LGPD: o que diz a lei de proteção de dados dos brasileiros

Em vigor desde 2020, a Lei Geral de Proteção de Dados (LGPD) surgiu para organizar a coleta, tratamento, armazenamento e compartilhamento de dados pessoais.

Essa lei foi inspirada na norma europeia de Proteção de Dados (GDPR - General Data Protection Regulation) e fez com que o Brasil passasse a ser parte de um grupo de países que contam com uma legislação específica para a proteção de dados de cada cidadão. 

Neste texto, você entenderá o que é a LGPD e por que ela é importante. Confira!

O que é a LGPD?

A lei 13.709/2018 - Lei Geral de Proteção de Dados (LGPD) - é uma lei de segurança de dados que “dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”.

As normas gerais são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e Municípios e garantem a privacidade dos brasileiros, além de evitar entraves comerciais com outros países.

O tratamento de dados diz respeito a qualquer atividade que utiliza um dado pessoal na execução da sua operação, como: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Entenda o que são dados pessoais

Primeiro é preciso entender que tratamento é o nome dado a toda operação realizada com dados pessoais.

A LGPD diz que dado pessoal é a informação relacionada à pessoa natural identificada, com: nome, sobrenome, RG e CPF ou identificável, como no caso dos dados de geolocalização (GPS), endereço IP, identificação de dispositivo, entre outros.

Já o dado pessoal sensível diz respeito à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. 

Operador, Controlador e Encarregado

Na LGPD, o tratamento dos dados pessoais pode ser realizado por dois agentes: o controlador e o operador. 

O controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. 

Já o operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

Por fim, o encarregado é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Princípios que estruturam a LGPD

Finalidade: a realização do tratamento deve ocorrer para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.

Adequação: a compatibilidade do tratamento deve ocorrer conforme as finalidades informadas ao titular, de acordo com o contexto do tratamento.

Necessidade: o tratamento deve se limitar à realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.

Livre acesso: é a garantia dada aos titulares de consulta livre, de forma facilitada e gratuita, à forma e à duração do tratamento, bem como à integralidade de seus dados pessoais.

Qualidade dos dados: é a garantia de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.

Transparência: é a garantia dada aos titulares de que terão informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial.

Segurança: trata-se da utilização de medidas técnicas e administrativas qualificadas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

Prevenção: compreende a adoção de medidas para prevenir a ocorrência de danos por causa do tratamento de dados pessoais.

Não discriminação: sustenta que o tratamento dos dados não pode ser realizado para fins discriminatórios, ilícitos ou abusivos.

Responsabilização e prestação de contas: demonstração, pelo Controlador ou pelo Operador, de todas as medidas eficazes e capazes de comprovar o cumprimento da lei e a eficácia das medidas aplicadas.

Como funciona a transferência internacional de dados pessoais

De acordo com a LGPD, a transferência internacional de dados pessoais somente é permitida nos seguintes casos:

• Para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na lei;
• No momento em que o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na lei, na forma de cláusulas contratuais específicas para determinada transferência; cláusulas-padrão contratuais; normas corporativas globais e selos, certificados e códigos de conduta regularmente emitidos;
• Quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional;
• Na ocasião em que a transferência for necessária para a proteção da vida ou da incolumidade física do titular, ou de terceiro;
• No momento em que a autoridade nacional autorizar a transferência;
• A transferência resultar em compromisso assumido em acordo de cooperação internacional;
• Quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, sendo dada publicidade nos termos do inciso I do caput do art. 23 desta Lei;
• O titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades;

Glossário de termos técnicos da LGPD

Agentes de tratamento: o Controlador e o Operador. 

Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.

Autoridade Nacional: órgão da Administração Pública  responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.

Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico.

Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados.

Consentimento: manifestação livre, informada e inequívoca pela qual o(a) titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. 

Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

Dado pessoal: informação relacionada à pessoa natural identificada ou identificável.

Dado pessoal de criança e de adolescente: o Estatuto da Criança e do Adolescente (ECA) considera criança a pessoa até 12 anos de idade incompletos e adolescente aquela entre 12 e 18 anos de idade. Em especial, a LGPD determina que as informações sobre o tratamento de dados pessoais de crianças e de adolescentes deverão ser fornecidas de maneira simples, clara e acessível, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança.

Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Eliminação: exclusão de dados ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.

Encarregado: pessoa indicada pelo Controlador e Operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Garantia da segurança da informação: capacidade de sistemas e organizações de assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação.

Interoperabilidade: é a capacidade de um sistema, informatizado ou não, de se comunicar de forma transparente com outro sistema, semelhante ou não a ele. A autoridade nacional poderá dispor sobre padrões de interoperabilidade para fins de portabilidade, livre acesso aos dados e segurança, assim como sobre o tempo de guarda dos registros, tendo em vista especialmente a necessidade e a transparência.

Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

Órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico.

Relatório de impacto à proteção de dados pessoais: documentação do Controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro.

Tratamento: toda operação realizada com dados pessoais.

Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicas no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.

Violação de dados pessoais: é uma violação de segurança que provoca, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso não autorizado a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.

Para ler a lei na íntegra, clique aqui.

Symbioti

Garantir a segurança dos dados de clientes é uma obrigação da iniciativa privada e da pública. 

A Symbioti pode ajudar sua empresa, garantindo a implementação de medidas e controles de segurança necessários para proteger as informações empresariais e dos clientes contra ameaças cibernéticas.

O serviço feito pela Symbioti considera processos, como:

• A adoção de políticas e procedimentos de segurança;
• A utilização de tecnologias avançadas de proteção, como firewalls e sistemas de detecção de intrusões,
• A realização de auditorias e avaliações regulares para verificar a conformidade com os requisitos estabelecidos.

Com a implementação de regulamentos como a LGPD, as empresas são responsáveis por garantir a conformidade com as normas estabelecidas. 

Isso envolve a obtenção de consentimento para coleta e processamento de dados pessoais, a implementação de medidas de segurança adequadas para proteger esses dados e a notificação em caso de violações de dados.

A importância da conformidade no ambiente empresarial não pode ser subestimada. Ela ajuda a suavizar riscos, proteger a reputação e evitar penalidades legais e financeiras. Além disso, demonstra o compromisso da organização com a segurança, transparência e responsabilidade, o que pode aumentar a confiança dos clientes, parceiros comerciais e investidores.

Para saber como melhorar a segurança de dados da sua empresa, entre em contato com a Symbioti.