A Lei Geral de Proteção de Dados (LGPD), foi sancionada em agosto de 2018 e tem como objetivo proteger as informações pessoais de todo brasileiro. Há uma série de regras que precisarão ser adotadas por todas as empresas do país visando a garantia da transparência no uso dos dados de pessoas físicas.
Essa legislação se aplica tanto a dados colhidos no meio virtual quanto no meio físico, as empresas que não se adequarem estão sujeitas a multas.
Definir uma equipe para analisar os procedimentos internos quanto à coleta, tratamento e o fluxo de dados é um fator crítico de sucesso para que não se tenha problemas com a legislação. Com um processo estruturado os riscos são mitigados.
Os termos de privacidade devem ser os mais claros possíveis para que o consentimento do titular dos dados não dê brechas a um possível desacordo. Esse termo deve conter de forma clara o que será feito com os dados, qual é a finalidade da coleta e também informar como vai ser feita a eliminação dessas informações após o cumprimento do objetivo do uso dos dados.
Em linhas gerais, a Lei de Proteção de Dados Pessoais (LGPD) estabelece os princípios, direitos e deveres que deverão ser observados no tratamento de dados pessoais.
A quem se destina?
A sistemas que coletam dados pessoais. Seu texto determina que todos os dados pessoais (informação relacionada à pessoa natural identificada ou identificável, como nome, idade, estado civil, documentos) só podem ser coletados mediante o consentimento do usuário. Para realizar o tratamento de dados pessoais sem o consentimento do titular, a lei prevê hipóteses específicas em seu artigo 11, inciso II.
Direitos básicos dos donos dos dados pessoais são: acesso, correção, eliminação, portabilidade e revogação do consentimento. Sendo assim, a lei empodera o consumidor e garante a indenização na ocorrência de danos causados ao titular dos dados.
Definições
- Dados pessoais: toda informação relacionada a pessoa natural identificada ou identificável, tal como nome, RG, CPF, e-mail, etc. Dados relativos a uma pessoa jurídica (tais como razão social, CNPJ, endereço comercial, etc.) não são considerados dados pessoais.
- Dados pessoais sensíveis: é todo dado pessoal que pode gerar qualquer tipo de discriminação, tais como os dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.
- Titular: pessoa natural a quem se referem os dados pessoais.
- Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
- Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
- Processador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
- Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
- Anonimização: processos e técnicas por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
- Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. O dado anonimizado não é considerado dado pessoal para fins de aplicação da LGPD.
- Pseudoanonimização: processos e técnicas por meio dos quais um dado tem sua possibilidade de associação dificultada. O dado pseudoanonimizado é considerado dado pessoal para fins de aplicação da LGPD, tendo em vista a possibilidade de associação desse dado a uma pessoa natural.
Em seu artigo 18, a LGPD traz os direitos dos titulares de dados pessoais. Os titulares poderão solicitar, a qualquer momento:
- Confirmação da existência de tratamento.
- Acesso aos seus dados.
- Correção de dados incompletos, inexatos ou desatualizados.
- Anonimização, bloqueio ou eliminação de dados tratados em desconformidade com a LGPD.
- Portabilidade dos dados a outro fornecedor de serviço ou produto.
- Eliminação dos dados pessoais tratados.
- Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados.
- Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
- Revogação do consentimento.
- Revisão por pessoa natural de decisões automatizadas.
Com a nova Lei, o que muda na prática para o cidadão?
Na prática, a mudança aumenta a transparência e o controle do titular sobre os seus dados. Quando a Lei de Proteção de Dados Pessoais entrar em vigor, o titular poderá requerer o acesso a todos os seus dados que estão sendo tratados por qualquer pessoa natural ou entidade – pública ou privada, bem como solicitar que eles sejam corrigidos ou atualizados, quando for o caso.
A medida empodera o cidadão em relação aos dados pessoais, uma vez que as empresas terão mais responsabilidades no tratamento desses dados, especialmente no que se refere à garantia de transparência e adoção de critérios e medidas mais rígidas de governança e segurança de dados.
Quais serão os direitos do cidadão?
Em linhas gerais, o titular tem o direito de obter a confirmação da existência de tratamento de dados e de acessá-los, de forma gratuita e facilitada. Se for o caso, o titular poderá requerer a correção de dados incompletos, inexatos ou desatualizados.
Quando o tratamento não observar os requisitos da Lei ou os dados forem considerados desnecessários ou excessivos, será possível requerer a sua anonimização, bloqueio ou eliminação.
O titular também poderá requerer a revisão manual de decisões automatizadas, revogar o consentimento por ele fornecido ou requerer a portabilidade de seus dados, cujos critérios ainda serão regulamentados pela Autoridade Nacional de Proteção de Dados (ANPD), entidade que será criada por Medida Provisória ou Projeto de Lei de iniciativa do Executivo.
O que significa o consentimento do usuário?
O consentimento é a autorização do titular para o tratamento de dados para uma finalidade determinada, que deverá ser fornecida mediante manifestação livre, informada e inequívoca, por escrito ou qualquer outro meio que demonstre a sua manifestação de vontade. Caso seja fornecido por escrito, a cláusula deverá estar destacada das demais.
Como será possível fazer a revogação do consentimento?
Com a Lei de Proteção de Dados Pessoais, o consentimento poderá ser revogado a qualquer momento, mediante manifestação expressa do titular de dados, por procedimento gratuito e facilitado.
Como ficam os termos de uso?
A LGPD estabelece que, quando for exigido, o consentimento deverá ser obtido por manifestação livre, informada e inequívoca do titular de dados, para uma finalidade determinada. Nesse sentido, os termos de uso não poderão ser generalistas, sob pena de serem considerados nulos, e deverão indicar com mais transparência como os dados serão tratados e armazenados, bem como as categorias de terceiros com os quais esses dados poderão ser compartilhados, se for o caso. Além disso, deverão indicar os direitos do titular, tais como a possibilidade de acessar os seus dados e de revogar o consentimento em processo gratuito e facilitado, bem como a informação sobre a possibilidade de não fornecer o consentimento e as consequências da negativa.
A lei interfere na confirmação de dados no início dos atendimentos?
A confirmação de dados realizada no início dos atendimentos é permitida nos termos da LGPD, uma vez que a autenticação do usuário é necessária para garantir que as informações sejam acessadas apenas pelo próprio interessado, amparando-se na hipótese de legítimo interesse.
Além disso, o princípio da segurança requer a adoção de medidas técnicas e administrativas aptas a proteger os dados de acessos não autorizados, bem como o princípio da qualidade dos dados obriga as empresas a garantirem a atualização dos dados armazenados, de forma que as informações coletadas durante o atendimento também têm a finalidade de assegurar o cumprimento de princípios previstos na LGPD.
Meio de coerção
A lei também prevê que o órgão regulador poderá solicitar relatórios de riscos de privacidade para certificar-se de que as organizações estão tratando o tema internamente.
As multas previstas para o descumprimento variam de 2% do faturamento bruto até R$ 50 milhões (por infração).
Qual é a amplitude da lei?
De acordo com o Art. 3º, a LGPD aplica-se: (1) a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que a operação de tratamento seja realizada no território nacional; (2) a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; (3) ou os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
Serão considerados coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta.
Não se aplicam ao tratamento de dados pessoais, segundo a lei, os dados para fins particulares e não econômicos; realizados para fins jornalísticos, artísticos e acadêmicos; realizados para fins de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais; ou provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.
Mesmo que a sua empresa não faça coleta de dados pessoais ela também precisa se adequar, pois a lei também fala do tratamento dos dados, pessoais ou não. Após o tratamento de dados, dentro do que a legislação conceitua, a empresa fica obrigada a realizar a eliminação dos dados.
Exemplo de Plano de ação
- Mapeamento das políticas de privacidade, termos de uso, contratos de fornecedores, clientes e parceiros. O objetivo é realizar uma revisão geral desses documentos a fim de garantir que a finalidade de uso esteja específica, bem como sobre onde os dados serão armazenados, por quanto tempo serão mantidos, com quem serão compartilhados, dentre outros.
- Garantia da procedência dos dados utilizados pela empresa é uma premissa fundamental. Ainda que existam cláusulas contratuais que visam endereçar esse ponto, é importante considerar que a LGPD prevê a responsabilidade solidária dos agentes envolvidos no tratamento de dados. Por isso, é imprescindível que as empresas adotem medidas proativas junto aos seus fornecedores de dados para mitigar riscos como, por exemplo, solicitar evidências de onde o dado foi coletado, confirmar a existência de políticas internas, certificações, boas práticas de mercado, auditorias e outros.
- Definição de hipóteses de tratamento para cada base que contenha dados pessoais.
- Adoção dos princípios de “Privacy by Default” e “Privacy by Design”, que consistem em revisar todos os processos onde há tratamento de dados para garantir que está sendo utilizado o mínimo necessário para o atingimento da finalidade pretendida e promover uma cultura de proteção de dados para que todos os novos serviços já sejam desenvolvidos considerando a privacidade desde a concepção da ideia até a entrega do produto/serviço.
- Desenvolvimento de relatórios capazes de comprovar à Autoridade Nacional de Proteção de Dados (“ANPD”) o controle sobre os dados tratados pela companhia, os riscos envolvidos nesse tratamento e as respectivas medidas de controle.
- Desenvolvimento de um plano para vazamento de informações que estabeleça regras para notificação da ANPD e dos titulares dos dados sobre eventuais incidentes de segurança da informação que venham a ocorrer.
Atendimento ao titular dos dados
- É necessário garantir que existam canais de atendimento com acesso simplificado, imediato e gratuito. Considerar também que existem titulares que moram mais afastados dos grandes centros, que não possuem acesso à internet. Para isso, deve-se considerar a utilização de personas distintas para atingir os diversos públicos.
- É preciso considerar que os titulares poderão solicitar desde a confirmação da existência de tratamento dos dados até a sua revogação. O leque de opções é bastante amplo e, por isso, deve-se construir todas as jornadas de atendimento claras para garantir por onde essas solicitações vão ser recebidas, quais áreas serão responsáveis e como será feita a resposta ao titular.
- A autenticação do titular é um dos maiores desafios para as empresas que querem implementar uma jornada online de atendimento ao titular. É necessário ponderar a melhor forma de realizar a prova de vida para garantir que quem está solicitando o acesso é, de fato, o próprio titular. Uma das saídas possíveis é o procedimento conhecido como “Knowledge based authentication – KBA”, que tem o objetivo de autenticar um titular por meio de perguntas de segurança, muito utilizado pelos bancos. É possível colocar o KBA em prática com bases de dados completas e atualizadas ou por meio de parceiros que forneçam este serviço.
Giro LGPD
Texto da lei na íntegra: http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm
Com informações do Planalto e da SERPRO.
Isenção de responsabilidade:
As informações fornecidas neste [vídeo / papel / website] são de nossa interpretação das leis de privacidade e servem apenas para fins informativos. Não constitui aconselhamento jurídico, compromisso contratual ou aconselhamento sobre como cumprir os requisitos de qualquer lei aplicável. Este [vídeo / papel / website] está sujeito a alterações sem aviso prévio e é fornecido “COMO ESTÁ” sem garantia ou garantia quanto à precisão ou aplicabilidade das informações a qualquer situação ou circunstância específica. Se você precisar de aconselhamento jurídico sobre os requisitos das leis de privacidade aplicáveis ou de qualquer outra lei, ou sobre até que ponto as tecnologias da amplavisão podem ajudá-lo a obter conformidade com as leis de privacidade ou qualquer outra lei, é aconselhável consultar um profissional – advogado qualificado. Se você precisar de conselhos sobre a natureza das medidas técnicas e organizacionais necessárias para fornecer privacidade e segurança operacional à sua organização, consulte um profissional de privacidade devidamente qualificado. Nenhuma responsabilidade é aceita para qualquer parte por quaisquer danos ou prejuízos sofridos com base no conteúdo desta publicação.