O que é a LGPD?
A LGPD – Lei Geral de Proteção dos Dados, é uma nova regulamentação para o uso, proteção e transferência de dados pessoais no Brasil, nos âmbitos privado e público, e estabelece de modo claro quem são as figuras envolvidas e quais são suas atribuições, responsabilidades e penalidades no âmbito civil.
A lei está baseada nos direitos fundamentais de liberdade e de privacidade, como a livre iniciativa e o desenvolvimento econômico e tecnológico do país.
Dentre seus princípios, tem especial relevância o da transparência para o uso de dados pessoais e a respectiva responsabilização, o da adequação, ou seja, a compatibilização do uso dos dados pessoais com as finalidades informadas, da proteção do usuário em toda arquitetura do negócio (privacy by design), da finalidade, segundo o qual os dados só devem ser utilizados para aquelas específicas para as quais foram coletados e previamente informados aos seus titulares, e também do princípio da necessidade, que significa limitar o uso dos dados ao mínimo necessário para que se possa atingir a finalidade pretendida, do qual surge ainda a indispensável exclusão imediata de dados, após atingida tal finalidade.
A coleta de dados pessoais é cada vez maior, por vários interesses, seja para conhecer melhor o seu perfil para te “proporcionar” ofertas mais atraentes, seja para “facilitar” sua vida, enfim, desde o acesso às redes sociais, aos cadastro que você preenche no médico ou no seu plano de saúde, ao cadastro no transporte por aplicativo, no seu registro de ponto da empresa onde trabalha, na sua geolocalização capturada por vários aplicativos, nos dados fornecidos num cadastro de vaga de emprego, são inúmeras as formas e motivos para captura de seus dados.
A regulamentação define como dado pessoal qualquer informação que identifique diretamente ou torne identificável uma pessoa natural, e tratamento como toda operação realizada com dados pessoais, tais como a coleta, utilização, acesso, transmissão, processamento, arquivamento, armazenamento, transferência etc.
Qualquer operação de tratamento de dados pessoais realizada no território nacional, por pessoa natural ou pessoa jurídica de direito público ou privado, cujos titulares estejam localizados no Brasil, ou que tenha por finalidade a oferta de produtos ou serviços no Brasil, estão sujeitos a LGPD, que passa a exigir o consentimento expresso do usuário para esta operação, que é apenas uma das bases legais.
O consentimento deve ocorrer por manifestação livre, informada e inequívoca do titular, expressando sua concordância com o tratamento de seus dados pessoais para uma finalidade determinada, não sendo admitidas autorizações genéricas, sendo vedado o tratamento, caso a autorização tenha sido obtida mediante vício de consentimento.
Atualmente a grande questão é que não há garantia de que esses dados não serão coletados indevidamente, armazenados de forma insegura e compartilhados entre empresas. Por exemplo, que a lista de remédios que você compra seja vendida para um plano de saúde ou uma empresa de seleção de candidatos a vagas de trabalho.
Para proteger a privacidade dessas informações e limitar o número de dados coletados é que foi aprovada a Lei de Proteção de Dados.
A lei brasileira segue o exemplo de uma legislação similar aprovada na Europa em maio deste ano – no dia em que a lei europeia entrou em vigor, Google e Facebook foram acusados de violá-la. As leis foram influenciadas pelo escândalo de coleta e uso de dados do Facebook de 87 milhões de pessoas – brasileiros inclusive – com finalidades eleitorais, pela empresa Cambridge Analytica. Ou seja, assunto merece atenção.
Confira abaixo 8 pontos que vão mudar com a Lei de Proteção de Dados Pessoais:
1) Você precisa dar consentimento para coleta e armazenamento dos seus dados pessoais
Os dados pessoais só poderão ser coletados se você der sua autorização – o chamado consentimento. Caso contrário, isso pode ser considerado uma infração.
A regra vale para qualquer empresa ou instituição pública que venha a coletar dados pessoais no Brasil – estejam elas sediadas no país ou no exterior. Desde o seu médico até o Facebook!
Além de detalhar quais dados serão coletados e armazenados, é preciso informar se as informações serão compartilhadas com outra entidade – e você precisa autorizar esse compartilhamento. O que hoje ocorre de forma banal, quantas vezes você recebeu um e-mail marketing de uma empresa que você nunca ouviu falar?
Alguns casos não são abrangidos pelo consentimento da Lei de Proteção de Dados Pessoais: fins jornalísticos, segurança pública e defesa nacional ou necessidade de investigação, além de legítimo interesse e execução de contratos.
2) Estão proibidos textos genéricos – é preciso ser claro e direto sobre quais dados serão coletados
Sabe aqueles termos de uso enormes e em letras pequenas, que você nunca lê, mas frequentemente aceita? Segundo a nova lei, o termo de consentimento precisa estar em cláusula destacada das demais.
É preciso ser claro e direto sobre quais informações pessoais serão coletadas e como esses dados serão usados.
3) Só podem ser coletadas informações que tenham alguma finalidade e que sejam necessárias
Você instala um jogo de paciência que pede acesso a suas fotos, câmera ou e-mail. Isso não é mais permitido pela lei de proteção aos dados pessoais.
Da mesma forma que um aplicativo para transporte solicite acesso a sua lista de contatos.
Só podem ser coletadas informações que tenham alguma finalidade e que sejam necessárias para o fornecimento do serviço em questão – por exemplo, um app de transportes precisa da sua localização, um app de conversas em vídeo precisa de acesso a sua câmera, um app de segurança e criptografia pode precisar de acesso a sua digital. A regra é coletar o mínimo necessário.
Em condomínios residenciais que atualmente exigem biometria de forma compulsória, será necessário rediscutir essa questão em assembleia condominial e avaliar se a coleta desse tipo de dados é necessária para fins de segurança, se há concordância e consentimento dos condôminos e se há condições seguras de armazenamento de dados biométricos.
4) Informações de raça, religião e preferência sexual exigem um consentimento específico
A lei prevê que algumas informações pessoais são sensíveis. Por exemplo, raça, religião, preferência sexual, dados referentes à saúde, biometria e dados da face ou informações genéticas. Caso alguma dessas informações venha a ser coletada, você precisa dar um consentimento específico, sendo informado do motivo pelo qual aquele dado será coletado e como será utilizado.
Com a Lei 13709/18, essas informações são consideradas sensíveis e não podem ser vendidas. Por exemplo, uma farmácia não pode comercializar seu cadastro para um plano de saúde, que avaliaria o seu perfil e definiria se você pode virar cliente ou não. “É vedado o uso compartilhado de dados referentes à saúde com o objetivo de obter vantagem econômica”.
5) Coleta de dados de crianças e adolescentes só com aprovação do responsável
Crianças e adolescentes estão cada vez mais presentes nos meios digitais – às vezes, até mais que alguns adultos. A partir de 2020, qualquer coleta de dados de crianças e adolescentes só pode acontecer com consentimento do responsável.
Nenhuma entidade “deve condicionar a participação (de crianças e adolescentes) a jogos, aplicativos de internet ou outras atividades para o fornecimento de informações pessoais além das estritamente necessárias à atividade”, diz o texto da lei.
Além disso, a informação de qual dado é coletado das crianças e como são utilizados deve ser mantida pública.
6) É possível pedir acesso aos seus dados coletados, mudá-los ou excluí-los
Qualquer pessoa pode pedir, a qualquer momento, para ter acesso a todos os dados que uma empresa ou instituição pública mantém sobre si. A resposta deve ser gratuita e ser fornecida em até 15 dias.
Também pode pedir que os dados sejam corrigidos e até eliminados.
Além disso, pode questionar a finalidade da coleta dos dados, por quanto tempo serão mantidos e com quem são compartilhados. Pode, ainda, pedir que os dados sejam transferidos para outro prestador de serviço.
7) E no caso de vazamentos de dados?
Qualquer entidade que colete e armazene dados pessoais deve adotar medidas de segurança para protegê-los de acessos não autorizados e danos aos titulares.
Se ocorrer um incidente de segurança, as autoridades devem ser comunicadas – a lei cria um órgão específico, a Autoridade Nacional de Proteção de Dados, vinculada ao Ministério da Justiça. Se houve algum dano ao titular do dado pessoal, seja ele patrimonial, moral, individual ou coletivo, a lei prevê que haja reparação.
Caso descumpram a nova lei, as empresas e instituições estão sujeitas a multas que podem chegar até R$ 50 milhões por infração. Também podem ser proibidas de continuarem coletando dados.
A inteligência artificial é cada vez mais usada para analisar os dados armazenados sobre cada pessoa para sugerir algo. Quais páginas e amigos são recomendados para você nas redes sociais? Quais opções de emprego para seu perfil? Qual a linha de ônibus indicada, considerando sua localização? Qual investimento é recomendado para o seu perfil de gastos no cartão de crédito?
Caso um computador tome uma decisão automatizada sobre você, com a qual você não concorde, é possível pedir uma revisão, que seria feita por uma pessoa. Por exemplo, quando um banco ou um plano de saúde lhe nega acesso a um serviço, baseado na sua análise de dados, e você discorda da decisão.
8) “Os dados pessoais não podem ser utilizados em seu prejuízo”, diz o texto da lei aprovada no Senado.
Caso você não fique satisfeito, ainda é possível solicitar uma auditoria, que vai verificar se decisão foi baseada em aspectos discriminatórios – como gênero, opção sexual, raça, religião.
Para se adequarem, cabe as empresas implementar um programa de Governança em Proteção de Dados e também nomear seu Encarregado de Proteção de Dados (DPO – Data Protection Officer), que terá como principal atividade o monitoramento e disseminação das boas práticas em relação à proteção de dados pessoais perante funcionários e contratados no âmbito da empresa, bem como a interface com a Autoridade Nacional de Proteção de Dados (ANPD).
Com a nova Lei Geral de Proteção de Dados brasileira, todas as empresas de pequeno, médio e grande porte terão que investir em segurança da informação e implementar sistemas de compliance efetivos para prevenir, detectar e remediar violações de dados pessoais, notadamente porque a lei prevê que a adoção de política de boas práticas será considerada como critério atenuante das penas.
Quer saber mais e como podemos lhe ajudar? Entre em contato!