A Lei Geral de Proteção de Dados brasileira (LGPD – Lei 13.709/18), sancionada em 14 de agosto de 2018, é baseada no Regulamento de Proteção de dados da União Europeia (GDPR – General Data Protection Regulation), cujo prazo de adequação se encerra em 16 de agosto de 2020.

Ela é empregada a qualquer pessoa, online ou offline. Possui aplicação ampla e abrangente, que comtempla grande parte de projetos e atividades do cotidiano empresarial. Por ter aplicação extraterritorial, a Lei abrange tanto às empresas estabelecimento no Brasil, como também as que ofereçam serviços ao mercado consumidor brasileiro ou coletem e tratem dados de pessoas localizadas no país.

Com a Lei, os titulares passarão a ter maior controle sobre todo o processamento dos seus dados pessoais, e isto implica em diversas obrigações para controladores. Dessa forma, os dados deverão ser utilizados apenas para as finalidades específicas para as quais foram coletados.

Conceitos Relevantes sobre a LGPD

Dados pessoais:

Segundo a Lei, o dado pessoal é a informação relacionada a pessoa natural identificada ou identificável. Com isso a LGPD traz um conceito amplo, pois assim qualquer dado é classificado como dado pessoal.

Exemplos: dados cadastrais, data de nascimento, profissão, dados de GPS, identificadores eletrônicos, nacionalidade, interesses, hábitos de consumo, entre outros.

Dado pessoal sensível:

É o dado pessoal sobre origem racial ou étnica; convicção religiosa; opinião política; entre outros. São aqueles dados relacionados a pessoa natural identificada ou identificável por meio dos quais uma pessoa pode ser discriminada e, por tal motivo, devem ser considerados e tratados como dados sensíveis.

O que não é dado pessoal

Os dados anonimizados ou que passam por processo de anonimização não são dados pessoais.

O dado anonimizado é relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. Já a anonimização é a utilização de meios técnicos razoáveis e disponíveis, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. O uso de dados anonimizados é essencial para possibilitar o desenvolvimento e aprimoramento de novas tecnologias, como a Internet das Coisas e a Inteligência Artificial.

O que a Lei Considera como Tratamento de Dados?

Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Bases Legais para Tratamento de Dados

As empresas deverão comprovar ao menos uma das bases legais previstas para realizar o tratamento de dados pessoais. No geral as bases se referem a finalidade para o tratamento dos dados, como, consentimento do titular para determinado objetivo, cumprimento de obrigação legal, para realização de estudos por órgão de pesquisa, proteção da vida ou da segurança física, para proteção de créditos, entre outras.

Quando os dados forem sensíveis, o tratamento somente poderá ocorrer perante o consentimento do titular, de forma específica e destacada, para finalidades específicas. O seu consentimento só não será necessário em situações especiais previstas pela Lei.

Segurança de Dados Pessoais, Governança e Boas Práticas

As empresas devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas.

Além disso, as empresas poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos e outros aspectos relacionados ao tratamento de dados pessoais.

Privacy by Design e Privacy by Default

O Privacy by design representa o emprego de mecanismos/soluções de privacidade durante todo o ciclo de vida dos dados. Já o Privacy by default representa a obrigatoriedade de que todas essas ferramentas estejam acionadas como padrão.

Fiscalização e o Cumprimento da Lei

Haverá fiscalização por parte do órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD. No caso de não cumprimento, sansões como advertência com prazo para adequação, multa de até 2% do faturamento da empresa e bloqueio dos dados são previstas pela Lei.

A sua empresa está pronta para todas essas mudanças?

Fale com um de nossos especialistas! A Arbit pode ajudar sua empresa a adequar-se a LGPD.