Lei Geral de Proteção de Dados Pessoais (LGPD)

Prévia do material em texto

Lei Geral de Proteção de Dados Pessoais
Resumo de Privacidade e Proteção de Dados (LGPD) por @dudagraciano._
2
(Nº 13.709/2018)
Introdução à LGPD
Traz diretrizes às pessoas e organizações, sejam públicas ou privadas, para a realização de qualquer atividade envolvendo dados pessoais, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade dos indivíduos.
Para que essa lei veio? Tem sete fundamentos que sintetizam e resumem:
• O respeito à privacidade;
• A autodeterminação informativa;
• A liberdade de expressão, de informação, de comunicação e de opinião;
• A inviolabilidade da intimidade, da honra e da imagem;
• O desenvolvimento econômico e tecnológico e a inovação;
• A livre iniciativa, a livre concorrência e a defesa do consumidor;
• Os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da 
cidadania pelas pessoas naturais.
Dados e Informações
A LGPD aborda nossos dados em duas situações:
Dados pessoais
 	São aqueles que se traduzem em informação relacionada à pessoa natural (ou física) identificada ou identificável, permitindo ou não a individualização do titular, direta ou indiretamente, por meio dos dados utilizados. Ex.: nome, nome dos pais, RG, CPF, número da CNH etc.
→ informação identificada refere-se aos dados que identificam imediatamente o seu titular. Ex.: nome, RG, CPF etc.
→ informação identificável trata-se de dados que estão relacionados ao titular, mas indiretamente. Ex.: placa de um carro, perfis comportamentais (tendências de consumo, gastos e interesses), geolocalização (sua localização precisa, por meio do uso do GPS de celulares, por exemplo).
Dados pessoais sensíveis
São dados pessoais que podem trazer um perigo maior relacionado a situações de preconceito ou de segurança às pessoas. Ex.: origem étnica, convicção religiosa, opinião política, filiação a sindicato, dados referentes à saúde ou à vida sexual, dado genético ou biométrico, entre outros.
A LGPD tem o objetivo de proteger os direitos fundamentais de liberdade e de privacidade, bem como o livre desenvolvimento da personalidade da pessoa natural. Por isso, os dados protegidos LGPD são aqueles que se traduzem em informação relacionada à pessoa natural identificada ou identificável.
O valor de seus dados
	Assim que os dados são cruzados e analisados com inteligência de marcado, eles se tornam informações e ganham valor. E quando tratados em larga escala, considerando os dados de muitas outras pessoas, geram tendências e perfis de consumo que movimentam a economia mundial, das pequenas às grandes empresas.
	As organizações, tanto públicas quanto privadas, executam um processo similar quando coletam os dados que fornecemos direta ou indiretamente para elas, com ou sem o nosso consentimento.
	Esses dados são uma matéria-prima valiosa que, após analisados, permitem a definição de estratégias de mercado. Já uma empresa privada utiliza os dados coletados dos seus clientes para desenvolver e aprimorar produtos e serviços, direcionar publicidade, criar experiências personalizadas, entre outras ações.
Como os dados são coletados?
	A coleta de dados é realizada por meio dos formulários e cadastros, físicos ou eletrônicos, que preenchemos com nossos dados pessoais para contratação de serviços.
Na internet, a troca de dados e informações entre as pessoas e o mundo digital começa a ocorrer a partir do momento em que nos conectamos pelos nossos celulares e computadores.
No caso dos celulares que estão conectados a todo momento pelas redes móveis, podemos entender que o acesso aos nossos dados é praticamente contínuo.
Dessa forma, a tecnologia permite individualizar você e seus passos pelo mundo (digital ou físico) e também consegue mapear seus interesses.
Proteção da privacidade
A CF em seu art. 5º, inciso X, estabelece o direito à proteção da nossa privacidade, assim como a Declaração Universal dos Direitos Humanos em seu artigo 12:
“São invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, [...]”.
“Ninguém será sujeito a interferências em sua vida privada, em sua família, em seu lar ou em sua correspondência, nem a ataques à sua honra e reputação. Todo ser humano tem direito à proteção da lei contra tais interferências ou ataques”.
Pegadas Digitais
	É o histórico de dados e informações que inserimos na internet e nunca mais serão removidos. Ex.: uma fotografia
Direitos Assegurados
Por tratamento de dados, a lei dispõe a seguinte informação:
Toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extradição.
De acordo com a LGPD, as organizações não podem agir como se fossem proprietárias dos nossos dados, sejam eles pessoais ou pessoais sensíveis e trata-los como bem entenderem. Pelo contrário, devem sempre fazer o uso ético, seguro e responsável, informando o que fazem com eles, e avaliar ao menos uma base legal, como o nosso consentimento, seja para uma obrigação legal ou para execução de contratos, por exemplo.
Direitos dos indivíduos
Confirmação da existência de tratamento
Exigir o conhecimento e a confiança sobre a existência de um possível tratamento dos seus dados. Refere-se à nossa análise quanto ao uso dos dados que fornecemos antes de decidir comprar um produto, contratar um serviço ou até mesmo navegar por um site.
IMPORTANTE! 
A confirmação de existência de tratamento ou o acesso aos dados pessoais deve ser providenciada mediante requisição do titular:
• em formato simplificado, imediatamente; ou
• por meio de declaração clara e completa, fornecida no prazo de até 15 dias, contado da data do requerimento do titular, indicando a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial.
Informação sobre a possibilidade de não fornecer consentimento e as consequências da negativa
Ao conhecer o tratamento que a organização realizará em seus dados, é muito importante que você o avalie. A lei permite, em alguns casos, que você decida se deseja ou não autorizar determinado tratamento e que você mude de ideia sempre que quiser.
A organização deve sempre oferecer a opção do não consentimento. Clareza e transparência no tratamento dos dados pessoais são características que selecionam e fortalecem o posicionamento das boas organizações no mercado.
Portanto, ter a liberdade de permitir ou não o tratamento dos seus dados, de acordo com cada caso, é mais um direito garantido pela LGPD.
Revogação do consentimento
No caso de o tratamento lhe parecer incompatível com o que foi apresentado ou a organização não esclarecer o uso que fará de seus dados, a LGPD lhe permite a revogação, que é o arrependimento do consentimento emitido incialmente.
	Esse arrependimento na revogação total ou parcial do tratamento só é possível se a lei permitir, pois alguns dados fazem parte das estratégias de gestão do Governo, além de poderem ser utilizados por entidades privadas para cumprimento de obrigação legal ou exercício regular de direito, independentemente da vontade do titular.
Acesso aos dados
	Após conhecermos e entendermos o tratamento dos dados, podemos solicitar, a qualquer momento, o acesso às nossas informações.
	O benefício desse direito consiste em conhecer quais dados foram coletados e estão sendo tratados pela organização.
	A LGPD determina que, nos casos em que o consentimento é requerido, ele será considerado nulo, caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente.
	Caso haja também mudanças da finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original, a organização deverá informar previamente o titular sobre tais mudanças, podendo o titular revogar o consentimento se discordar das alterações.
Correçãode dados 
	Após consultar seus dados, você poderá alterá-los se identificar informações incompletas, incorretas ou desatualizadas.
	Essa possibilidade permite que você atualiza seu endereço de e-mail ou residencial com o objetivo, por exemplo, de receber corretamente a fatura ou boleto para o pagamento de suas obrigações.
Portabilidade de dados
	O direito a portabilidade assegura ao titular a possibilidade de transferir seus dados pessoais para outra organização, de forma análoga aos casos de portabilidade de financiamento entre bancos.
IMPORTANTE! 
A portabilidade dos dados para outro fornecedor de serviço ou produto deve ser realizada mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial.
Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade
→ Anonimização: De acordo com o inciso XI do art. 5º da LGPD, a anonimização trata-se de:” utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo”.
O procedimento elimina a possibilidade de identificação do indivíduo a partir do tratamento de seus dados, observadas determinadas condições e circunstâncias previstas na LGPD.
→ Pseudonimização: A LGPD traz o seguinte conceito:” (...) tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro”.
É como se as informações fossem embaralhadas e armazenadas em locais diferentes e, para serem utilizadas ou serem identificadas, devem ser reunidas e reorganizadas.
Por que anonimizar ou pseudonimizar? Essas técnicas visam zelar pela privacidade do indivíduo, assegurando igualdade entre todos, evitando discriminação ou que, no caso de acessos indevidos aos nossos dados, eles possam ser identificados e utilizados.
Eliminação de dados pessoais tratados
Caso não deseje mais que seus dados sejam tratados pela organização, você tem o direito de solicitar a eliminação deles de sua base de dados.
É fundamental que a eliminação das informações seja realizada conforme documentos e procedimentos internos da organização, atendendo às boas práticas de segurança da informação.
ATENÇÃO!
Amassar e jogar no lixo papel contendo dados pessoais de alunos de uma escola ou de clientes, por exemplo, é totalmente contrário à proteção da privacidade. Esse descarte irresponsável está previsto na LGPD e tipifica violação passível de severas sanções.
Revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais
De acordo com o art. 20, a LGPD determina que:” O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.”
	A LGPD busca minimizar os riscos desencadeados pelo crescente uso de algoritmos e inteligência artificial (IA) para realização de julgamentos e avaliações das pessoas.
Violação de direitos
	Se algum dos direitos que a Lei assegura for descumprido total ou parcialmente, ou se você estiver desconfortável com alguma situação, você deve contatar, primeiramente, a organização que violou seus direitos.
Caso a reclamação não seja solucionada no prazo estabelecido em regulamentação, você pode, então acionar a Autoridade Nacional de Proteção de Dados (ANPD) para a defesa dos seus direitos.
Proteção de dados de crianças e adolescentes
	A LGPD define que o tratamento deverá ser realizado em seu melhor interesse e com o consentimento específico, no caso de crianças, de pelo menos um dos pais ou responsável legal.
	A importância desse cuidado é assegurar que os dados pessoais dos menores estejam amparados por todas as leis aplicáveis neste país.
Infração aos direitos garantidos pela LGPD
• Contatos suspeitos;
• Requisição de dados;
Deveres e Responsabilidades
Requisitos para a realização do tratamento de dados
As organizações devem analisar e enquadrar o tratamento de dados que já realizam ou pretendem realizar dentro de ao menos uma das bases legais previstas na LGPD, como, por exemplo:
• Mediante o consentimento do titular;
• Para cumprimento de obrigação legal;
• Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis;
• Para a proteção da vida ou da segurança física do titular ou de terceiros;
• Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária, entre outros.
Deveres das organizações perante os direitos dos titulares dos dados
Para assegurar os nossos direitos, as organizações precisam mapeá-los e traduzi-los na perspectiva da LGPD. Elas devem avaliar toda a estrutura de dados, de forma que seja feita uma adequação no modelo atual de negócio para comportar a nova realidade sobre a privacidade do indivíduo.
A Lei consolida alguns princípios, estabelecendo um direcionamento e uma padronização perante os interesses e direitos dos titulares dos dados a serem atendidos.
Finalidade
É uma condição que determina o motivo pelo qual os dados pessoais serão tratados pelas organizações. Dela deriva os dados mínimos necessários para se alcançar determinado objetivo.
É preciso que o tratamento a ser realizado com o dado pessoal tenha propósito legítimos, específicos, explícitos e informados ao indivíduo, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.
Adequação
	Deverá haver, obrigatoriamente, uma exata correspondência entre o que foi informado com o que de fato é executado.
Necessidade
Essa responsabilidade de atender à necessidade de finalidade e adequação busca determinar que a empresa não realize o tratamento dos dados além do necessário.
ATENÇÃO!
Tratar mais dados do que o necessário cria riscos que podem prejudicar o indivíduo e tornar a empresa suscetível às sanções previstas na LGPD, como advertência e multas.
Livre acesso
	A empresa deve assegurar livre acesso aos dados do titular.
Qualidade dos dados
	É fundamental que os dados estejam corretos e atualizados de forma que erros não gerem prejuízos aos titulares.
Segurança
	Considerando que a organização se torna portadora das informações, a partir de sua coleta, deve atentar-se à utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acesso não autorizados e de situações acidentais ou ilícitas.
→ Segurança de Informação (dados) x Privacidade: são conceitos complementares.
• segurança de dados: a segurança da informação não se limita a proteger os dados pessoais na privacidade do indivíduo. Ela vai além e engloba toda a segurança das informações que circulam pela organização.
• privacidade: a privacidade dos dados não existe sem a segurança da informação e seus mecanismos de controle e proteção.
Prevenção
	É preciso desenvolver uma nova perspectiva conjunta de prevenção e proteção dos dados que estão ou estarão sob responsabilidade direta e indireta de todos.
	A prevenção exige uma mudança na estrutura de pensamentos das pessoas e na forma como participam dos processos, até então executados.
Não discriminação
	A discriminação é vedada e combatida em todos os âmbitos da relação social, como no caso de você ter seu cadastro ou acesso a um determinado serviço suspenso por questões religiosas, políticas ou de saúde, por exemplo.
Responsabilização e prestação de contas
	O princípio da responsabilização não deve transmitir a ideia punitiva perante o texto da Lei e sim a postura de responsabilidade e diligência na tratativa dos dados.
	Essa responsabilização deve coexistir na missão, na visão e na oferta dos produtos e serviços da organização.
Transparência
	Sertransparente, informado claramente o tratamento realizado com dados pessoais diferencia a organização que respeita o interesse das pessoas.
Governança para Proteção da Privacidade
	Envolve a implementação de regras, práticas, processos, procedimentos e controles, visando o crescimento de uma organização de forma organizada e sustentável, respeitando a legislação e a sociedade como um todo.
Governança de dados
	Umas das características da governança de dados, é a Privacy by Design (Privacidade no Design). Envolve os seguintes preceitos ou princípios.
→ Proativo e não reativo: estabelece uma cultura de atenção e cuidado antecipado na privacidade dos dados;
→ Privacidade por Padrão (Privacy by Default): determina que a privacidade apareça em todos os processos, desde a fase de concepção do produto ou do serviço até a sua execução;
→ Funcionalidade: estabelece que a privacidade no uso dos dados deve ser feita de tal forma que não prejudique o produto ou serviço desenvolvido, oferecendo equilíbrio entre as partes na relação ganha-ganha;
→ Visibilidade e transparência: o acesso aos dados e a transparência no tratamento realizado são fundamentais para que as organizações protejam os direitos dos titulares dos dados;
→ Privacidade no Design: orienta que a proteção aos interesses e à privacidade do usuário deve ser incluída na concepção de produtos ou serviços;
→ Segurança: a segurança dos dados pessoais e pessoais sensíveis deve ser incorporada em um ciclo constante de avaliação;
→ Respeito: as organizações devem se utilizar dos dados pessoais e pessoais sensíveis respeitando, em primeiro lugar, os direitos dos titulares desses dados.
	A soma desses sete preceitos determina um outro conceito conhecido por Privacy by Default, que resume a importância de a privacidade ser incorporada no desenvolvimento de todas atividades, sempre como um padrão a ser seguido e mantido.
Agentes de tratamento de dados
	Para que a governança de dados cumpra sua função, é fundamental que todas as pessoas da organização estejam alinhadas e em sintonia com o propósito da LGPD. Devem existir, duas figuras importantes:
→ Controlador: segundo a Lei, é pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
→ Operador: (ou o processador) é pessoas natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Encarregado (DPO – Data Protection Officer – “Oficial de Proteção de Dados”: A LGPD determina que seja nomeado um responsável (encarregado), que é a pessoa indicada pelo controlador e pelo operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). 
IMPORTANTE!
De acordo com a LGPD, agentes de tratamento são os controladores e os operadores, responsáveis pelo cumprimento da lei, e serão os responsabilizados no caso de descumprimento dela. O encarregado não é agente de tratamento, mas cumpre um papel fundamental para os agentes de tratamento na avaliação constante de conformidade para a respectiva organização que ele atende.
Segurança da informação
	Os agentes de tratamento devem adotar medidas segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas.
	A segurança da informação contém três estruturas básicas que organizam seu objetivo:
→ Confidencialidade: O acesso à informação é feito somente por pessoas autorizadas;
→ Integridade: O conteúdo deve ser protegido de forma que não seja alterado ou corrompido;
→ Disponibilidade: A informação deve ser devidamente protegida, desde que esteja disponível quando necessária.
Gerenciamento de riscos
	É fundamental para que a administração das organizações possa monitorar e tratar os riscos referentes à privacidade das informações no âmbito da LGPD. 
Responsabilidades Administrativas e Civil
Sanções administrativas
Qualquer violação à LGPD, em especial no que se refere ao vazamento de dados pessoais , acidental ou ilícito, além de infringir os direitos do cidadão e prejudicar a imagem da organização perante a sociedade, traz consequências que a LGPD tipifica como sanções administrativas. São elas:
→ Advertência: apresenta indicação de prazo para adoção de medidas corretivas;
→ Multa simples: aplica multa de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil em seu último exercício, excluído os tributos, limitada, no total, a R$50.000.000,00 por infração;
→ Multa diária: aplica observando o limite total a que se refere o item anterior;
→ Publicização da infração: torna a infração pública, após devidamente apurada e confirmada a sua ocorrência;
→ Bloqueio dos dados pessoais: bloqueia os dados pessoais referentes à infração até a sua regularização;
→ Eliminação dos dados pessoas: elimina os dados pessoais referentes à infração;
→ Suspensão parcial do funcionamento do banco de dados: suspende parcialmente o funcionamento do banco de dados a que se refere a infração, pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador.
→ Suspensão do exercício da atividade de tratamento dos dados pessoais: suspende o exercício da atividade de tratamento dos dados pessoais a que se refere a infração, pelo período máximo de 6 (seis) meses, prorrogável por igual período.
→ Proibição parcial ou total do exercício de atividades: a ANPD pode proibir, parcial ou totalmente, as atividades relacionadas ao tratamento de dados pessoais.