LGPD Brasil: saiba mais sobre a Lei Geral de Proteção de Dados Pessoais

3 de agosto de 2020 - 15:21 #dados #internet #legislação #lei #LGPD

A partir de agosto de 2020, todas as empresas do Brasil precisarão estar em concordância com essas regras.

Seja qual for o tamanho do investimento necessário, ele muito provavelmente valerá a pena, porque as multas para quem não se enquadrar na lei podem chegar a R$ 50 milhões.

A ideia da LGPD é criar uma cultura de respeito à privacidade dos dados.

Afinal de contas, ninguém gosta de ter sua vida exposta a terceiros, especialmente quando esses terceiros são empresas ou serviços pelos quais não se tem interesse.

Vamos então ver o que muda e como se adequar.

O que é LGPD?
LGPD é a Lei Geral de Proteção a Dados Pessoais (Lei Nº 13.709, de 14 de agosto de 2018), sancionada pelo então presidente Michel Temer.

Ela regulamenta o tratamento que é dado às informações de pessoas colhidas por parte de empresas, especialmente na internet, via formulários.

Desde a coleta até a classificação, o processamento, o armazenamento, e principalmente a utilização e a transferência.

Entre outras disposições, proíbe qualquer empresa de transmitir esses dados sem consentimento expresso dos titulares.

Ao registrar qualquer informação de clientes, portanto, toda empresa terá que se sujeitar à LGPD.

O texto começa a valer em agosto de 2020, dando um prazo de dois anos para readequação.

Contexto da LGPD no Brasil
A LGPD é descendente direta da GPDR (sigla em inglês para Regulamento Geral da Proteção de Dados).

A GPDR surgiu na Europa após os escândalos de vazamento de dados sem consentimento por parte de gigantes como o Facebook.

Nos Estados Unidos, Mark Zuckerberg teve que se explicar à Justiça e foi condenado a pagar uma multa de 5 bilhões de dólares, além de cumprir com uma série de obrigações em sua rede social.

Pioneira no ramo, a GPDR atualizou a lei de privacidade europeia de 1995, com o objetivo de garantir transparência aos cidadãos no que diz respeito ao uso dos seus dados.

As grandes empresas de tecnologia têm cumprido as exigências até mesmo em relação a clientes que não moram na Europa.

No caso do Brasil, a LGPD especifica alguns pontos do abrangente Marco Civil da Internet, sancionado em 2014.

Vem para colocar o país no mesmo patamar das nações europeias e norte-americanas no combate ao tratamento indevido de dados na internet.

Principais pontos da Lei Geral de Proteção de Dados Pessoais
Como praticamente qualquer empresa armazena algum dado de seus clientes e fornecedores, o impacto da LGPD será bem amplo.

Definições
A lei começa estabelecendo nomenclaturas e criando algumas figuras no processo de tratamento dos dados.

Uma das novidades é a instituição da Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por fiscalizar todo o processo.

Confira alguns dos conceitos.

Dado pessoal é qualquer informação relativa a pessoa “identificada ou identificável”
Dado pessoal sensível é informação relativa a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização, saúde, vida sexual ou dado genético ou biométrico
Dado anonimizado é relativo a um titular que não possa ser identificado
Banco de dados é o conjunto estruturado de informações pessoais
Titular é a pessoa a quem se referem os dados
Controlador é a pessoa responsável por tomar as decisões referentes a tratamento de dados
Operador é quem executa o tratamento em nome do controlador
Encarregado é a pessoa responsável pela comunicação entre as três partes: o controlador e o operador (empresa), o titular e a Autoridade Nacional de Proteção de Dados
Consentimento é a manifestação livre pela qual o titular permite o uso dos dados (o ônus da prova cabe ao controlador)
Relatório de impacto à proteção de dados pessoais é a documentação do controlador descrevendo o processo de tratamento dos dados que podem gerar risco às liberdades civis.
Restrições
O ponto central da LGPD é a necessidade de consentimento expresso do titular para armazenamento dos seus dados.

Fica proibido ceder ou vender informações de contato de potenciais clientes para divulgação de produtos e serviços por telemarketing, por exemplo.

Está proibido até mesmo o uso dos dados por parte da própria empresa para uma finalidade diferente daquela que foi combinada com o cliente.

É preciso obter o consentimento específico e ser capaz de provar isso a qualquer momento.

Para os dados considerados sensíveis, o processo é ainda mais rigoroso.

No caso de dados de crianças e adolescentes, é preciso o consentimento de ao menos um dos pais ou responsável legal.

O que está proibido, segundo a lei: “Acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.

Entre as sanções previstas para descumprimento das medidas de proteção de dados está uma multa de 2% do faturamento total da empresa ou do conglomerado, limitada a R$ 50 milhões.

Direitos dos titulares
A ideia é empoderar os cidadãos, que agora terão uma série de direitos, entre eles:

Confirmação da existência do tratamento dos dados
Acesso aos dados, correção, anonimização, bloqueio ou eliminação de dados
Informação sobre com quais entidades públicas ou privadas o controlador compartilhou os dados
Revogação do consentimento.
Obrigações do controlador, do operador e do encarregado
Os agentes de tratamento (controlador e operador) devem adotar medidas de segurança para proteger os dados.

Também precisam manter registro de todos os processos realizados.

Têm o dever de comunicar à autoridade nacional e ao titular qualquer incidência de segurança que possa acarretar risco.

O órgão pode determinar a qualquer momento a elaboração de um relatório de impacto à proteção de dados pessoais.

O encarregado tem como responsabilidade receber reclamações e comunicações tanto de um lado (titulares) como de outro (autoridade nacional), prestar esclarecimentos e tomar providências.

Além disso, deve orientar os funcionários da organização a respeito das práticas de proteção de dados.

As informações de contato precisam estar disponibilizadas de forma pública, preferencialmente no site da empresa.

Fiscalização
A recriação da Autoridade Nacional de Proteção de Dados (ANPD), autorizada em junho de 2019, mostra que o governo está falando sério sobre fiscalização quando a lei começar a vigorar, em agosto de 2020.

O detalhamento da legislação ao apresentar as definições, abordadas anteriormente neste texto, deixa claro que todos os processos, automatizados ou não, estarão na mira.

A agência reguladora, criada por meio de medida provisória, será composta por 23 profissionais.

Cinco deles comporão o Conselho Diretor, e serão escolhidos e nomeados pelo presidente da República, após aprovação do Senado Federal, ocupando cargos comissionados.

A ANPD ficará subordinada diretamente à Presidência nos primeiros dois anos após a implementação.

Depois, será transformada numa autarquia, com independência de atuação.