O que é a LGPD – Lei nº 13.709?

É a Lei que regulamenta as atividades de tratamento de dados pessoais dos Brasileiros desde a coleta, passando pelo processamento e armazenamento até a sua destruição. Foi sancionada em agosto de 2018 e passa a vigorar em agosto de 2020.

O objetivo da LGPD é proteger os direitos fundamentais de liberdade, privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Na prática a LGPD responsabiliza as organizações pela ingerência ou uso abusivo de dados pessoais, afinal nossas informações dizem muito sobre nós e não queremos vê-las expostas ou sendo usadas sem nosso consentimento.

Vale ressaltar que ela se aplica ao universo online e offline. Isso significa que um hospital por exemplo, pode ser responsabilizado se deixar vazar laudos ou exames armazenados em arquivo físico ou digital da mesma forma.

Evite problemas com a LGPD

Faça uma auditoria de segurança da sua infraestrutura de TI com a Redes

O que são dados pessoais?

A lei caracteriza como pessoal qualquer dado que identifica ou que possa identificar uma pessoa.

Dados Pessoais
  • Nome
  • Apelido
  • Cookie (Navegadores)
  • Telefone
  • Endereço
  • E-mail pessoal
  • IP (Internet Protocol)

Parece simples, mas não é!

Imagine entrar no metrô e ser surpreendido por uma porta que usa tecnologia de reconhecimento facial para detectar emoções, faixa etária e gênero ao vermos um anúncio?

Não é um episódio de Black Mirror, esta tecnologia foi implementada na linha 4-amarela do metrô de São Paulo. O mais grave é que estes dados foram coletados sem ao menos o passageiro perceber.

Do mesmo modo, ao pedir comida por um app fornecemos sem qualquer preocupação o endereço da nossa casa, coordenadas de geolocalização em tempo real, e-mail, hábitos alimentares e tantas outras informações que possibilitam a empresa inferir a partir de cruzamentos, dados sensíveis como vinculações religiosas, estado de saúde, etc.

Neste sentido a LGPD pode ser um marco da mudança na forma como nos relacionamos com a informação. É fundamental lembrar que nossos dados somos nós no espelho.

Dados Sensíveis
  • Dados Biométricos e Genéticos
  • Estado de Saúde
  • Posicionamento Político
  • Orientação Sexual
  • Filiação Sindical
  • Convicções Religiosas
  • Origem Racial e Étnica

 

Por estarem associados à nossa vida social e profissional, apresentam maior risco se expostos.

Quem são os atores envolvidos na LGPD?

A lei caracteriza as responsabilidades de quatro atores diferentes: o titular, o controlador, o operador e o encarregado.

Titular

Pessoa física ao qual os dados ser referem

Controlador

Instituição (pública ou privada) ou pessoa física que decide como os dados serão tratados

Operador

Quem trata, manipula os dados

Encarregado

Auditor independente, indicado pelo controlador que estabelece ponto de contato entre o titular, controlador e a Autoridade Nacional de Proteção de Dados Pessoais (ANPD) cuja função será fiscalizar e regular a LGPD

Quando tratar dados pessoais?

Os dados só podem ser tratados se houver uma finalidade específica definida na LGPD ou após consentimento do titular. Desta forma, as organizações devem informar claramente nos termos de uso e/ou política de privacidade o que será coletado e qual o objetivo do tratamento.

A permissão se dá:

Mediante a consentimento do titular

Em sites é muito comum o uso de popups e caixas de seleção (checkbox ou opt-in) para solicitação de consentimento e aceitação da política de privacidade

Para cumprir obrigações legais

Quando você compra um produto, por exemplo a empresa pode ser obrigada a capturar seu CPF para emitir nota fiscal em atendimento a legislação vigente

Para pesquisas

Os órgãos de pesquisa estão liberados para tratar dados desde que garantido o sigilo do titular

Para desenvolvimento de políticas públicas

A administração pública poderá tratar dados para fins de execução de políticas públicas previstas em leis

Para cumprir contratos

Quando na contratação de um serviço pelo titular, um prestador terceirizado precisar tratar os dados

Para exercer direitos

Quando uma pessoa está demandando alguma ação judicial, administrativa...

Para proteção da vida

Profissionais da saúde em situações de risco e atendimento de emergência podem lançar mão dos dados pessoais do paciente

Por legítimo interesse

Para atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais. (há bastante discussão a respeito desse tópico)

Para proteção de crédito

Na contratação de financiamentos, empréstimo ou compras a prazo o controlador poderá fazer consultas, armazenar e analisar dados pessoais do titular sem sua autorização

Quais os direitos do Titular?

A qualquer momento o titular pode:

Solicitar confirmação se os seus dados estão sendo tratados

Quais as penalidades?

Não cumprir a LGPD é um péssimo negócio. As empresas que não se preocuparem com a privacidade e a segurança dos dados, podem ser penalizadas em até 2% do faturamento do seu último exercício fiscal (limitado a R$ 50 milhões).

Os prejuízos vão além do financeiro. Ser visto como como uma empresa que expõem ou usa os dados dos clientes de forma abusiva pode arranhar de forma irreversível a imagem da marca.

O que fazer para se adequar a LGPD?

Não basta criar uma política de privacidade para o site. É fundamental colocar em curso um programa em privacidade de dados pessoais que envolva todas as áreas da empresa.

Trabalhar aspectos culturais é muito importante, pois de nada adianta adotar ferramentas tecnológicas robustas para proteção da rede, banco de dados … se alguém pode imprimir arquivos repletos de dados pessoais e deixa-lo cair em mãos erradas.

Um bom começo é designar uma equipe multidisciplinar liderada por um gestor de projetos que entenda o negócio e possa conduzir a equipe em uma jornada de compliance definindo com clareza objetivos, metas, incentivos e KPI’s.

Saiba que este projeto não se faz sem investimento. Atualização tecnológica, treinamentos para transformação cultural e assessoria jurídica devem ser inseridos na planilha de custos.

Evite problemas com a LGPD

Faça uma auditoria de segurança da sua infraestrutura de TI com a Redes