Baixe o app para aproveitar ainda mais
Leia os materiais offline, sem usar a internet. Além de vários outros recursos!
LGPD
Compartilhar
Prévia do material em texto
Lei Geral de Proteção de Dados Pessoais (LGPD) Curso de Aperfeiçoamento em Tecnologia Créditos Serviço Nacional de Aprendizagem Comercial – Senac/SC Departamento Regional em Santa Catarina FECOMÉRCIO Presidente Bruno Breithaupt Diretor Regional Rudney Raulino Diretoria de Educação Profissional Ana Elisa Cassal Conteudista Luciano Bridi Desenvolvimento e Editoração Setor de Tecnologias Educacionais – SETED Coordenação Técnica Setor de Tecnologias Educacionais – SETED © Senac | Todos os Direitos Reservados Sumário CONTEXTUALIZANDO ���������������������������������������������� 5 1 O ENORME VALOR DOS DADOS PESSOAIS ������������������� 6 1.1 O CONCEITO DE DADO PESSOAL ������������������������������������������� 7 1.2 O PAPEL DA TECNOLOGIA DA INFORMAÇÃO ����������������������� 13 1.3 A NECESSIDADE DE SE PROTEGER OS DADOS PESSOAIS ���� 15 2 EVOLUÇÃO HISTÓRICA DA LEGISLAÇÃO DE DADOS PESSOAIS ������������������������������������������ 17 2.1 LEGISLAÇÃO DE PROTEÇÃO DE DADOS: UM FENÔMENO DA GLOBALIZAÇÃO ����������������������������������� 18 2.2 O COMPLIANCE NA ORIGEM DO SISTEMA DE PROTEÇÃO DE DADOS PESSOAIS ����������������������������������� 20 2.3 A PROTEÇÃO DE DADOS PESSOAIS PELO MUNDO �������������� 21 3 A PROTEÇÃO DE DADOS PESSOAIS NO BRASIL ����������� 28 3.1 OS PRIMEIROS PASSOS ��������������������������������������������������������� 28 3.2 O CÓDIGO DE DEFESA DO CONSUMIDOR ��������������������������� 30 3.3 O MARCO CIVIL DA INTERNET ���������������������������������������������� 31 3.4 FINALMENTE, UMA LEI GERAL! ��������������������������������������������� 32 4 ENTENDENDO A LGPD – A NOSSA LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS ������������������������������������������ 34 4.1 OBJETIVOS ����������������������������������������������������������������������������� 36 4.2 FUNDAMENTOS �������������������������������������������������������������������� 36 4.3 APLICABILIDADE ������������������������������������������������������������������� 37 4.4 PRINCIPAIS CONCEITOS �������������������������������������������������������� 38 4.5 PRINCÍPIOS A SEREM OBSERVADOS ������������������������������������� 39 4.6 AS BASES LEGAIS PARA O TRATAMENTO DE DADOS PESSOAIS ������������������������������������������������������������ 40 4.7 OS DIREITOS DO TITULAR DOS DADOS PESSOAIS ��������������� 44 4.8 OS TRATAMENTOS REALIZADOS PELO PODER PÚBLICO ���� 45 4.9 A TRANSFERÊNCIA INTERNACIONAL DE DADOS ������������������ 46 4.10 AGENTES DE TRATAMENTO ������������������������������������������������ 46 4.11 O ENCARREGADO PELO TRATAMENTO DE DADOS PESSOAIS (DPO) ����������������������������������������������� 46 4.12 SEGURANÇA E BOAS PRÁTICAS ������������������������������������������ 47 4.13 FISCALIZAÇÃO E PENALIDADES ������������������������������������������ 49 4.14 ANPD - AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS �������������������������������������������������� 50 5 O IMPACTO DA LGPD NAS RELAÇÕES NEGOCIAIS ��������� 53 5.1 O QUE MUDA NO DIA A DIA DAS EMPRESAS ����������������������� 53 5.2 CENÁRIO INICIAL ������������������������������������������������������������������� 54 5.3 O PERIGO DA FALTA DE ADEQUAÇÃO ���������������������������������� 55 6 O QUE FAZER PARA FICAR EM DIA COM A LGPD ����������� 57 6.1 CONSCIENTIZAÇÃO ��������������������������������������������������������������� 57 6.2 ADEQUAÇÕES TÉCNICAS ������������������������������������������������������ 58 6.3 ADEQUAÇÕES ADMINISTRATIVAS ���������������������������������������� 59 6.4 A CULTURA DA PROTEÇÃO DE DADOS ��������������������������������� 60 CONSIDERAÇÕES ������������������������������������������������� 62 REFERÊNCIAS ����������������������������������������������������� 63 Lei Geral de Proteção de Dados Pessoais (LGPD) 5 CONTEXTUALIZANDO Este curso, Lei Geral de Proteção de Dados Pessoais (LGPD), foi desenvolvido para atender uma demanda crescente de profissionais que desejam obter maiores conhecimentos sobre essa legis- lação, que tanto afetará o cotidiano das organizações, quando entrar em vigor. Sendo assim, este material irá contextualizar as razões do aumento significativo da importância dos dados pessoais, demonstrando sua evolução legislativa em nível mundial e de que forma isso está refletindo em nosso país. Nos próximos anos, as oportunidades na área de segurança da informação crescerão vertiginosamente. Na mesma proporção, as iniciativas de compliance também estarão entre as prioridades do mercado. Para o bom desempenho nessas áreas, é fundamental que as empresas disponham de pessoal qualificado e apto a desempenhar novas funções como a de Encarregado de Dados, previsto na LGPD. Agora, conheça alguns exemplos de atividades que exigirão conhecimentos específicos, para que sejam executadas com o devido zelo e atenção: Compreender a abrangência da LGPD e entender seu escopo. Ser capaz de identificar quais dados pessoais são tratados. Entender a que tipos de riscos as empresas estarão sujeitas e de que maneira é possível preveni-los. Saber o que fazer em caso de incidentes com dados pessoais. Perceba que, nesse sentido, este curso será de grande valia, constituindo-se na base necessária para uma adequada capacitação profissional. Videoaula Agora, clique aqui, assista ao vídeo e conheça a estrutura deste curso. Dever de estar em conformidade com atos, normas e leis, para seu efetivo cumprimento. https://www.youtube.com/embed/1HTBYqu8BDE?%0Drel=0&showinfo=0 Lei Geral de Proteção de Dados Pessoais (LGPD) 6 1 O ENORME VALOR DOS DADOS PESSOAIS Você já deve ter percebido que o valor que damos às coisas é subjetivo e mutável. Subjetivo, porque o valor que um determinado bem tem para uma pessoa pode ser completamente diferente do valor que esse mesmo bem tem para outra pessoa. Mutável, porque, ao longo do tempo, esse bem pode perder ou ganhar valor, de acordo com as circunstâncias. Para melhor compreender como o valor que damos às coisas pode mudar, observe a Figura 1. Figura 1 - O valor de uma garrafa de água UMA GARRAFA DE ÁGUA NA SUA CASA PODE SER ALGO DE POUCA IMPORTÂNCIA PARA VOCÊ E SEUS FAMILIARES MAS, SE ESSA MESMA GARRAFA SERVIR PARA MATAR A SEDE DE UM VIAJANTE NO DESERTO DO SAARA, CERTAMENTE TERÁ UM VALOR INESTIMÁVEL Fonte: Senac SETED (2019). Assim, ao longo do tempo, diferentes coisas foram sendo valorizadas na sociedade, enquanto outras decresceram em termos de importância. Os valores atribuídos aos nossos bens mudaram e continuarão mudando constantemente. Fato inequívoco é o que ocorre com a cotação das empresas na bolsa de valores. Que tal compreender como o valor das empresas foi sendo alterado ao longo dos anos? � Quando as primeiras ações começaram a ser negociadas, o grande diferencial para se atribuir valor a uma organização era o seu patri� mônio físico: instalações, localização, maquinário... � Posteriormente, o valor das empresas passou a ser ditado pela qualidade de seus produtos, estoques, ativos financeiros e efici� ência logística. 1 - O enorme valor dos dados pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 7 � Mais recentemente, houve a valorização do capital humano e o incentivo ao conhecimento e à inovação. � Mas, na onda atual, o grande diferencial a atestar o valor de uma empresa perante o mercado está na sua capacidade de adquirir, armazenar, processar e utilizar a informação. Para melhor compreensão deste primeiro tópico, cabe-nos rememorar alguns conceitos básicos de Sistemas de Informação, em que a pergunta “o que é informação? ” nos é respondida, via de regra, pelo seguinte enunciado: “Informação é o dado com significado, processado de forma a ser útil” (XEXÉO, 2007). Ao fazer um link dessa afirmação com o título deste primeiro tópico, “O enorme valor dos dados pes� soais”, podemos concluir, logicamente, que dados são fundamentais para a produção de informações, tornando-seuma espécie de combustível vital, tal qual o petróleo foi para a humanidade até pouco tempo atrás. E, no universo dos milhares de dados que circulam diariamente pelo cotidiano das organizações, um tipo em especial vale mais do que qualquer outro: os dados pessoais! Mas, você sabe o que são dados pessoais? 1.1 O CONCEITO DE DADO PESSOAL Bem, já sabemos que os dados pessoais têm enorme valia nos dias atuais. Mas afinal, o que é exatamente um dado pessoal? Podemos começar respondendo da forma mais óbvia possível: dados pessoais são dados de pessoas, aqueles que servem para identificá-las ou atribuir-lhes determinadas características. Mas existe um ponto fundamental de corte: ao mencionar “dados pessoais” há um entendimento mundial de que se tratam de dados de pessoas físicas, também chamadas pelos legisladores de “pessoas naturais”. Em resumo: estamos falando de... gente. Ou seja, ficam fora os dados de empresas e outras instituições, as chamadas “pessoas jurídicas”. Contudo, isso não significa que tais dados não tenham valor ou que não devam ser protegidos. Signi� fica apenas, que no espectro de aplicação das leis que versam sobre dados pessoais, eles não estão contemplados. 1 - O enorme valor dos dados pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 8 Também ficam fora da proteção gerada pela LGPD, os dados: De animais. De personagens fictícios. De robôs ou de seres incorpóreos, abstratos ou que não se enquadrem na condição de ser humano. Agora, conheça como a LGPD, em seu Artigo 5º, inciso I, conceitua dado pessoal (grifos nossos): I - dado pessoal: informação relacionada à pessoa natural identificada ou identificávelidentificável; Antes de prosseguir com seus estudos e conhecer os dados que estão ligados, diretamente, à pessoa e a identificam instantaneamente, que tal relembrar o que você acabou de aprender sobre a LGPD? NÃO SE APLICA Dados de pessoas físicasSE APLICA Dados de pessoas jurídicas Dados de animais, personagens fictícios, robôs ou de seres incorpóreos, abstratos ou que não se enquadrem na condição de ser humano LGPD No âmbito das categorias de dados abrangidas pela LGPD, estão compreendidos os dados de todas as pessoas físicas identificadas por tais dados ou identificáveis por eles. 1 - O enorme valor dos dados pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 9 Para melhor compreender o que isso significa, observe a imagem a seguir. DADOS QUE ESTÃO LIGADOS, DIRETAMENTE, À PESSOA E A IDENTIFICAM INSTANTANEAMENTE Nome e Sobrenome CPF DNA Impressões digitais Sexo Cor da peleData de nascimento DADOS PESSOAIS QUE, ISOLADAMENTE, NÃO IDENTIFICAM SEU TITULAR Fonte: Senac SETED (2019). Perceba que, a princípio, se você tem a data de nascimento de alguém, isso apesar de ser um dado pessoal, isoladamente, não servirá para identificar ninguém, pois há milhares de pessoas nascidas em uma mesma data. Porém, se for feita uma associação desse dado, a algum outro dado pessoal, ou contexto, o titular desse dado poderá ser identificado. Agora, compreenda como a associação de dado pessoal e contexto pode auxiliar na identificação do titular de um dado. 1 - O enorme valor dos dados pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 10 Exemplo Imagine que você tenha a data de nascimento de alguém: 29/02/1980. O famoso dia do ano bissexto, aquele que só é acrescentado ao calendário de 4 em 4 anos. Pois bem, ao analisá-lo de forma isolada, você saberá que, em todo o mundo, muita gente nasceu nesta data, impossibilitando identificar a qual dessas pessoas pertence esse dado. Só a título de curiosidade, segundo o World Data Lab, 278.841 pessoas nasceram nessa data no mundo. Porém, se essa análise ocorrer dentro de um contexto menor, por exemplo, no ambiente de uma empresa de médio porte, é possível que, com a simples menção da data de nascimento, você identifique o colaborador que tenha nascido neste dia, pois o universo de comparação reduziu-se significativamente. Assim, chamamos o titular de pessoa identificável. Ainda nas categorias de dados, o legislador nos trouxe, no Art. 5º, inciso II, o conceito de dados sensíveis: II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural; Figura 2 - Dados sensíveis DADOS SENSÍVEIS Fonte: Senac SETED (2019). Ao diferenciar tais dados, quis a LGPD, na esteira das principais leis de proteção de dados ao redor do mundo, conferir proteção extra ao titular de dados, quando esses envolverem temas polêmicos ou de foro íntimo, capazes de gerar algum tipo de discriminação ou preconceito. https://population.io/#/1980/02/20/male/Brazil/summary 1 - O enorme valor dos dados pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 11 Agora, observe a seguir, dois exemplos de dados sensíveis. � Ao informar sua religião, você pode sofrer com a prática de bullying dentro da organização. � Ao saber que uma pessoa é portadora de determinada doença, uma empresa pode decidir por excluí-la de um processo seletivo. Assim, os dados sensíveis possuem regras de utilização mais restritas, exigindo cuidados redobrados no seu tratamento. A terceira categoria de dados, envolve os chamados “dados anonimizados”. Diz o Art. 5º, inciso III, da LGPD: III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento; Esses são os casos nos quais se extrai determinados dados de uma base, geralmente para fins esta� tísticos ou quantitativos, em que não será levada nenhuma outra informação capaz de identificar os titulares desses dados. Para melhor compreender os dados anonimizados, acompanhe o exemplo a seguir. Exemplo Em uma pesquisa da média1 de idade de colaboradores de uma empresa, colhem-se apenas as datas de nascimento de todos os colaboradores, sem que isso signifique a capacidade de, isoladamente, fornecer a identificação de alguém. 1 Resultado da soma de todas as informações de um conjunto de dados dividida pelo número de dados que foram somados. Você sabia que a lei estabelece ainda, tratamento diferenciado para dados de criançasdados de crianças e adolescentesadolescentes? É preciso consentimento específico e em destaque de pelo menos um dos pais ou do responsável legal, para que haja conformidade no tratamento de dados. Outro aspecto a ser considerado, é que, quanto à sua formatação, a lei não faz distinção entre dados digitais e dados analógicos, concedendo o mesmo nível de proteção a ambos. 1 - O enorme valor dos dados pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 12 Assim, tanto os arquivos de bases de dados de um software, armazenados em um determinado ser� vidor, quanto eventuais fichas, formulários e papéis existentes na empresa, podem conter dados pessoais e deverão ser mapeados. Por fim, vale destacar que os dados pessoais podem ser do tipo “estruturados” ou “não estruturados”. Agora, compreenda as diferenças entre esses tipos de dados. Dados estruturados Quando pertencentes a um banco de dados ou planilha, organizados sob a forma de tabela e sequencialmente dispostos em cada registro. Dados não estruturados São os dados que carecem de uma estrutura prévia de alocação, podendo aparecer sob diferentes formatos e meios de armazenamento. Figura 3 - Dados estruturados X Dados não estruturados DADOS ESTRUTURADOS DADOS NÃO ESTRUTURADOS 0.103 0.176 0.387 0.300 0.379 0.333 0.384 0.564 0.587 0.857 0.421 0.309 0.654 0.729 0.228 0.266 0.750 1.056 0.936 0.911 0.225 0.326 0.643 0.337 0.721 0.187 0.586 0.529 0.340 0.829 0.153 0.485 0.560 0.428 0.628 Fonte: Adaptada de Laserfiche® (2019). Que tal conhecer algunsexemplos de dados não estruturados? Dados pessoais constantes em um texto qualquer, que tenha sido digitalizado em formato PDF. Imagens de pessoas postadas em redes sociais. Textos, áudios ou vídeos constantes de aplicativos de troca de mensagens, como o WhatsApp. 1 - O enorme valor dos dados pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 13 Em função disso, vale lembrar que ao se pensar em segurança dos dados pessoais, deve-se proteger também os dados não estruturados, pois muitas vezes, é deles que vazam características e detalhes que podem comprometer a privacidade, a intimidade ou a honra do titular. 1.2 O PAPEL DA TECNOLOGIA DA INFORMAÇÃO Embora já saibamos que a LGPD concede igual nível de proteção, sem distinguir os dados digitais dos dados analógicos, o fato é que o avanço tecnológico proporcionou os insumos necessários para a disseminação do uso de dados pessoais, principalmente, em função da quebra de duas restrições técnicas, que dificultavam o tratamento de dados no passado. Agora, descubra quais são essas duas restrições técnicas que foram quebradas pelo avanço tecnológico. A capacidade de armazenamento de dados. A velocidade de processamento dos dados. Agora, que tal compreender essas duas restrições técnicas? Capacidade de armazenamento de dados Nos primórdios da computação, cada byte economizado na gravação de um determinado dado, representava uma economia significativa para desenvolvedores e usuários de siste� mas computadorizados. Não foi à toa que, na virada do ano 2000, o mundo se viu às voltas com o chamado “Bug do Milênio”. Esse aparente erro de interpretação de data nos softwares, na verdade ocorria somente porque os programadores da época, no intuito de economizar espaço de armazenamento em disco, ao invés de gravarem as datas no formato DD/MM/AAAA, com quatro dígitos no ano, utilizavam o formato DD/MM/AA, com apenas dois dígitos no ano, poupando, assim, dois preciosos bytes a cada data armazenada. Figura 4 - Centro de processamento de dados Fonte: Wikimedia Commons (2019). 1 - O enorme valor dos dados pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 14 Porém, com a virada do milênio, os sistemas passaram a entender as datas do ano 2000, gravadas apenas com 00, como significando 1900, gerando imensa confusão e obrigando as empresas de TI (Tecnologia da Informação) a gastarem vários bilhões de dólares com o custo da adequação dos sistemas. A realidade atual é absolutamente outra. Hoje, o custo de armazenagem de dados caiu vertiginosamente. Em tempos de big data, data warehouse e data mining, o que se prega é exatamente o contrário: armazene a maior quantidade possível de informações sobre seus clientes, fornecedores e seja lá tudo o mais que possuam dados, com os quais você se relaciona ou pretende se relacionar. Afinal, os dados, agora, são valiosíssimos. Então, quanto mais eu puder armazenar, mais poderei explorar. Velocidade de processamento dos dados Esse ponto de inflexão no tratamento de dados ocorreu, diretamente, em função de um aspecto exclusivamente técnico. As máquinas passaram, gradativamente, a poder proces� sar uma quantidade muito maior de dados, cada vez em menos tempo, de forma segura e barata. Entre o pessoal da área de Tecnologia da Informação é muito conhecida a chamada “Lei de Moore”. Essa lei refere-se a uma “profecia” realizada por Gordon Earle Moore, presidente da Intel na época, em meados dos anos 60. Segundo essa lei: “A velocidade de processamento das máquinas dobra a cada dezoito meses.” Figura 5 - Gordon Earle Moore Fonte: Flickr da Intel Free Press (2013). Big data: Termo que descreve o grande volume de dados - estruturados e não estruturados - que impactam os negócios diariamente. Data warehouse: Depósito de dados digitais que serve para armazenar informações detalhadas relativas a uma empresa, criando e organizando relatórios através de históricos que serão usados, posteriormente, pela empresa para ajudar na tomada de decisões importantes. Data mining: A tradução dessa expressão é mineração de dados. Consiste em uma funcionalidade que agrega e organiza dados, encontrando neles: padrões, associações, mudanças e anomalias relevantes. 1 - O enorme valor dos dados pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 15 A verdade é que aquilo que Moore profetizou, tornou-se realidade e hoje o céu é o limite. O crescimento exponencial da capacidade das máquinas em armazenar e processar velozmente os dados, abriu margem a uma série de combinações algorítmicas, antes inimagináveis, possibilitando cruzamentos de dados e obtenção de informações detalhadas e complexas, a cabo de uns poucos segundos. Saiba mais Para conhecer um pouco mais sobre a Lei de Moore e compreender o porquê você deve se preocupar com o fim dela, clique aqui. Boa leitura! Ora, se o grande objetivo de se coletar e armazenar dados é produzir informações valiosas a partir de seu processamento, e se fazer isso, do ponto de vista tecnológico, se tornou rápido e barato, então as empresas irão buscar cada vez mais obter dados para dar sequência a essa produção de riqueza... 1.3 A NECESSIDADE DE SE PROTEGER OS DADOS PESSOAIS Diante de um cenário tecnológico extremamente favorável, algumas grandes empresas da área come� çaram a exercer um poder oculto, mascarando as reais finalidades das coletas de dados, direcionando informações, influenciando decisivamente nas escolhas feitas pelas pessoas. Foi nesse momento, ante a necessidade de se colocar freios na utilização abusiva dos dados pessoais, que as legislações de proteção, antes tímidas, esparsas e setorizadas, foram ganhando corpo, até se transformarem em um sistema transnacional e efetivo de proteção de dados, dotado de imensa capacidade coercitiva. Ao analisarmos as principais legislações de proteção de dados pelo mundo, concluiremos que seus princípios basilares são sempre os mesmos, buscando manter: A liberdade, A privacidade e A capacidade de autodeterminação informativa das pessoas. Agora é com você! Agora, antes de prosseguir com seus estudos e conhecer a evolução histórica da legislação de dados pessoais, acesse o Material de Estudo deste curso no Ambiente Virtual de Aprendizagem (AVA) e realize a atividade de Reflita e Responda proposta Poder do indivíduo determinar e controlar a utilização de seus dados pessoais. https://www.uol.com.br/tilt/noticias/redacao/2019/01/29/o-que-e-a-lei-de-moore-e-porque-voce-deve-se-preocupar-com-o-fim-dela.htm 1 - O enorme valor dos dados pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 16 Na nossa preparação para compreendermos, adequada� mente, o funcionamento da LGPD, este tópico abordou o contexto atual dos aspectos relacionados à proteção de dados pessoais. Tivemos a oportunidade de entender as razões para a alta valorização dos dados pessoais e o quanto a evolução tecnológica influenciou nisso. E vimos, também, a necessidade premente de se criar regras que possam coibir os abusos que vêm ocorrendo com a utili� zação indiscriminada de nossos dados. No próximo tópico, veremos como está ocorrendo a evolução dessas regras em um mundo globalizado e sua ligação com os sistemas regulatórios de compliance. Mas, antes de compreender a evolução da legislação de dados pessoais, que tal conferir o texto oficial da LGPD na íntegra? Para isso, clique aqui. Boa leitura! Imediata, urgente. PESSOAS FÍSICAS DADOS PESSOAIS DA DO S AN ON IM IZ AD OSDADOS ESTRUTURADOS PESSOA IDENTIFICÁVEL DADOS SENSÍVEISINFORMAÇÃO DA DO S DI GI TA IS DADOS ANALÓGICOS PROCESSARVALOR LG PD ARMAZENAR DADOS NÃO ESTRUTURADOS http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm Lei Geral de Proteção de Dados Pessoais (LGPD) 17 2 EVOLUÇÃO HISTÓRICA DA LEGISLAÇÃO DE DADOS PESSOAIS A preocupação com a preservação dos dados pessoais não é algo novo. Nasceu, praticamente, com a própria sociedade, pois desdetempos imemoriais, sabe-se que o direito à privacidade, à intimidade e ao sigilo das conversas sempre foi importante para a harmonia social e para o bom desenvolvimento das relações humanas. Figura 6 - O antivírus Ufa!!! Que bom que tenho um excelente antivírus. Nossa, um vírus! Fonte: Adaptada de Blog Bit Atualidades - Charges sobre informática (2011). Mas, o fato é que o surgimento de novas tecnologias, com expoência para a disseminação do uso do computador a partir da década de 40, proporcionaram um significativo incremento nas formas de coleta, armazenamento e processamento de dados. Conclusões, análises de resultados e cálculos esta� tísticos, que outrora levavam meses para ficarem prontos, agora estavam a poucas horas de distância. Por outro lado, com o advento da Segunda Guerra Mundial, a preocupação com o uso abusivo dos dados pessoais cresceu significativamente, fazendo nascer toda uma cultura de proteção de dados. Isso aconteceu, notoriamente, na Europa, onde milhões de seres humanos foram condenados à morte nas câmaras de gás, unicamente pelo fato de terem seus dados pessoais revelados, seja em razão da sua fé professada, de seu sobrenome, local de nascimento ou grupo étnico. Em tempos passados, antigamente. 2 - Evolução histórica da legislação de dados pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 18 Figura 7 - Judeus húngaros na Judenrampe (rampa judaica) depois de desembarcar dos trens do Holocausto. Várias fontes acreditam que o fotógrafo tenha sido Ernst Hoffmann ou Bernhard Walter Fonte: Wikimedia Commons (2019). Assim, no pós-guerra, com o surgimento das primeiras legislações nacionais, tratou-se logo de estabe� lecer mecanismos de controle sobre o uso dos dados pessoais. A retomada das negociações comerciais entre os países e a livre circulação de pessoas, com a cons� tituição da União Europeia, também contribuíram decisivamente para o aprimoramento das leis de proteção de dados. Por outro lado, o incremento na capacidade de armazenamento de dados, aliado ao exponencial desenvolvimento da velocidade de processamento das máquinas, abriram margem ao aumento significativo nos volumes de dados pessoais tratados e, consequentemente, à necessidade de se criar regras e limites para a proteção dos direitos dos titulares desses dados. 2.1 LEGISLAÇÃO DE PROTEÇÃO DE DADOS: UM FENÔMENO DA GLOBALIZAÇÃO Na medida em que a sociedade criava e diversificava os diferentes meios de comunicação, as primeiras leis visando preservar a privacidade das pessoas foram surgindo. Mas estamos falando de normas esparsas, iniciativas isoladas em um país aqui e outro ali. Quando olhamos para a legislação de proteção de dados de maneira sistêmica, estruturada, com leis padronizadas e de aplicabilidade geral, o que percebemos é que isso só começou a ocorrer a partir do momento em que intensificaram-se as relações de comércio internacional, capitaneadas pelas novas facilidades tecnológicas. Diversas atividades de processamento de dados, que antes ficavam restritas a uma determinada localização física, passaram a ser executadas em diferentes pontos do globo. 2 - Evolução histórica da legislação de dados pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 19 Alguns fatores permitiram que os mesmos processadores que operavam na Europa e nos Estados Unidos (EUA), estivessem em uso, ao mesmo tempo, em países distantes como Índia ou China, sendo que esses fatores são: O aprimoramento das redes de telecomunicação, A quebra de barreiras comerciais e Os acordos de cooperação técnicos. A tecnologia acompanhou o fenômeno mundial da globalização. E, na esfera do tratamento de dados, não foi diferente. Os grandes data centers (Figura 8), antes centralizados no primeiro mundo, foram deslocados para os mais diversos países. Soma-se a isso o incremento no volume mundial de transa� ções on-line. É natural que houvesse a necessidade de se proteger os dados. Principalmente, os dados pessoais, ante a sua exponencial valorização. Figura 8 - Data center Fonte: iStock (2019). Assim, os países em que não existia qualquer lei de proteção de dados pessoais, passaram a ser pres� sionados para se adequar a essa exigência, a fim de poder garantir a continuidade das transações de compartilhamento e transferência internacional de dados, mantendo o mesmo nível de segurança existente nos países mais avançados nessa cultura. Se não fosse a globalização, desencadeada, principalmente, a partir da virada do milênio, muitas nações ainda estariam na pré-história do nível de proteção de dados pessoais. Data center, também conhecido como centro de processamento de dados, é o local em que estão concentrados os servidores, equipamentos de processamento e armazenamento de dados, além dos sistemas de ativos de rede (como switches e roteadores) de uma organização. 2 - Evolução histórica da legislação de dados pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 20 2.2 O COMPLIANCE NA ORIGEM DO SISTEMA DE PROTEÇÃO DE DADOS PESSOAIS Um aspecto a ser destacado, quando falamos em proteção de dados pessoais como um sistema, é que em sua essência, ele deriva, diretamente, dos padrões das chamadas normas de compliance. Informação A palavra compliance, vem do verbo em inglês to comply, que significa, em tradução livre, “fazer cumprir”, ou seja, realizar aquilo que foi combinado, respeitar o que está acordado, respeitar a lei, agir de acordo com um regulamento. Figura 9 - Compliance COMPLI ANCE REGULAMENTAÇÃO GOVERNO PADRONIZAÇÃO REQUERIMENTOS TRANSPARÊNCIA POLÍTICAS LEIS REGRAS Fonte: Senac SETED (2019). Apesar de o termo ser conhecido há muito tempo, as iniciativas de compliance ganharam força a partir dos grandes escândalos de corrupção ocorridos nos Estados Unidos, com a falência das gigantescas companhias Enron e WorldCom, envolvendo ainda uma das principais empresas de auditoria do mundo. Leis complexas surgiram para regulamentar as áreas de finanças e de contabilidade, como é o caso da Lei Sarbanes & Oxley nos EUA. A auto-regulamentação ganhou força. Surgiram os programas de integridade e ética empresarial. A Lei Sarbanes & Oxley teve como “objetivos estabelecer sanções que coíbam procedimentos não éticos e em desacordo com as boas práticas de governança corporativa por parte das empre� sas atuando do mercado americano. O objetivo final é o de restabelecer o nível de confiança nas informações geradas pelas empresas e, assim consolidar a teoria dos mercados eficientes que norteia o funcionamento do mercado de títulos e valores mobiliários” (BORGERTH, 2005). 2 - Evolução histórica da legislação de dados pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 21 O mercado passou a ter um olhar diferenciado para as empresas que possuíssem a cultura de compliance implementada e efetiva. As chamadas “leis de compliance” multiplicaram-se ao redor do mundo, mantendo características semelhantes em sua formatação, tendo sempre como princípios: � a boa-fé, � a ética e � a responsabilidade. Foram previstas sanções pesadas aos infratores e atenuantes significativas, para aqueles que de� monstrassem manter uma estrutura interna de integridade. Quando analisamos as leis de proteção de dados pessoais, quanto à sua natureza e forma, nos deparamos com as mesmas características. Não há a menor dúvida, de que se tratam de normas de compliance, focadas em um ponto específico: proteção da privacidade. Agora que você já entendeu um pouco mais sobre a legislação e as normas de compliance, vamos dar uma volta ao mundo e verificar como diferentes países e continentes estão tratando a proteção de dados da sua população? 2.3 A PROTEÇÃO DE DADOS PESSOAIS PELO MUNDO Você sabia que, atualmente, vários países do mundo já consolidaram sua legislação de proteção de dados pessoais? Agora, observe como estava esse cenário em novembro de 2019. Figura 10 - Mapa da Proteção dedados pessoais ao redor do mundo País fortemente adequado (GDPR) País adequado País parcialmente adequado Autoridade nacional e lei(s) de proteção de dados pessoais Lei(s) de proteção de dados pessoais Sem lei(s) específica(s) sobre o tema Fonte: Commission Nationale de l’Informatique et des Libertés (2019). 2 - Evolução histórica da legislação de dados pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 22 Saiba mais Ficou curioso(a) para saber como está esse mapa neste momento? Que tal matar essa curiosidade!?! Para isso, clique aqui. Observe que no mapa deste link é possível obter mais informações sobre a proteção de dados pessoais de cada país, clicando no mapa do respectivo país. Essas informações, assim como a legenda do mapa, estão em inglês. Europa ÁsiaEstados Unidos África América Latina Quando o assunto é a proteção de dados pessoais, os europeus sempre estiveram à frente. Confira, na linha do tempo a seguir, como a evolução na proteção de dados ocorreu na Europa. 1970 A primeira lei específica sobre proteção de dados pessoais é publicada no Estado de Hesse, na Alemanha. Trata�se do Hessiches Datenschutzgesetz (Ato de Proteção de Dados de Hesse). 1973 A Suécia publica a primeira lei nacional de proteção de dados, o Ato de Dados Sueco. Nos anos seguintes, vários países da Europa vão pelo mesmo caminho. 1992 É criada a União Europeia. 1995 Entra em vigor a Diretiva 95/46/CE, tratando, especificamente, da proteção de dados pes� soais para todos os países membros da União Europeia. 2016 A Diretiva 95/46/CE foi substituída pela GDPR - General Data Protection Regulation, que entrou em vigor em 2018. Você sabia que a GDPR serviu de base para a nossa Lei Geral de Proteção de Dados Pessoais? https://www.cnil.fr/en/data-protection-around-the-world 2 - Evolução histórica da legislação de dados pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 23 Saiba mais A GDPR é conhecida em Portugal como RGPD - Regulamento Geral sobre a Proteção de Dados. Para conhecer essa legislação, clique aqui. Você deve ter percebido que essa legislação apresenta um conjunto de regras para as empresas ativas na União Europeia, que recolhem, armazenam e utilizam dados pessoais. Para compreender alguns aspectos importantes da GDPR, clique aqui. Boa leitura! Mas, e os EUA? Como será que esse país regulamenta o uso dos dados pessoais? Estados Unidos ÁsiaEuropa África América Latina Você sabia que os Estados Unidos adotam um modelo legislativo diferente do nosso? Baseado na Common Law, os americanos dão preferência aos direitos dos usos e costumes às regras escritas. Assim, procuram valorizar muito a jurisprudência, as decisões dos tribunais e evitam a proli� feração de leis. Mesmo assim, sendo o berço das maiores empresas de tecnologia do mundo, os Estados Unidos também possuem algumas normas, que regulamentam o uso dos dados pessoais, sem, entretanto, possuir uma legislação geral em vigor. Nos EUA, a primeira norma nesse sentido foi o Privacy Act, de 1974. O objetivo dessa norma é equilibrar a necessidade do governo de manter informações sobre os indivíduos com os direitos deles de serem protegidos contra invasões injustificadas de sua privacidade, resultantes da coleta, manutenção, uso e divulgação de informações pessoais (U.S. SMALL BUSINESS ADMINISTRATION, 2019). Sistema de Direito cuja aplicação de normas e regras não estão escritas, mas sancionadas pelo costume ou pela jurisprudência. https://eur-lex.europa.eu/legal-content/pt/TXT/?qid=1559291025147&uri=CELEX:32016R0679 https://ec.europa.eu/justice/smedataprotect/index_pt.htm 2 - Evolução histórica da legislação de dados pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 24 PRIVACY ACT Necessidade do governo de manter informações sobre os indivíduos Direito de proteção contra invasões injustificadas de privacidade Fonte: Senac SETED (2019). Depois seguiram-se outras normas, de forma setorizada e/ou localizada. Vamos conhecê-las? HIPPA A Health Insurance Portability and Accountability Act (Lei de Portabilidade e Responsabilidade do Seguro de Saúde) trata da proteção de dados na área da saúde. COPPA A Children’s Online Privacy Protection Act (Lei de Proteção à Privacidade On-line das Crianças) trata da proteção de dados de crianças na Internet. CCPA A California Consumer Privacy Act (Lei de Privacidade do Consumidor da Califórnia) é conside� rada, por muitos, mais rigorosa do que a própria GDPR europeia. Essa lei criou novos direitos do consumidor, relacionados ao acesso, exclusão e compartilhamento de informações pes� soais coletadas pelas empresas. Atualmente, há uma grande pressão para que o Congresso Americano aprove uma lei geral de prote� ção de dados pessoais, uniformizando as regras para todo o país. 2 - Evolução histórica da legislação de dados pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 25 ÁsiaEstados UnidosEuropa África América Latina Quando pensamos na proteção de dados pessoais nos países asiáticos, dois países nos chamam a atenção: � Japão: pois, quando se trata de conformidade, correção e cumprimento de normas, logo nos vem à mente a tradicional disciplina japonesa. Por isso, é de se esperar que nesse país exista algo sobre a proteção dos dados pessoais. � China: devido a seu regime comunista e por sua população ultrapassar 1 bilhão de pessoas. Agora, vamos conhecer como esses países tratam a proteção de dados pessoais? Desde 2005, o Japão tem o chamado “Ato de Proteção de Dados Pessoais”, que regulamenta os inte� resses dos indivíduos no processamento de seus dados por parte das empresas. Já na China, a Lei de Cibersegurança oferece algum tipo de proteção de dados pessoais para os cidadãos. ÁsiaEstados UnidosEuropa África América Latina Apesar da grande diversidade de etnias e culturas, das restrições econômicas e do instável ambiente político, a África surpreende positivamente quando se fala de iniciativas legislativas para a proteção de dados pessoais. Agora, conheça alguns dos principais países africanos que já possuem legislação sobre privacidade de dados: Angola, África do Sul, Gana, Costa do Marfim, Senegal, 2 - Evolução histórica da legislação de dados pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 26 Marrocos, Tunísia. E ainda existem importantes iniciativas no sentido de uniformizar tais legislações, como é o caso: � da Lei Modelo da SADC (Comunidade para o Desenvolvimento da África Austral) e � das Diretrizes Relativas à Proteção de Dados Pessoais na África, elaborada pela Comissão da União Africana, em conjunto com a Internet Society. ÁsiaEstados UnidosEuropa África América Latina Na América Latina, quando se trata de proteção de dados pessoais, infelizmente nós, brasileiros, estamos longe de exercer nossa condição de líderes naturais. Na verdade, somos um dos países mais atrasados, no que diz respeito a esse tema. Mas, como estão os outros países da América Latina? Observe, na imagem a seguir, alguns países da América Latina que têm leis de proteção de dados pessoais. PAÍSES QUE TÊM LEIS GERAIS DE PROTEÇÃO DE DADOS PESSOAIS, INCLUSIVE, HOMOLOGADAS PELA UNIÃO EUROPEIA COMO EQUIVALENTES À GDPR PAÍSES QUE POSSUEM LEIS PRÓPRIAS PARA TRATAR DOS DADOS PESSOAIS Argentina (2000) Uruguai (2009) Chile Colômbia Peru México Fonte: Senac SETED (2019). 2 - Evolução histórica da legislação de dados pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 27 Agora é com você! Agora, antes de prosseguir com seus estudos e compreender a proteção de dados pessoais no Brasil, acesse o Material de Estudo deste curso no AVA e realize a atividade de Reflita e Responda proposta. Como vimos, diversos países ao redor do mundo já adotam leis gerais de proteção de dados ou, no mínimo, possuem alguma legislação esparsa que trate desse assunto. Em geral, são leis, relativamente, recentes. Mas, e como está o Brasil em relação a esse assunto? Na sequência, veremos queo Brasil não fugiu à regra, embora estejamos consideravelmente atrasa� dos quando o tema é a proteção de dados pessoais. Caso você ainda não tenha conferido o texto oficial da LGPD na íntegra, que tal fazê-lo agora? Para isso, clique aqui. Lembre-se de que conhecer essa lei, em sua íntegra, é importante para uma melhor compreensão deste curso. Boa leitura! EUROPA PROTEÇÃO DE DADOS PESSOAIS LEGISLAÇÃO COMPLIANCE GLOBALIZAÇÃO AMÉRICA LATINA ÁFRICA ÁSIA EUAGDPR http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm Lei Geral de Proteção de Dados Pessoais (LGPD) 28 3 A PROTEÇÃO DE DADOS PESSOAIS NO BRASIL Historicamente, a legislação brasileira adotou o modelo positivista do Direito, das escolas lusitanas, alemãs e italianas, que privilegiam o direito escrito, em contraponto ao Direito Consuetudinário, o chamado Common Law, baseado nos usos e costumes, adotado pelos países da comunidade britânica e pelos EUA. Tal tradição, reflete-se em uma natural demora para a concretização de todo o processo legislativo, que vai desde a ideia inicial, à criação do projeto de lei, que passa pela necessidade de aprovação bicameral e, posteriormente, pela sanção presidencial, para finalmente, passar a vigorar com força coercitiva. Agora, visualize de forma gráfica como isso ocorre. Ideia inicial Criação do projeto de lei Aprovação bicameral Sanção presidencial Publicação da lei Desse modo, e sem ponderar sobre questões políticas ou interesses partidários, que constantemente se sobrepõem ao desejo da população, nosso país é reconhecido por uma certa lentidão, quando se trata de regulamentar questões culturais e comportamentais como é o caso das leis que versam sobre a proteção de dados pessoais. Nossas primeiras (e tímidas) tratativas, remontam a poucos e esparsos artigos, os quais abordavam o direito à proteção de dados pessoais de forma rasa e genérica como veremos logo adiante. A evolução, nesse sentido, só ocorreu de fato a partir da pressão internacional para que adotássemos mecanismos de proteção de dados pessoais equivalentes aos dos países do bloco europeu, culminando na promulgação da LGPD – Lei Geral de Proteção de Dados Pessoais. Mas, antes de compreender melhor a LGPD, prossiga com seus estudos e conheça como a Constituição Federal, de 1988, deu os primeiros passos em termos de uma legislação para a proteção de dados pessoais. 3.1 OS PRIMEIROS PASSOS Em termos de legislação específica para a proteção de dados pessoais, mesmo que em nível setorial, o Brasil demorou muito tempo para realizar as primeiras iniciativas, sendo que elas ocorreram, somente, com a promulgação da Constituição Federal de 1988. É o instrumento que declara a existência da lei e ordena sua execução. Emendas constitucionais são pro� mulgadas pelas Mesas da Câmara e do Senado, em sessão solene do Congresso. A promulgação das leis complementares e ordinárias é feita pelo presidente da República e ocorre simultaneamente com a sanção. http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm 3 - A proteção de dados pessoais no brasil Lei Geral de Proteção de Dados Pessoais (LGPD) 29 CONSTITUIÇÃO FEDERAL DE 1988 O seu Art. 5º trata dos direitos e garantias fundamentais do cidadão. Apresenta alguns dispositivos que fazem menção a questões relacionadas à privacidade e inviolabilidade dos dados. CONSTITUIÇÃO 1988 Fonte: Senac SETED (2019). Agora, que tal conhecer como esse artigo da Constituição Federal trata essas questões relacionadas à privacidade e inviolabilidade dos dados (grifos nossos)? Art. 5º Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade, nos termos seguintes: [...] X - são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoassão invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação; [...] XII - é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicascomunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal; A propósito, o inciso XII foi regulamentado, posteriormente, em 1996, pela Lei nº 9.296, que trata sobre a interceptação das comunicações telefônicas. E o Código de Defesa do Consumidor? Será que ele trata sobre algum aspecto relacionado à proteção de dados pessoais? http://www.planalto.gov.br/ccivil_03/leis/l9296.htm 3 - A proteção de dados pessoais no brasil Lei Geral de Proteção de Dados Pessoais (LGPD) 30 3.2 O CÓDIGO DE DEFESA DO CONSUMIDOR Promulgado pela Lei nº 8.078, de 11 de setembro de 1990, o Código de Defesa do Consumidor (CDC) estabeleceu em seu Art. 43: Art. 43. O consumidor, sem prejuízo do disposto no art. 86, terá acesso às informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre as suas respectivas fontes. § 1° Os cadastros e dados de consumidores devem ser objetivos, claros, verdadeiros e em linguagem de fácil compreensão, não podendo conter informações negativas referentes a período superior a cinco anos. § 2° A abertura de cadastro, ficha, registro e dados pessoais e de consumo deverá ser comunicada por escrito ao consumidor, quando não solicitada por ele. § 3° O consumidor, sempre que encontrar inexatidão nos seus dados e cadastros, poderá exigir sua imediata correção, devendo o arquivista, no prazo de cinco dias úteis, comunicar a alteração aos eventuais destinatários das informações incorretas. § 4° Os bancos de dados e cadastros relativos a consumidores, os serviços de proteção ao crédito e congênerescongêneres1 são considerados entidades de caráter público. § 5° Consumada a prescrição relativa à cobrança de débitos do consumidor, não serão fornecidas, pelos respectivos Sistemas de Proteção ao Crédito, quaisquer informações que possam impedir ou dificultar novo acesso ao crédito junto aos fornecedores. § 6º Todas as informações de que trata o caputcaput2 deste artigo devem ser disponibilizadas em formatos acessíveis, inclusive para a pessoa com deficiência, mediante solicitação do consumidor. 1 Que apresentam a mesma natureza ou caráter semelhante. 2 Termo que designa o enunciado de um artigo de lei, com incisos, alíneas e/ou parágrafos. Assim, como você pôde compreender pela leitura do artigo, pela primeira vez na legislação brasileira, concedeu-se a garantia de acesso aos dados do titular, exigindo-se, ainda, clareza e objetividade das informações. Outro direito que foi previsto pelo CDC, diz respeito à possibilidade de o consumidor exigir a correção de seus dados cadastrais. Vale lembrar, que, embora as previsões apresentadas no Art. 43 do CDC, tenham oferecido algum avanço em termos de proteção de dados pessoais, sua abrangência é limitada, em função de tal ins� trumento ser aplicável somente às relações de consumo. http://www.planalto.gov.br/ccivil_03/leis/l8078.htm 3 - A proteção de dados pessoais no brasil Lei Geral de Proteção de Dados Pessoais (LGPD) 31 Ou seja, o alcance da proteção fica relacionado à existência de um fornecedor de um lado e de um consumidor de outro, no âmbito dos conceitos legais estabelecidos nos Art. 2º e 3º do Código de Defesa do Consumidor. Você, provavelmente, já ouviu falar sobre o Marco Civil da Internet. Talvez, até já tenha lido sobre ele. Mas, você sabe como ele trata proteção de dados pessoais? Que tal descobrir? 3.3 O MARCO CIVIL DA INTERNET A Lei nº 12.965, de 23 de abril de 2014, conhecida como Marco Civil da Internet, estabeleceu uma sériede princípios e garantias, direitos e deveres para o uso da Internet no Brasil. O Marco Civil da Internet, além de garantir a privacidade e proteção de dados pessoais, assegura a disponibilização desses dados mediante ordem judicial (Figura 11). Figura 11 - Marco civil e proteção de dados pessoais MANDADOJUDICIAL Fonte: Adaptada do Tribunal de Justiça do Distrito Federal e dos Territórios (2015). Apesar de ter inserido, em seus princípios, a proteção de dados pessoais (Art. 3º, inciso III), o Marco Civil da Internet foi muito tímido ao tratar dessa questão. Segundo o CDC, “fornecedor é toda pessoa física ou jurídica, pública ou privada, nacional ou estrangeira, bem como os entes despersonalizados, que desenvolvem atividade de produção, montagem, criação, construção, transformação, importação, exportação, distribuição ou comercialização de produtos ou prestação de serviços”. Consumidor, de acordo com o CDC, “é toda pessoa física ou jurídica que adquire ou utiliza produto ou serviço como destinatário final”. http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm 3 - A proteção de dados pessoais no brasil Lei Geral de Proteção de Dados Pessoais (LGPD) 32 Os incisos I a III e VII a X do Art. 7º, dessa legislação, abordam os direitos dos titulares de dados pessoais: Art. 7º O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos: I - inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação; II - inviolabilidade e sigilo do fluxo de suas comunicações pela internet, salvo por ordem judicial, na forma da lei; III - inviolabilidade e sigilo de suas comunicações privadas armazenadas, salvo por ordem judicial; [...] VII - não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei; VIII - informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que: a) justifiquem sua coleta; b) não sejam vedadas pela legislação; e c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet; IX - consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais; X - exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas nesta Lei; Além disso, em sua Seção II, nos Artigos 10 a 12, o Marco Civil tratou de alguns aspectos da respon� sabilidade de proteção dos dados pessoais pelos provedores de acesso e nas operações realizadas através da Internet, prevendo algumas sanções. Perceba que isso é muito pouco, considerando a diversidade e a quantidade de transações de dados pessoais que são realizadas todos os dias em nosso país. Precisávamos, sem dúvida, de uma legislação mais robusta. 3.4 FINALMENTE, UMA LEI GERAL! Finalmente, em 2018, o Projeto de Lei da Câmara dos Deputados nº 53, de 2018, que substituiu outros três projetos do Senado Federal, os quais tramitavam desde 2013, foi aprovado e transformou-se na Lei nº 13.709, de 14 de agosto de 2018, a nossa Lei Geral de Proteção de Dados Pessoais, a chamada LGPD. Transitavam pelos trâmites legais, passando por cada uma das etapas e diligências indicadas na Constituição Federal. 3 - A proteção de dados pessoais no brasil Lei Geral de Proteção de Dados Pessoais (LGPD) 33 Figura 12 - LGPD LGPD Fonte: Senac SETED (2019). Moderna, complexa e imponente, a Lei Geral de Proteção de Dados Pessoais teve forte inspiração na GDPR, o regulamento europeu de proteção de dados, sem, porém, descer às minúcias deste. Agora é com você! Agora, acesse o Material de Estudo deste curso no AVA e realize a atividade de Reflita e Responda proposta sobre a proteção de dados pessoais no Brasil. Ao estudarmos o histórico legislativo da proteção de dados no Brasil, podemos perceber que não possuíamos, até pouco tempo atrás, qualquer tipo de preocupação com os dados pessoais, refletindo na nossa quase inexistente cultura de proteção de dados. Somos um povo liberal, comunicativo e de certa forma, avesso a amarras e proibições. Com o passar do tempo, foi necessário adequarmos nossa mentalidade e aceitar as regras do jogo em um cenário mundial muito mais interativo, culminando na adoção de uma Lei Geral de Proteção de Dados Pessoais, a LGPD. No próximo tópico, você conhecerá os principais conceitos e características da LGPD, que tanto afetará o cotidiano das empresas e de seu relacionamento com pessoas físicas, sob todos os ângulos. Detalhes, pormenores. PRIVACIDADE MARCO CIVIL DA INTERNET LEGISLAÇÃO CONSUMIDOR FORNECEDOR PROVEDORESCONSENTIMENTO INVIOLABILIDADE DADOS PESSOAIS CONSTITUIÇÃO FEDERALCDC SIGILO PROTEÇÃO CADASTRO LGPD Lei Geral de Proteção de Dados Pessoais (LGPD) 34 4 ENTENDENDO A LGPD – A NOSSA LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS Agora que você já compreendeu a importância dos dados pessoais e o motivo pelo qual surgiram as legislações que tratam dessa matéria, é chegada a hora de conhecer a LGPD - a Lei Geral de Proteção de Dados Pessoais do Brasil. Agosto de 2018 Promulgada em 14 de agosto de 2018, pelo então presidente Michel Temer, a LGPD trata-se da Lei nº 13.709, fruto do Projeto de Lei da Câmara nº 53, de 2018. Porém, na ocasião, o presidente Temer, preocupado com a falta de recursos para a criação da Autoridade Nacional de Proteção de Dados (ANPD), vetou todo o Capítulo IX da lei, que tratava da criação e da constituição do órgão. Como consequência, a LGPD, correria o risco de tornar-se “letra morta”, uma vez que não haveria nenhum órgão de controle no governo federal, com a res� ponsabilidade de orientar, fiscalizar e punir as entidades, no âmbito da aplicação da lei. Dezembro de 2018 No entanto, no apagar das luzes de seu governo e diante da enorme pressão recebida pelos organismos internacionais de proteção de dados, o ex-presidente Temer publicou, em 28 de dezembro de 2018, a Medida Provisória (MP) 869, recriando a ANPD. Julho de 2019 Durante o transcorrer do processo legislativo no Congresso Nacional, a MP 869 recebeu 176 emendas, sofrendo algumas modificações, tendo sido finalmente aprovada. Em julho de 2019, foi convertida na Lei nº 13.853, que alterou alguns artigos da LGPD. Após análise por parte da Presidência da República, a Lei nº 13.853 foi promulgada, com nove vetos do presidente Jair Bolsonaro. Setembro de 2019s O Congresso Nacional votou e derrubou parte desses vetos do presidente Bolsonaro, encerrando a fase legislativa. Mas, você sabe se a LGPD já está em vigor? Que tal dar continuidade a seus estudos e descobrir a resposta para esse questionamento? Ao contrário do que muitos pensam, a LGPD já se encontra em vigor, desde 28 de dezembro de 2018, no que diz respeito à criação da ANPD. Quanto aos demais artigos, essa lei passará a vigorar a partir do dia 14 de agosto de 2020. http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2019/lei/l13853.htm 4 - Entendendo a LGPD - A nossa Lei Geral de Proteção de Dados Pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 35 Figura 13 - Lei Geral de Proteção de Dados Pessoais LGPD 14 AGO 2020 Dados Proteção Criação da ANPD entrou em vigor em 28 DEZ 2018 Fonte: Adaptada de iStock (2019). Apesar da aparente confusão legislativa, a LGPD é uma lei muito bem elaborada e que foi amplamente discutida com a sociedade civil, através de diversas audiências públicas, nas quais várias entidades tiveram oportunidade de se manifestar e fazer sugestõesao texto legal. Você sabia que em sua essência, a LGPD é muito semelhante à GDPR (General Data Protection Regulation, da União Europeia), criada em 2016 e que entrou em vigor em 2018? Agora, compreenda as diferenças entre essas duas legislações de proteção de dados pessoais. General Data Protection Regulation Essa lei vai à miúde, procurando esgotar todo o assunto e esclarecer detalhes de sua sistemática. Lei Geral de Proteção de Dados Pessoais É uma lei mais concisa que a GDPR, atribuindo à ANPD o dever de regulamentá-la e expedir normas complementares, a fim de garantir a compreensão e a aplicabilidade da lei. Apesar de já termos preocupações suficientes com o que já consta do texto legal da LGPD, muito ainda estará por vir, com a normatização a ser estabelecida pela ANPD. Por ora, convém estudarmos a LGPD na sua integralidade, o que faremos a seguir. LGPD 4 - Entendendo a LGPD - A nossa Lei Geral de Proteção de Dados Pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 36 4.1 OBJETIVOS A Lei Geral de Proteção de Dados Pessoais apresenta alguns objetivos. Para conhecê-los, observe a imagem a seguir. OBJETIVOS DA LEI GERAL DE PROTEÇÃO PROTEGER OS DIREITOS FUNDAMENTAIS Dispor sobre o tratamento de dados pessoais para proteger os direitos fundamentais de liberdade, privacidade e o livre desenvolvimento da personalidade. DESENVOLVIMENTO DA PERSONALIDADE As decisões tomadas pelos indivíduos são baseadas nas informações que recebemos. E temos o direito de receber informações adequadas e oportunas, sem qualquer viés ou influência oculta. E para evitar manipulações, é fundamental proteger a exposição de nossos dados pessoais. LIBERDADE Em seus fundamentos, a LGPD destina-se a garantir ao titular dos dados pessoais uma série de direitos de escolha, exercendo, assim, a livre manifestação da sua vontade. PRIVACIDADE Os dados pessoais formam um conjunto de bens que pertencem ao titular e, conforme garantia constitucional, somente a ele cabe autorizar revelá-los ou distribui-los, preservando, assim, o sigilo de tais informações. Esse não é um direito absoluto, pois comporta exceções, desde que previstas em lei ou em regulamento. Fonte: Senac SETED (2019). Em função disso é que foi adotada uma “Lei Geral”, válida em todo o país e cuja matéria, por ser de interesse nacional, será de competência exclusiva do legislativo federal. 4.2 FUNDAMENTOS O artigo 2º da LGPD apresenta os fundamentos que serviram de base para a elaboração da lei, e que devem ser visitados para sua correta interpretação: Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos: I - o respeito à privacidade; II - a autodeterminação informativa; III - a liberdade de expressão, de informação, de comunicação e de opinião; IV - a inviolabilidade da intimidade, da honra e da imagem; V - o desenvolvimento econômico e tecnológico e a inovação; VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais. 4 - Entendendo a LGPD - A nossa Lei Geral de Proteção de Dados Pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 37 Figura 14 - Fundamentos da LGPD FUNDAMENTOS DA LGPD CIDADANIA E DIGNIDADE PRIVACIDADE E INTIMIDADE LIBERDADE AUTODETERMINAÇÃO INFORMATIVA CONCORRÊNCIA E DEFESA DO CONSUMIDOR INOVAÇÃO E DESENVOLVIMENTO Fonte: Senac SETED (2019). Observe que, na essência, a fundamentação que norteia a criação da legislação de proteção de dados pessoais está muito vinculada à afirmação de direitos dos titulares dos dados, bem como à preservação da transparência e da boa-fé nas relações negociais. 4.3 APLICABILIDADE A LGPD deve ser observada por pessoas físicas ou jurídicas, públicas ou privadas. Mas, você sabe quais são os critérios de aplicabilidade dessa lei? A LGPD tem como critérios de aplicabilidade a proteção de dados pessoais cujas operações de tratamento estejam sendo realizadas no território nacional. Também será aplicada quando a atividade de tratamento dos dados tenha por objetivo a oferta de bens ou de serviços à pessoa localizada em território nacional, ou que o tratamento de dados realizado, seja de indivíduos localizados no território nacional, independentemente de sua nacionalidade. Será aplicada ainda, quando mesmo que os dados estejam localizados fora do Brasil, tenham sido aqui coletados. Talvez mais importante ainda, seja saber em que condições não será aplicada a LGPD, conforme pre� ceitua o Art. 4º da LGPD, que tentaremos simplificar aqui. Não se aplica a LGPD, quando o tratamento de dados pessoais for realizado: Por pessoa natural para fins, exclusivamente, particulares e não econômicos. Para fins jornalísticos ou artísticos. 4 - Entendendo a LGPD - A nossa Lei Geral de Proteção de Dados Pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 38 Para fins acadêmicos, desde que observadas as bases legais. Para fins exclusivos da segurança pública, defesa nacional ou segurança do Estado. Para atividades de investigação e repressão de crimes. Em função de dados provenientes de países que não tenham leis aderentes ao sistema de proteção de dados pessoais, no mesmo grau conferido pela lei brasileira e que não sejam compartilhados com agentes de tratamento brasileiros. 4.4 PRINCIPAIS CONCEITOS Para melhor compreensão da LGPD, é importante que você assimile alguns termos e conceitos que são empregados ao longo de todo o texto legal. Vamos conhecê-los? Titular Pessoa natural a quem se refere os dados pessoais que são objeto de tratamento. Tratamento Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processa� mento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Agentes de Tratamento O controlador e o operador. Controlador Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. Operador Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. 4 - Entendendo a LGPD - A nossa Lei Geral de Proteção de Dados Pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 39 Encarregado Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Autoridade Nacional Órgão da administração pública responsável por zelar, implementar e fiscalizar o cumpri� mento desta Lei em todo o território nacional. Consentimento Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. 4.5 PRINCÍPIOS A SEREM OBSERVADOS A LGPD estabelece, em seu Art. 6º, alguns princípios norteadores, os quais devem ser utilizados nas situações em que houver alguma dúvida interpretativa ou nos casos em que a legislação for omissa. Vamos conhecê-los? Finalidade Propósitos legítimos, específicos, explícitos e informados ao titular. Adequação Compatibilidade do tratamento com as finalidades informadas ao titular. Livre Acesso Garantia, aos titulares, de consulta facilitada e gratuita sobre a forma, duração e integridade do tratamento. Qualidade dos Dados Garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados. Transparência Garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento. Segurança Utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas. LGPD 4- Entendendo a LGPD - A nossa Lei Geral de Proteção de Dados Pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 40 Prevenção Adoção de medidas para prevenir a ocorrência de danos. Não Discriminação Impossibilidade de tratamento para fins discriminatórios, ilícitos ou abusivos. Responsabilização e Prestação de Contas Demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais. Os princípios norteadores devem ser observados como exigência mínima para uma boa atividade de tratamento de dados pessoais, conforme estabelece o Art. 6º da Lei Geral de Proteção de Dados. Mas, você sabe quando é permitido realizar o tratamento de dados pessoais? 4.6 AS BASES LEGAIS PARA O TRATAMENTO DE DADOS PESSOAIS A Lei nº 13.709 estabelece, em seu Art. 7º, dez hipóteses em que é permitido realizar o tratamento de dados pessoais. Vamos conhecê-las? Consentimento do titular É a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. Esse consentimento deve ser dado por escrito ou por qualquer outro meio que demonstre a manifestação da vontade do titular, através de cláusulas destacadas. Importante O controlador deve provar que o consentimento foi dado pelo titular, para finalidades determinadas. Uma das restrições em se utilizar o consentimento como base legal, é que ele poderá ser revogado a qualquer momento, de forma fácil e gratuita. Isso poderá inviabilizar completamente a continuidade do tratamento dos dados. LGPD LGPD 4 - Entendendo a LGPD - A nossa Lei Geral de Proteção de Dados Pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 41 Cumprimento de obrigação legal ou regulatória pelo controlador Significa que, mesmo sem o consentimento do titular, o controlador deve guardar dados pessoais, processá-los, transmiti-los ou compartilhá-los, por força de lei ou de algum regulamento normativo. Dentre esses dados estão: � dados pessoais constantes em documentos fiscais, por exigência da legislação tributária/fiscal; � dados referentes aos empregados, por conta das leis trabalhistas; � dados a serem armazenados por determinado período, por conta de normas setoriais. Pela administração pública, para a execução de suas finalidades Hipótese em que o tratamento de dados pessoais, pela administração pública, se justifica, para possi� bilitar a execução de políticas promovidas pelo setor público. Observe na imagem a seguir, alguns exemplos dessa hipótese. EXEMPLOS DA HIPÓTESE “PELA ADMINISTRAÇÃO PÚBLICA, PARA A EXECUÇÃO DE SUAS FINALIDADES” BENEFÍCIOS ASSISTENCIAIS Bolsa Família, financiamentos habitacionais SEGURANÇA Registros criminais e prisionais, ressocialização do apenado ÁREA DA EDUCAÇÃO Para a destinação de verbas e execução de diretrizes ÁREA DA SAÚDE Relacionada ao SUS - Sistema Único de Saúde Fonte: Senac SETED (2019). Estudos por órgão de pesquisa (anonimização, sempre que possível) Ocorre quando um órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos realiza pesquisas de caráter histórico, científico, tecnológico ou estatístico. Que estão registrados. 4 - Entendendo a LGPD - A nossa Lei Geral de Proteção de Dados Pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 42 Para execução de contrato ou de procedimentos preliminares a este, quando solicitado pelo titular Ocorre quando o tratamento de dados pessoais é indispensável para o cumprimento dos próprios objetivos do contrato firmado ou para o envio de propostas, elaboração de minutas e outros entendi� mentos ou negociações prévias. Agora, observe alguns exemplos dessa hipótese. EXEMPLOS DA HIPÓTESE “PARA EXECUÇÃO DE CONTRATO OU DE PROCEDIMENTOS PRELIMINARES A ESTE, QUANDO SOLICITADO PELO TITULAR” Contratos de trabalho Minutas de negociação de preços e condições Contratos com operadoras de saúde Contratos de execução diferida (operadora de telefonia, água, luz, televisão a cabo) Contratos de financiamento bancário Fonte: Senac SETED (2019). Exercício regular de direitos em processo judicial, administrativo ou arbitral Esta hipótese apresenta as situações em que o tratamento de dados pessoais se legitima para fins de operacionalização e execução de processos. Vamos conhecer exemplos dessa hipótese? EXEMPLOS DA HIPÓTESE “EXERCÍCIO REGULAR DE DIREITOS EM PROCESSO JUDICIAL, ADMINISTRATIVO OU ARBITRAL” Processo arbitral referente a desacordo comercial Processo administrativo para suspensão de multas Processo judicial de reconhecimento de paternidade Processo judicial de reparação de danos causados em acidentes de veículos Fonte: Senac SETED (2019). 4 - Entendendo a LGPD - A nossa Lei Geral de Proteção de Dados Pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 43 Proteção da vida ou da incolumidade física do titular ou de terceiros Essa hipótese permite o tratamento de dados do titular ou de terceiros, em situações em que estes estejam expostos a riscos, perigo de morte ou suscetíveis a causar-lhes danos físicos graves. Agora, que tal conhecer exemplos dessa hipótese? EXEMPLOS DA HIPÓTESE “PROTEÇÃO DA VIDA OU DA INCOLUMIDADE FÍSICA DO TITULAR OU DE TERCEIROS” Sinal de georreferenciamento para localização de suspeitos de crimes graves Identificação de suspeito de espalhar doença contagiosa grave/ epidemia Situações de perigo extremo, tentativas de assassinato, agressões Fonte: Senac SETED (2019). Tutela da saúde, exclusivamente em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária Entende-se por tutela da saúde, os cuidados a serem empregados visando proteger, preservar ou reestabelecer a saúde dos agentes sujeitos de direito. Os procedimentos realizados por profissionais de saúde têm interpretação extensiva, mas pode-se adotar, por padrão, aqueles descritos no Rol de Procedimentos e Eventos em Saúde - 2018, da Agência Nacional de Saúde Suplementar (ANS). Atendimento aos interesses legítimos do controlador ou de terceiros É um critério bastante subjetivo, em que há a possibilidade de se tratar dados pessoais, desde que não se contraponham aos direitos e liberdades fundamentais do titular e sejam somente os dados, estritamente, necessários e relacionados com as atividades praticadas pelo controlador dos dados. Um exemplo clássico é o envio de publicidade/oferta de serviços aos clientes. Essa hipótese não se aplica aos dados pessoais sensíveis! Condição de estar livre de perigo ou dano; que está em segurança. 4 - Entendendo a LGPD - A nossa Lei Geral de Proteção de Dados Pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 44 Recapitulando Lembre-se de que dado pessoal sensível é o dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. Proteção do crédito Dispensa o consentimento do titular de dados pessoais em situações em que a coleta é realizada para pesquisa e análise de riscos relacionados à concessão de crédito. Esse é o caso dos scores de crédito para financiamentos bancários ou para identificação da situação de inadimplência junto ao SERASA/SPC. Atenção Toda vez que for necessário fornecer uma justificativa de uso de um determinado dado pessoal dentro da empresa, essa justificativa deverá se enquadrar em uma dessas dez situações. Do contrário, o tratamento dos dados será considerado indevido ou ilegal, abrindo margem à responsabilização tanto por parte do controlador quanto por parte do operador dos dados. 4.7 OS DIREITOS DO TITULAR DOS DADOS PESSOAIS Sendo a LGPD uma lei para a proteção de dados pessoais,um de seus pontos mais impactantes é o estabelecimento dos direitos do titular, previstos em seus Artigos 17 e 18. Além da garantia da titularidade dos dados, ou seja, a pessoa física que forneceu o dado é proprie� tária dele, a lei também estabelece que, mediante requisição, o titular poderá solicitar ao controlador dos dados algumas informações. Para conhecê-las, observe a imagem a seguir. Score de crédito: É o resultado dos hábitos de pagamento e relacionamento do cidadão com o mercado de crédito. SPC: Serviço de Proteção ao Crédito. 4 - Entendendo a LGPD - A nossa Lei Geral de Proteção de Dados Pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 45 DIREITOS DOS TITULARES NA LGPD Confirmação da existência de tratamento Acesso aos dados Correção de dados incompletos, inexatos ou desatualizados Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD Portabilidade dos dados a outro fornecedor Eliminação dos dados pessoais tratados com o consentimento do titular Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados Revogação do consentimento Fonte: Senac SETED (2019). Como se pôde ver, trata-se de uma mudança significativa no relacionamento entre o titular e o con� trolador do dado. É bem verdade que muitos dos direitos previstos nessa lei, ainda precisarão ser regulamentados pela ANPD. Questões como a forma de requisição e os prazos para respostas ainda precisarão de normas complementares para sua melhor aplicabilidade. Mas, não há como negar que para os titulares de dados, os avanços são significativos. Já para as empresas, resta a necessidade de rápida adequação, pois quem sair na frente, ainda terá um bom tempo para se adequar, o que é um belo diferencial competitivo. 4.8 OS TRATAMENTOS REALIZADOS PELO PODER PÚBLICO Nos tratamentos de dados do poder público, a LGPD procurou, principalmente, preservar algumas leis anteriores, no que diz respeito à transparência e ao direito à informação. De tal sorte que, embora no conjunto da LGPD, as obrigações de empresas públicas e privadas sejam bastante semelhantes, existem pequenos pontos em que a ANPD ainda terá que fornecer explicações como é caso de aplicação de uma multa a um órgão do próprio governo. 4 - Entendendo a LGPD - A nossa Lei Geral de Proteção de Dados Pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 46 4.9 A TRANSFERÊNCIA INTERNACIONAL DE DADOS A LGPD destinou todo o seu capítulo V para tratar da transferência internacional de dados. No Art. 33, já encontramos o princípio da reciprocidade: Art. 33 - A transferência internacional de dados pessoais somente é permitida nos seguintes casos: I - para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei; Ou seja, para que possamos enviar dados para fora do país, será obrigatório que o país de destino possa oferecer semelhante grau de proteção ao conferido pela lei brasileira. Além disso, a LGPD apresenta algumas situações em que é permitida a transferência de dados como: � na adoção de cláusulas padrões contratuais e � na adoção de normas públicas globais. 4.10 AGENTES DE TRATAMENTO Quando mencionamos os agentes de tratamento de dados, estamos nos referindo sempre a dois quadros: Controlador de Dados Aquele que irá tomar a decisão com base nos dados tratados. Pode ser tanto uma pessoa física quanto jurídica. Operador de Dados É a pessoa física ou jurídica que realiza o tratamento dos dados pessoais em nome do controlador. Nesse aspecto, é importante refletir que a responsabilidade civil sobre incidentes de vazamentos de dados, independentemente de onde o fato tenha ocorrido (no operador ou no controlador), será de ambos os agentes, que responderão, solidariamente, por eventuais indenizações. 4.11 O ENCARREGADO PELO TRATAMENTO DE DADOS PESSOAIS (DPO) A LGPD prevê, em seu Art. 41, para toda empresa controladora de dados, a obrigatoriedade da nome� ação de um encarregado pelo tratamento de dados pessoais. 4 - Entendendo a LGPD - A nossa Lei Geral de Proteção de Dados Pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 47 Também conhecido como DPO – Data Protection Officer, nomenclatura advinda da GDPR europeia, o encarregado de dados poderá ser uma pessoa física ou jurídica, a qual deverá ter sua identidade e informações de contato divulgadas publicamente, de preferência, através do site da empresa. Ele atuará como um canal de comunicação da empresa, interagindo com os titulares de dados e com a ANPD - Autoridade Nacional de Proteção de Dados. Entre suas atribuições legais, estão importantes atividades. Vamos conhecê-las? ATIVIDADES DO ENCARREGADO PELO TRATAMENTO DE DADOS PESSOAIS Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais Analisar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências Receber comunicações da autoridade nacional e adotar providências Fonte: Senac SETED (2019). A ANPD poderá estabelecer normas complementares sobre a definição e as atribuições do encarre� gado, hipóteses de dispensa de sua indicação, conforme a natureza da empresa, porte ou volume de operações de tratamento de dados pessoais. 4.12 SEGURANÇA E BOAS PRÁTICAS A LGPD, como uma boa norma de conformidade, dedicou todo o seu Capítulo VII para tratar da questão da segurança e das boas práticas no tratamento dos dados pessoais. Em seu Art. 46, a lei determina que os agentes de tratamento deverão adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situ� ações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de trata� mento inadequado ou ilícito. Você sabia que a ANPD poderá dispor sobre os padrões técnicos mínimos a serem adotados? As medidas protetivas devem ser consideradas desde a concepção do produto e/ou serviço até sua execução (princípios do privacy by design/privacy by default). Privacy by Design é uma metodologia em que a proteção de dados pessoais é pensada desde a concepção de sistemas, práticas comerciais, projetos, produtos ou qualquer outra solução que envolva o manuseio de dados pessoais. O Privacy by Default é uma decorrência do Privacy by Design. Em outras palavras, trata-se da ideia de que o produto ou serviço seja lançado e recebido pelo usuário com todas as salvaguardas que foram concebidas durante o seu desenvolvimento. Ou seja, todas as medidas para proteger a privacidade que foram idealizadas, desde o início do desenvolvimento do projeto, atendendo o princípio do Privacy by Design. 4 - Entendendo a LGPD - A nossa Lei Geral de Proteção de Dados Pessoais Lei Geral de Proteção de Dados Pessoais (LGPD) 48 Atenção A manutenção das medidas de segurança deverá prosseguir mesmo após o término do tratamento de dados. Os incidentes de segurança relevantes deverão ser comunicados à ANPD, em prazo razoável (a ser definido pela ANPD) e deverão mencionar, no mínimo: A natureza dos dados pessoais afetados. Informações sobre os titulares envolvidos. Medidas técnicas e de segurança utilizadas. Riscos relacionados ao incidente. Motivos da demora, caso a comunicação não seja imediata. Medidas adotadas para reverter ou mitigar os prejuízos. A ANPD poderá exigir providências do controlador como: � divulgar os fatos nos meios de comunicação (publicização) e � adotar medidas para reverter ou mitigar os efeitos do incidente. Na avaliação da gravidade, a ANPD irá levar em conta a comprovação de medidas técnicas adequadas à proteção de dados (considerados os limites técnicos dos serviços). Importante Os
Continue navegando
Compartilhar