Loading…

Como se adequar a LGPD? Você já deve ter feito essa pergunta, ainda mais se você tem um pequeno negócio ou começou a estudar direito digital e sonha em advogar na área. Nesse artigo, abordaremos os principais pontos da Lei Geral de Proteção de Dados Pessoais, que é o marco regulatório brasileiro da privacidade de dados.

O que é a LGPD?

A Lei Geral de Proteção de Dados (LGPD) garante que todo brasileiro tem o direito de ter seus dados pessoais preservados e protegidos, e que empresas, instituições e governo atuem com responsabilidade para que não haja vazamento de informações.

A Lei Geral de Proteção de Dados (LGPD) foi sancionada em agosto de 2018. Ela estabelece regras sobre a coleta, armazenamento e processamento de dados pessoais, protegendo os usuários e impondo penalidades para quem não cumprir com as suas obrigações. Ela garante a privacidade de dados no Brasil.

Porque a LGPD foi criada?

Casos recentes de vazamento de dados estão fazendo com que governos, empresas e sociedade se preocupem em criar mecanismos para evitar a invasão de privacidade. A mudança dos nossos hábitos, em um mundo digital, crou novas ameaças aos novos direitos fundamentais, demandando legislação específica.

Outro fator relevante é a perda financeira causada por ataques cibernéticos. No Brasil, em 2019, o rombo foi de 80 bilhões de reais, conforme recente pesquisa da União Internacional de Telecomunicações – ONU.

A necessidade de privacidade dos dados é uma emergência, uma vez que os dados digitais aumentam exponencialmente com mais organizações armazenando-os em servidores, ao invés de unidades de armazenamento físico como discos rígidos ou DVDs.

Entretanto, a maioria das pessoas desconhece o quanto elas realmente têm sido rastreadas por várias empresas que coletam seus dados digitais para vender um produto, que pode não estar completamente relacionado aos seus hábitos de uso da Internet.

O mercado global de segurança da informação atingirá $170,4 bilhões em 2022, à medida que as empresas responderem globalmente às crescentes ameaças e ciberataques em computadores conectados à Internet, que ocorrem a cada 45 segundos.

Os EUA estão entre os países mais atingidos devido à sua enorme vulnerabilidades no ciberespaço e às violações de dados, que afetam 45% dos americanos, que tiveram as suas informações pessoais comprometidas nos últimos cinco anos.

Diante dessa realidade, os consumidores estão mais hesitantes em compartilhar os seus dados pessoais. Há a percepção de risco envolvido no compartilhamento de informações privadas.

As leis de privacidade estão tentando conter a crise de privacidade de dados e frear o capitalismo de vigilância, mas ainda há um caminho a percorrer.

A LGPD é a Lei nº 13.709, de 14 de agosto de 2018. O legislador se inspirou no Regulamento Geral de Proteção de Dados da União Européia (GDPR – General Data Protection Regulation), também do ano de 2018, tratando da segurança de dados para os cidadãos europeus. O GDPR tem sido o paradigma de protegeção da privacidade do consumidor e das informações pessoais contra riscos, como ataques de hackers ou brechas em sistemas de segurança.

Com todas as mudanças no direito digital como a inteligência artificial, a computação em nuvem e a mineração de dados, o Brasil não ficou pra trás e tomou uma posição para se adequar às novas tecnologias.

A LGPD se une ao Código Civil, o Código de Defesa do Consumidor (CDC) e o Marco Civil da Internet, para compor o sistema jurídico de proteção digital e privacidade de dados do Brasil.

 

O que foi o caso Cambridge Analytica?

A Cambridge Analytica foi uma empresa de análise de dados contratada para a campanha presidencial de Donald Trump, em 2016. Ela foi responsável pelo maior escândalo de vazamento de dados do Facebook, sendo responsável pela queda das ações da companhia, pela reestruturação da sua governança corporativa e pela mudança do paradigma de privacidade nas redes sociais.

Em março de 2018, o escândalo da Cambridge Analytica vazou pela mídia. Ela adquiriu informações pessoais dos usuários, por meio do aplicativo This Is Your Digital Life, coletando os dados pessoais de 87 milhões de usuários do Facebook, a partir das 270.000 pessoas,que usaram o aplicativo.

O aplicativo envolvia um teste psicológico e o desenvolvedor alegou que os dados seriam utilizados para fins acadêmicos. Porém, esse foi um falso pretexto para favorecer a campanha de Donald Trump.

Para fazer o login no app, os usuários tinham que utilizar o Facebook. Foi assim que o desenvolvedor conseguiu acesso à lista de amigos do Facebook de todas as pessoas que usaram o aplicativo.

A Cambridge Analytica não tinha o consentimento explícito para usar as informações dos usuários, favorecendo a campanha de Donald Trump sem a autorização deles. Foi uma violação evidente das políticas do Facebook.

A Cambridge Analytica deixou de existir após o escândalo. Esse caso acelerou o processo de criação da LGPD no Brasil.

Bases legais para o tratamento de dados

A coleta e processamento de dados deverá observar a LGPD. As duas principais hipóteses em que é lícito utilizar os dados das pessoas são quando há consentimento explícito e legítimo interesse:

a) consentimento explícito: o titular dos dados é informado sobre a coleta e o processamento dos dados, consentindo expressamente acerca da sua utilização. Ele faz uma opção ativa de repassar os seus dados ao empresário ou à pessoa física;

b) legítimo interesse: legítimo interesse do controlador, que fará tratamento de dados pessoais para finalidades legítimas, considerando circunstâncias concretas.

O artigo 7º, da Lei Geral de Proteção de Dados Pesssoais, dispõe sobre as hipóteses permitidas de tratamento de dados.

como se adequar a lgpd

 

Quem são os atores envolvidos?

A lei detalha os papéis de quatro diferentes agentes: o titular, o controlador, o operador e o encarregado.

Titular é a pessoa física a quem se referem os dados pessoais que são objeto de tratamento

Controlador é a pessoa física ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. Ele é responsável por determinar como os dados são coletados, de que modo serão utilizados e qual será o tempo de armazenamento.

Operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. O controlador e o operador podem ser a mesma pessoa, principalmente em casos de startups.

Encarregado é pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Quais as principais determinações da Lei Geral de Proteção de Dados?

A LGPD dispõe sobre o dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoas físicas ou por pessoas jurídicas de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade das pessoas físicas.

O artigo 5º dispõe sobre três conceitos de dados:

a) dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

b) dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

c) dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

A lei caracteriza o banco de dados, como o conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico.

O que são dados sensíveis na LGPD?

Os dados pessoais sensíveis dizem respeito às informações mais caras da pessoa, que têm uma relação mais direta com a dignidade da pessoa humana. Por isso, a LGPD restringe as hipótese em que poderá haver o tratamento de dados.

O artigo 11 versa sobre as hipóteses em que é possível o tratamento desses dados tão caros aos direitos fundamentais. Não basta o titular ou responsável consentir. O consentimento deve ser especifico e destacado, para finalidades específicas.

Sem fornecimento do consentimento do titular, os dados pessoais sensíveis só serão possíveis nas hipóteses do inciso II, do artigo 11, da LGPD. Por exemplo, quando os dados sensíveis forem indispensáveis para a realização de estudos por órgãos de pesquisa ou para a proteção da vida ou da incomulidade física do titular ou de terceiro.

Os titulares têm direito a acessar os dados coletados?

A lei nº 13.709 ainda determina que os titulares tenham fácil acesso às informações sobre o processamento dos seus dados pessoais. Eles têm o direito de pedir todas as informações necessárias, como as finalidades específicas do tratamento de dados, quem é o controlador e se há uso compartilhado de dados com outras empresas.

No artigo 33, encontramos outra regra que vale a pena destacar, que se refere à transferência internacional de dados.

A disposição impõe restrições a esse tipo de operação, que só poderá ocorrer para países que proporcionem grau de proteção de dados pessoais adequados ao previsto na LGPD ou em algumas situações específicas.

A lei segue uma lógica de transparência e segurança de dados. É importante conhecê-la e, se possível, contratar um advogado de direito digital para fazer a sua consultoria online.

A transferência internaiconal de dados pode acontecer para países, que possuem um grau adequado de proteção de dados pessoais, quando comparado às determinações da LGPD. O artigo 33, da Lei, dispões sobre as demais hipóteses em que essa transferência é possível.

Caso a sua empresa precise de auxílio para se adaptar à LGPD, entre em contato conosco e teremos prazer em te auxiliar.

O que muda com a LGPD?

A LGPD é uma lei que inova na proteção de dados pessoais no Brasil. Ela foi inspirada no Regulamento Geral de Proteção de Dados (GDPR) e mudou a forma como as empresas coletam e operam os dados das pessoais.

Ela é mais rigorosa nas exigências do tratamento de dados e impõe penalidades mais duras, como multas simples e diárias, bem como a proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados

Quais são os direitos do titular dos dados pessoais?

A Lei Geral de Proteção dos Dados Pessoais assegura à toda pessoa natural a titularidade dos seus dados pessoais, garantindo os direitos fundamentais da liberdade, da intimidade e da privacidade.

O titular dos dados pessoais tem direito de requisitar uma serie de ações ao controlador, relacionados aos dados pessoais. Dentre elas, podemos destacar o direito de acesso aos dados, da confirmação da existência de tratamento, da correção de dados incompletos, inexatos ou desatualizados, etc. (art. 18, da Lei 13.709/18).

Quem precisa se adequar a LGPD?

Qualquer pessoa natural ou jurídica de direito público ou privado, que faça tratamento de dados pessoais, inclusive por meios digitais, precisa se adequar a LGPD.

Mesmo se a empresa for estrangeira, ela pode estar sujeita à LGPD, se preencher os requisitos do artigo 3º.

A Lei não se aplica a alguns casos de tratamento de dados pessoais, como aqueles realizado por pessoa natural para fins exclusivamente particulares e não econômicos. Por exemplo, você pode coletar os e-mails dos convidados para o seu casamento, sem precisar se adequar à lei. A lista das exceções está no art. 4º, da LGPD.

como se adequar a lgpd

 

Quando entrou em vigor a Lei Geral de Proteção de Dados?

A maior parte da LGPD entrou em vigor em 18 de setembro de 2020. Apesar da Lei 13.709 ser do ano de 2018, a lei estabeleceu uma vacatio legis de 24 meses.

No entanto, os dispositivos da Autoridade Nacional de Proteção de Dados entraram em vigor no dia 28 de dezembro de 2018. A ANPR teve a sua criação aprovada em julho de 2019.

Jás as sanções administrativas, previstas nos arts.52 a 54, só entrarão em vigor no dia 1º de agosto de 2021. Isso dá mais tempo para que as empresas se adaptatem para evitar as penalidades.

Quem são os titulares dos dados?

Os titulares são a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

O que é tratamento de dados?

É toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração

O que são dados pessoais?

São as informações relacionadas as pessoa físicas identificadas ou identificáveis. São exemplos o nome, o CPF, a filiação, o e-mail, o endereço, a geolocalização, o telefone, etc. Como vimos, esses dados pessoais podem ser sensíveis, demandando uma regulação mais rígida.

O que as empresas devem fazer para se adaptar?

Em 2019, a consultoria de riscos ICTS Protiviti realizou uma pesquisa, descobrindo que 82% das empresas estão despreparadas para cumprir a LGPD.

Para se adequar a LGPD, as empresas precisam adotar novas tecnologias, mudar a sua cultura de gestão de dados e investir em segurança da informação. Isso, é claro, gera gastos para elas, que terão custos tecnológicos e precisarão contratar especialistas e advogados de direito digital.

Se a sua empresa faz comércio eletrônico ou coleta dados online, invista numa solução de cookies e faça o design do seu site, de modo a tornar clara a busca de consentimento explícito dos usuários.

Tente ser sempre específico. Por exemplo, se você está coletando o e-mail de alguém, especifique as finalidades. Aqui no Direito Novo, por exemplo, ao coletar os e-mails, especificamos que é para o envio de conteúdo jurídico e promocional. Especificamos a periodicidade ainda: de 1 a 2 emails por semana. Um dos e-mails é sempre a nossa newsletter semanal.

Você precisa buscar o consentimento expresso dos clientes para o uso das informações. As empresas precisarão deixar claro para quê está obtendo as informações e como as utilizará.

Todavia, a LGPD é muito mais do que simplesmente ter o consentimento explícito para coletar os dados. Você precisa mapear e controlar o tratamento de dados. Documente quem tem acesso aos dados e quem faz uso deles.

Verifique se toda a operação está de acordo com a LGPD. Se algo estiver errado, mude para se adequar a LGPD, otimizando o processo, para que não prejudique o gerenciamento dos seus projetos.

Prefira soluções transparentes de automação, processamento e monitoramento dos dados.

Reiteramos que cumprir a LGPD não é simples. É recomendável que você busque um advogado de direito digital para te ajudar. Se você precisar de consultoria, teremos o maior prazer de analisar o seu caso.

Assista o nosso vídeo sobre a LGPD: