LGPD

Dados pessoais são extremamente sensíveis. A circulação desenfreada dessas informações pode ser causadora de situações desagradáveis ou mesmo criminosas, principalmente no meio digital, tendo um alcance ilimitado. A LGPD surge, nesse sentido, para regulamentar e legalizar o tratamento desses dados, de forma a proteger a privacidade, segurança e liberdade de pessoas físicas  

O que é a LGPD?  

LGPD é a sigla para Lei Geral de Proteção de Dados Pessoais, ou Lei n° 13.709/2018. Ela trata, fundamentalmente, da privacidade e do tratamento de dados pessoais dos usuários em meio digital ou manual. Nesse sentido, a partir desta nova legislação, todas as empresas que recolhem dados de usuários e clientes têm a obrigação de: 

• Fornecer termos claros que expliquem a finalidade de uso dos dados dos usuários; 
• Se comprometer com a proteção dos dados recolhidos; 
• Garantir o sigilo e a impossibilidade de comercialização dos dados desses usuários; 
• Instaurar protocolos de segurança que evitem o vazamento de dados; 
• Possibilitar aos usuários a edição ou a remoção das informações fornecidas. 

Dessa forma, a LGPD divide e nomeia algumas figuras essenciais no processo de proteção de dados:  

1. Titular

Via de regra, o detentor dos dados recebe o nome de “titular”. Assim, todos os usuários e ou clientes que têm seus dados recolhidos são os titulares dessas informações. Como titular, essas pessoas precisam ter o direito garantido de saber como seus dados têm sido utilizados.  

2. Controlador

O controlador pode ser compreendido como o agente que tem controle sobre os dados. Dessa forma, no geral, o controlar é quem precisar utilizar essas informações para fornecer serviços ou atendimentos. O controlador pode ser uma pessoa física ou jurídica, desde que ele assuma o papel do controle sobre o tratamento dos dados.  

3. Operador

O operador é a pessoa física ou jurídica que utiliza os dados em nome do controlador. Dessa forma, ele também tem um papel crucial no tratamento de dados. Um exemplo prático de controlador se dá quando uma empresa, controladora dos dados, precisa de serviços terceirizados de atendimento. Nesse caso, entra uma segunda envolvida como operadora e ambas respondem pelas determinações da legislação. 

Como obter a certificação LGPD? 

A LGPD é uma lei e não uma norma de certificação. Por isso, ela não fornece informações detalhadas de como construir um sistema de proteção de dados, apenas determina as irregularidades que são inaceitáveis nesse processo. Também por ser uma lei, o não cumprimento da LGPD possui algumas penalidades, como a aplicação de uma multa que pode chegar ao valor de até 2% do faturamento da pessoa jurídica.  

Mesmo não havendo uma certificação específica, existem várias empresas de consultoria que ministram cursos que tratam sobre as determinações da LGPD específica para o contexto da empresa. Além disso, algumas empresas também oferecem serviços que constroem um sistema de proteção de dados que atende todas as determinações da LGPD.  

Nesse sentido, cabe à empresa investir em cursos, certificações e treinamentos de equipe para garantir o atendimento aos requisitos, fundamentos, princípios e proibições da LGPD. Assim, as partes envolvidas no tratamento de dados podem ter certeza de que estão, de fato, atendendo a todos os protocolos de segurança da lei.  

Os 7 fundamentos da LGPD  

Logo no art. 2°, a LGPD discorre sobre seus sete fundamentos. Esses fundamentos servem como pilares para o desenvolvimento do restante da lei. Sendo assim, de acordo com a lei, os fundamentos de tratamento de dados pessoais são:  

1. O respeito à privacidade;
2. A autodeterminação informativa;
3. A liberdade de expressão, de informação, de comunicação e de opinião;
4. A inviolabilidade da intimidade, da honra e da imagem;
5. O desenvolvimento econômico e tecnológico e a inovação;
6. A livre iniciativa, a livre concorrência e a defesa do consumidor; e
7. Os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais. 

Os 10 princípios da LGPD  

Além dos fundamentos, a LGPD determina certos princípios que regem o tratamento de dados. Segundo a própria lei, as empresas também precisam agir de boa-fé quando o assunto é dados pessoais. Dessa forma, as organizações devem seguir os seguintes princípios: 

1. Finalidade: 

Os propósitos para a recolhida de informações pessoais devem ser legítimos e específicos. Além disso, é indispensável que esses propósitos sejam explicitamente e claramente informados ao titular. A empresa não pode, de forma alguma, mudar o tratamento dos dados, de forma que eles se tornem incompatíveis com as finalidades informadas. 

2. Adequação:  

O tratamento dos dados deve ser compatível com as informações dados ao titular. Também é necessário que a empresa se atende ao contexto do tratamento, de forma que a necessidade do uso dos dados seja coerente com o que está sendo oferecido para esse usuário. 

3. Necessidade: 

É de suma importância que a empresa use o mínimo de dados necessários para a realização de suas atividades. A lei exige que os dados sejam pertinentes e proporcionais a suas finalidades. Além disso, não é permita a coleta excessiva de informações pessoais sem carência.  

4. Livre acesso: 

Os titulares devem ter livre acesso aos seus dados e às finalidades de uso deles. A organização precisa garantir que a consulta às informações pessoais deve ser gratuita e facilitada. Nesse sentido, os titulares também têm direito de saber a duração do tratamento de seus dados, assim como a integralidade deles.  

5. Qualidade dos dados: 

As organizações devem garantir aos titulares informações sobre a qualidade dos dados usados. Dessa forma, os titulares precisam saber, com exatidão, clareza, relevância e atualização, como seus dados estão sendo tratados, da necessidade do uso deles e se eles estão sendo utilizados com a finalidade do tratamento informado.   

6. Transparência:  

As empresas precisam ser totalmente transparentes com seus titulares sobre o uso de seus dados. Nesse sentido, as informações passadas devem ser claras, precisas e de fácil acesso. Ademais, os titulares têm o direito de saber mais sobre a realização do tratamento e sobre os agentes de tratamento.  

7. Segurança: 

Os dados pessoais fornecidos pelos titulares devem ser protegidos e estarem completamente seguros. Para isso, as empresas podem usar medidas técnicas e administrativas que protegem essas informações de acessos não autorizados e de acidentes ou infrações que destruam, percam, alterem ou tornem difusos os dados utilizados no tratamento.  

8. Prevenção: 

Assim como as organizações devem investir em maneiras de tornar o tratamento dos dados seguro, elas também precisam prevenir que danos ocorram durante o tratamento dessas informações pessoais fornecidas pelos titulares.  

9. Não discriminação: 

Os dados pessoais que fazem parte do tratamento não podem, de forma alguma, serem usados para fins discriminatórios, ilícitos ou abusivos. Além de seguir as leis, é principalmente nesse momento que as empresas precisam usar da boa-fé e do bom senso.  

10. Responsabilização e prestação de contas: 

O agente precisa demonstrar estar adotando medidas suficientes para garantir a proteção de dados pessoais. Além disso, ele também deve comprovar a eficácia das medidas e se responsabilizar caso esses dados não estejam seguros de alguma forma. 

O que a LGPD proíbe? 

A base da LGPD é a transparência. Dessa forma, ela exige que as organizações informem aos titulares os motivos e as finalidades da coleta de seus dados pessoais.  Além disso, a lei também proíbe que esses dados sejam comercializados ou divulgados sem o conhecimento do titular, e essas informações devem ser seguramente protegidas.

Leia também: Resumo LGPD: Tudo sobre a privacidade de dados  

Quais dados a LGPD protege? 

A lei não discorre em seu corpo sobre a classificação dos dados protegidos. Entretanto, como o nome já sugere, todas as suas determinações giram em torno dos dados pessoais. Nesse sentido, são considerados dados pessoais informações como nome e sobrenome, endereço de residência, e-mail, cartão de identificação, endereço IP, cookies e CPF.  

Dentro dos dados pessoais estão os dados sensíveis, que são aqueles que demandam um pouco mais de atenção no tratamento por serem uma forma de identificar e localizar uma pessoa específica – o CPF, por exemplo, é um dado sensível.  

Além disso, a LGPD também discorre sobre dados públicos e dados anonimizados. Os dados públicos são aqueles disponíveis para todos e a lei determina que os titulares devem autorizar antes de seus dados pessoais se tornarem público. Os dados anonimizados, por sua vez, são aqueles que não é possível serem usados para encontrar o titular daquelas informações.  

O impacto da LGPD  

Por ser uma lei, todas as empresas que fazem tratamento de dados no Brasil devem se adequar à LGPD. Mesmo sendo uma obrigação, as organizações que seguem essa legislação acabam, consequentemente, construindo uma maior credibilidade perante seus stakeholders. Dessa forma, é possível alguns dos principais impactos positivos desta lei: 

• A melhora da reputação e imagem da empresa, mostrando que ela é uma empresa segura;  
• Destaque em relação aos concorrentes; 
• Maior credibilidade pela conscientização da proteção de dados pessoais; 
• Maior apreço por parte dos clientes e parceiros comerciais; 

Garantir a proteção de dados, principalmente em meio digital, não é uma tarefa fácil. Por isso, o indicado é que as empresas contratem empresas de consultoria que assegurem o tratamento correto às determinações da lei. Nesse sentido, o consultor poderá tratar com a empresa sobre as medidas de segurança mais adequadas quanto à criptografia, por exemplo.  

Além disso, a empresa precisará se movimentar e se organizar para uma comunicação mais clara sobre o tratamento de dados, uma vez que a transparência é um dos requisitos da LGPD. Em suma, isso significa que os usuários precisam saber claramente o que é feito com os seus dados e o porquê deles serem recolhidos.