CONSULTORIA

O que é a LGPD?

A lei nº 13.709, Lei Geral de Proteção de Dados pessoais, aprovada em agosto de 2018 e com vigência a partir de agosto de 2020, veio para regulamentar o tratamentos dos dados de pessoas físicas. Para entender a importância do assunto é necessário saber que a nova lei visa criar um cenário de segurança jurídica, com a padronização de normas e práticas para promover a proteção de forma igualitária, dentro do país e no mundo, aos dados pessoais de todo cidadão que esteja no Brasil. E, para esclarecimentos, a lei traz a definição de quais dados se tratam, exemplifica quais dados que requerem cuidados mais específicos, como os dados sensíveis e os dados de crianças e adolescentes. Também especifica que tanto os dados tratados nos meios físicos quanto nos digitais estão sujeitos à regulação. A LGPD estabelece ainda que não importa se a sede de uma organização ou o centro de dados que ela possui estão localizados no Brasil ou no exterior: se há o processamento de conteúdo de pessoas, brasileiras ou estrangeiras, que estão localizadas em território nacional, a LGPD deve ser cumprida. Determina também que é permitido compartilhar dados com organismos internacionais e com outros países, desde que isso ocorra a partir de protocolos seguros e/ou para cumprir exigências legais.

Quem deve se adequar a essa Lei?

De compras on-line a redes sociais, de hospitais a bancos, de escolas a teatros, de hotéis a órgãos públicos, da publicidade à tecnologia: pode ter certeza, a Lei Geral de Proteção de Dados Pessoais (LGPD) afeta diferentes setores e serviços, e a todos nós brasileiras e brasileiros, seja no papel de indivíduo, empresa ou governo.

Consentimento

Outro elemento essencial da LGPD é o consentir. Ou seja, o consentimento do cidadão é a base para que dados pessoais possam ser tratados, a depender do modelo de negócio. Mas há algumas exceções à regra. É possível tratar dados sem consentimento se for indispensável para: cumprir uma obrigação legal; executar política pública prevista em lei; realizar estudos via órgão de pesquisa; executar contratos; defender direitos em processo; preservar a vida e a integridade física de uma pessoa; tutelar ações feitas por profissionais das áreas da saúde ou sanitária; prevenir fraudes contra o titular; proteger o crédito; ou atender a um interesse legítimo, desde que não fira direitos fundamentais do cidadão.

Automatização com Autorização

Por falar em direitos, é essencial saber que a lei traz várias garantias ao cidadão, que pode solicitar que dados sejam deletados, revogar um consentimento, transferir dados para outro fornecedor de serviços, entre outras ações. E o tratamento dos dados deve ser feito levando em conta alguns quesitos, como finalidade e necessidade, que devem ser previamente acertados e informados ao cidadão. Por exemplo, se a finalidade de um tratamento, feito exclusivamente de modo automatizado, for construir um perfil (pessoal, profissional, de consumo, de crédito), o indivíduo deve ser informado que pode intervir, pedindo revisão desse procedimento feito por máquinas.

A ANPD e os Agentes de Tratamento

Além das pessoas físicas, que serão as maiores interessadas em fiscalizar o tratamento adequado de seus dados, a lei conta com a Autoridade Nacional de Proteção de Dados Pessoais, a ANPD. A Instituição tem o papel de fiscalizar se a Lei está sendo cumprida e penalizar quem deixar de se adequar. Ademais, a ANPD também cumprirá o papel de regular e de orientar, preventivamente, sobre como aplicar a lei. Cidadãos e organizações poderão colaborar com a autoridade. A LGPD estipula quem são os agentes de tratamento de dados e suas funções nas organizações: tem o controlador, que toma as decisões sobre o tratamento; o operador, que realiza o tratamento em nome do controlador; e o encarregado, que interage com cidadãos e com a Autoridade Nacional (e poderá ou não ser exigido, a depender do tipo ou porte da organização e do volume de dados tratados).

Gestão em Foco

Há um outro item que não poderia passar por alto: a administração de riscos e falhas. Isso quer dizer que, quem gerencia base de dados pessoais terá que redigir normas de governança; adotar medidas preventivas de segurança e replicar boas práticas e certificações existentes no mercado. Terá ainda que elaborar planos de contingência; fazer auditorias e resolver incidentes com agilidade. Se ocorrer, por exemplo, um vazamento de dados, a ANPD e os indivíduos afetados devem ser imediatamente avisados. Vale lembrar que todos os agentes de tratamento sujeitam-se à lei. Isso significa que as organizações e as subcontratadas para tratar dados respondem em conjunto pelos danos causados. E as falhas de segurança podem gerar multas de até 2% do faturamento anual da organização no Brasil – e no limite de R$ 50 milhões por infração. A autoridade nacional fixará níveis de penalidade de acordo com a gravidade da falha, e enviará alertas e orientações antes de aplicar as sanções previstas.

©Copiryght 2021 - Ramon Felipe - Todos os Direitos Reservados