O que é a Lei geral de proteção de Dados?
Com a digitalização da sociedade e a popularização de tecnologias que se baseiam em dados, passou a ser necessário a regulamentação das atividades econômicas que, de alguma forma, fazem tratamento de dados pessoais.
Acompanhando um movimento que está ocorrendo no mundo, em 2018 foi aprovada a lei 13.709/2008, que tem por objetivo regular as atividades de tratamento de dados (LGPD). Muito tem se falado do impacto desta nova legislação ao consumidor, mas e para o empreendedor, o que muda?
É importante ter em mente que a LGPD não tem apenas o objetivo de proteção dos dados pessoais, mas também o” desenvolvimento econômico e tecnológico e a inovação”. Ou seja, ela também deve ser encarada como ferramenta de desenvolvimento de iniciativas inovadores e tecnológicas no país.
Quem está sujeito à nova lei?
Todo cidadão (pessoa natural) ou empresa (pessoa jurídica de direito público ou privado) que realiza operação de tratamento ou coleta de dados, bem como o fornecimento de bens e serviços em território nacional está sujeito a aplicação da lei.
A legislação já prevê alguns casos em que a lei não será aplicada. Entre as situações previstas temos o tratamento de dados realizado por individuo para fins domésticos, ou seja, não econômicos, fins jornalísticos, artísticos e acadêmicos.
A quem se aplica a nova lei?
A lei é aplicada aos dados de pessoas naturais, ou seja, pessoas físicas. Não é aplicável aos dados de pessoas jurídicas, estes são tratados por outras regulamentações específicas.
Qual a definição de “Dados” para a LGPD?
- Dado pessoal: informação relacionada a pessoa natural identificada ou identificável
- Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
- Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
*Muita atenção: Vale destacar que, estes dados não serão considerados dados pessoais para os fins da LGPD, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.
- Banco de Dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico.
No ato da coleta de dados:
- Finalidade e consentimento: O usuário deverá ser informado para qual finalidade seus dados serão utilizados e concordar com a utilização.
- Manifestação livre e clara: O consentimento deve ser dado sem vícios, ou seja, não adianta colocar letras miúdas no canto da página e alegar que o usuário concordou. A finalidade da utilização de dados deve estar exposta de tal forma que fique clara ao usuário e garantias mínimas de que ele entendeu;
- Informações sobre o tratamento dos dados: listar ao titular informações sobre: i) finalidade do tratamento (já mencionado); ii) forma e duração do tratamento de dados; iii) identificação do controlador (pessoa a quem compete as decisões referente ao tratamento dos dados); iv) contato do controlador; v) informações sobre eventual uso compartilhado de dados e sua finalidade; vi) responsabilidades dos agentes que realizarão o tratamento; vii) lista completa dos direitos da pessoa natural a serem obtidos pelo controlador.
Após a coleta:
- Revogação de Consentimento: o consentimento prestado pelo usuário poderá ser revogado a qualquer momento, mediante manifestação expressa do titular, por procedimento gratuito e facilitado;
- Comunicação sobre Alterações: caso haja alteração nas informações sobre o tratamento dos dados, o titular deverá ser comunicado, com destaque especial nas alterações realizadas, podendo revogá-las caso discorde da alteração.
- Acesso às informações: caso o titular solicite, os dados coletados e demais informações sobre tratamento e finalidade, estes deverão ser fornecidos de forma gratuita e facilitada.
Término do tratamento de dados:
Após o término do tratamento os dados pessoais estes deverão ser eliminados, apenas mantidos para as seguintes finalidades:
- Cumprimento de obrigação legal ou regulatória pelo controlador;
- Estudo por órgãos de pesquisa, desde que os dados estejam anonimizados;
- Transferência a terceiro, desde que respeitados os limites previstos na LGPD;
- Uso exclusivo do controlador dos dados, desde que anonimizados.
Responsabilidade
É solidária, ou seja, os agentes de tratamento partilham da responsabilidade em caso de indenização de danos patrimoniais e morais, individuais ou coletivos;
Mas ela pode ser afastada, nas seguintes hipóteses:
- Comprovação de que os agentes não tenham realizado o tratamento de dados pessoais que lhes tenha sido atribuído;
- Inocorrência de violação à legislação de proteção de dados;
- Comprovação de que o dano é decorrente de culpa exclusiva do titular dos danos ou de terceiros.
Principais Dicas
- Tracking: tenha o controle do dado durante todo o ciclo de vida dentro da empresa, desde o momento da coleta à sua exclusão;
- Controle: recomenda-se que medidas de acompanhamento e auditoria sejam implementadas, bem como políticas internas para identificar se os colaboradores estejam de fato observando tais práticas;
- Responsável pelo compliance: toda Startup ou empresa deverá ter um encarregado pela supervisão dos procedimentos de coleta e tratamento de dados para garantir o cumprimento da LGPD, bem como intermediar as comunicações entre a empresa e mercado.
- Prevenção e Segurança: zelar pela segurança adotando medidas técnicas e administrativas para prevenir vazamentos ou acessos não autorizados aos dados coletados.
Quando a Lei passa a valer?
A lei aprovada em 2018 passará a ter efeitos a partir de agosto de 2020, ou seja, até lá indivíduos e empresas deverão se adaptar as novas regras.
Por Bruno Nassar e Kael Moro