proteção de dados
A LGPD se aplica a qualquer pessoa, seja natural ou jurídica de direito público ou privado que realize o tratamento de dados pessoais, online ou offline. Quando o assunto LGPD é abordado, normalmente o meio digital é o que logo vem a mente. Entretanto a LGPD se aplica a qualquer operação de tratamento de dados pessoais por ela definidos, independentemente destes dados pessoais terem sido coletados offline ou online, em meios físicos ou digitais.
Empresas de todos os setores e de todos os portes tratam dados pessoais. Podemos afirmar que a grande maioria dos departamentos das empresas tratam dados pessoais. Vejamos alguns exemplos de setores e dados: RH (dados de colaboradores e dependentes), Logística (dados de clientes), Marketing (dados de clientes e prospects), Desenvolvimento de Software (bancos de dados corporativos com dados de clientes, fornecedores, colaboradores etc), Jurídico (contratos).
Por que devo estar em conformidade a LGPD?
-
Sanções: 2% do faturamento da empresa limitado em até 50 milhões de reais por infração
-
Redução do mercado potencial para seus serviços, pois os contratantes tendem a exigir que seus parceiros comerciais estejam aderentes a LGPD
Princípios da LGPD
A LGPD se estrutura em 10 princípios:
I - FINALIDADE: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II - ADEQUAÇÃO: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III - NECESSIDADE: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV - LIVRE ACESSO: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V - QUALIDADE DOS DADOS: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI - TRANSPARÊNCIA: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII - SEGURANÇA: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII - PREVENÇÃO: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX - NÃO DISCRIMINAÇÃO: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
X - RESPONSABILIZAÇÃO E PRESTAÇÃO DE CONTAS: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Tipos de Dados
Em seu artigo 5o a LGPD identifica os tipos de dados de acordo com sua interpretação:
Dado Pessoal
Informação relacionada a pessoa natural identificada ou identificável.
Podemos considerar como dado pessoal qualquer dado que, isoladamente ou em conjunto com outros dados, permita a identificação de uma pessoa natural.
Alguns exemplos: nome completo, e-mail, telefone, RG, CPF, endereço, data de nascimento, profissão, geolocalização de dispositivo móvel e dados de navegação de GPS, nacionalidade, hábitos de consumo, gostos, hobbies, etc.
Dado Pessoal Sensível
Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
São dados que possibilitam a discriminação de uma pessoa. Por este motivo estes dados devem ser considerados e tratados como sensíveis.
Dado Anonimizado
Dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
Dados Pseudo-Anominizados
A pseudonimização é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.
Diferente da anonimização, na pseudonimização o controlador dos dados possui outras informações que, se aplicadas aos dados, permitem com que estes possam ser novamente vinculados ao seu titular original.
Por exemplo, em um controle biométrico, os eventos são relacionados a um código e não ao nome ou CPF do titular dos dados. Entretanto, este código pode ser vinculado ao titular em algum banco de dados da organização.
Tratamento dos Dados
A LGPD define como tratamento toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
O artigo 7o lista as hipóteses para tratamento dos dados. Três pontos chaves são:
-
Deve haver o consentimento do titular por escrito ou por algum outro meio em que possa ser demonstrada explicitamente a vontade do titular.
-
O titular poderá revogar o consentimento a qualquer momento com uma manifestação expressa neste sentido.
-
O consentimento do titular não desobriga que os dados devam ser tratados de acordo com os artigos dispostos pela Lei e para as finalidades específicas.
Quem são os atores listados na LGPD?
Titular: Pessoa natural a quem se referem os dados pessoais.
Controlador: Pessoa natural ou jurídica a quem competem as decisões referentes ao tratamento de dados pessoais. O controlador é responsável por como os dados são coletados, como e para que estão sendo utilizados e qual será o tempo de retenção.
Operador: Pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador.
Encarregado: Pessoa natural indicada pelo controlador para atuar como canal de comunicação entre as partes - controlador, titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD) -, bem como orientar os funcionários e contratados da entidade a orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais.
Conclusão
A LGPD deve ser encarada como uma oportunidade para que as empresas melhorem ou implementem boas práticas e governança sobre os seus dados e sobre os dados pessoais de terceiros. Além disso, estas ações devem ser encaradas como um processo contínuo de aprimoramento e validação.
Algumas ações que devem ser evitadas quando se fala em dado pessoal são: manter dados imprecisos, coletar informações que não as estritamente necessárias para a finalidade específica, armazenar informações por mais tempo do que o necessário, movimentar dados para terceiros sem controles efetivos, tratar dados sensíveis em desacordo com o apresentado na lei e divulgar informações confidenciais para domínio público.
Este artigo tem por objetivo contribuir para uma melhor compreensão da LGPD. Ele não tem a pretensão de servir como aconselhamento jurídico e não deve ser utilizado como único material para determinar de que forma a LGPD pode ser aplicada à sua empresa.