- Gerar link
- Outros aplicativos
Lei Geral de Proteção de Dados (LGPD)
A LGPD se baseia na legislação brasileira existente e é influenciada pelo GDPR. Analisamos como ele aborda os direitos do consumidor e as responsabilidades das empresas.
A Lei Geral de Proteção de Dados (LGPD) é um marco legal para regular a coleta e uso de dados pessoais. Ela entrou em vigor no Brasil em 16 de agosto de 2020. A lei foi aprovada e será aplicada pela Autoridade Nacional de Proteção de Dados (ANPD).
A LGPD foi influenciada pelo Regulamento Geral de Proteção de Dados da União Europeia (GDPR), e também ampliou sua cobertura em algumas áreas a partir dos parâmetros do GDPR. A ANPD também será fundamental na evolução de seus parâmetros.
O que é a Lei Geral de Proteção de Dados (LGPD)?
A Lei Geral de Proteção de Dados ( LGPD) é uma lei federal destinada a unificar 40 leis existentes para regular o processamento de dados pessoais de pessoas físicas. Foi aprovado em 18 de setembro de 2020 e foi retroativo, entrando em vigor em 16 de agosto de 2020. As penalidades se tornaram aplicáveis em 1º de agosto de 2021, e os titulares dos dados e autoridades públicas puderam fazer valer seus direitos a partir de 18 de setembro de 2020.
A LGPD é composta por 65 artigos. Os artigos 17.º a 22.º tratam dos direitos dos titulares dos dados, daqueles cujos dados são recolhidos e/ou tratados, principalmente pessoas físicas. Possui 10 bases legais para o tratamento de dados pessoais, quatro a mais que o GDPR.
O artigo 2º enumera os fundamentos da lei de proteção de dados pessoais:
- respeito à privacidade
- autodeterminação informacional
- liberdade de expressão, informação, comunicação e opinião
- inviolabilidade da intimidade, honra e imagem
- Desenvolvimento Econômico e Tecnológico e Inovação
- livre iniciativa, livre concorrência e defesa do consumidor
- direitos humanos, livre desenvolvimento da personalidade, dignidade e exercício da cidadania por pessoas físicas
A quem se aplica a Lei Geral de Proteção de Dados?
De acordo com o artigo 3º , a LGPD se aplica a qualquer processamento de dados que ocorra no Brasil, para fins de oferta de bens e serviços ou para processamento de dados, ou pessoas que estejam localizadas no Brasil. Os meios de processamento não são relevantes.
O processamento de dados realizado por qualquer pessoa física ou jurídica pública ou privada (geralmente uma empresa ou organização) é abrangido pela LGPD. A organização que realiza o processamento de dados não precisa ter presença física no Brasil ou estar sediada lá. Importa apenas se os titulares dos dados estiverem localizados lá e o processamento ocorrer lá. Esse componente de extraterritorialidade é comum às leis internacionais de privacidade.
Exceções ao escopo brasileiro da Lei Geral de Proteção de Dados
O artigo 4º descreve quando a LGPD não se aplica. Este seria o caso quando o processamento de dados pessoais:
- é realizado por uma pessoa singular exclusivamente para fins privados e não económicos
- é realizado exclusivamente para fins jornalísticos, artísticos e/ou acadêmicos
- é realizado exclusivamente para fins de segurança pública, defesa nacional, segurança do estado ou investigação e repressão de infrações penais
- é originário de fora do Brasil e não é objeto de comunicação ou compartilhado com agentes brasileiros de processamento de dados ou objeto de transferência internacional com outro país que não o país de origem (desde que o país de origem forneça um grau razoável de proteção de dados)
Quais são os direitos dos consumidores de acordo com a Lei Geral de Proteção de Dados?
O Artigo 18 descreve os Direitos do Titular dos Dados Pessoais em relação ao Controlador:
- para confirmar que seus dados pessoais estão sendo processados
- para acessar seus dados pessoais
- corrigir dados pessoais incompletos, incorretos ou desatualizados
- anonimizar, bloquear ou excluir quaisquer dados pessoais desnecessários, excessivos ou não conformes
- solicitar que um controlador de dados transfira seus dados pessoais para outro provedor de serviços ou produtos (portabilidade de dados)
- para excluir seus dados pessoais (com exceções conforme descrito no artigo 16 )
- receber informações sobre entidades públicas ou privadas com quem e como seus dados pessoais foram compartilhados
- receber informações sobre seus direitos de não dar consentimento para processar seus dados pessoais e as consequências da recusa
- revogar o consentimento para processar seus dados pessoais
Principais definições da Lei Geral de Proteção de Dados
Definições importantes da LGPD estão descritas no Artigo 5. Estes são alguns dos mais importantes ou frequentemente referenciados.
Dados pessoais
Informações relacionadas a (coletadas de ou sobre) uma pessoa física identificada ou identificável.
Dados pessoais sensíveis
Dados pessoais que possam ser usados para identificar um indivíduo e que estejam relacionados a “origem racial ou étnica, convicção religiosa, opinião política, filiação sindical. Ou organização religiosa, filosófica ou política, dados de saúde ou vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa física.” (Em geral, os dados pessoais têm a capacidade de causar danos maiores se usados indevidamente.)
Em processamento
Qualquer operação realizada com dados pessoais, como “coleta, produção, recepção, classificação, uso, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, exclusão, avaliação ou controle de informações, modificação, comunicação, transferência, difusão ou Extração."
Titular dos dados
Uma pessoa física ou indivíduo cujos dados estão sendo processados.
Controlador
Uma pessoa singular ou colectiva, pública ou privada (pode referir-se a uma empresa ou outra organização), que toma decisões sobre o tratamento de dados pessoais.
Operador
Uma pessoa física ou jurídica, pública ou privada (pode se referir a uma empresa ou outra organização), que processa dados pessoais em nome do controlador. Referido como o “processador de dados” em algumas outras leis.
Uso compartilhado de dados
A “comunicação, divulgação, transferência internacional, interligação de dados pessoais ou tratamento partilhado de bases de dados pessoais por entidades e entidades públicas no cumprimento das suas competências legais, ou entre estas e entidades privadas, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidos por essas entidades públicas, ou entre entidades privadas”.
As transferências internacionais têm sido uma questão importante onde os países carecem de acordos de adequação em relação à proteção de dados. O uso compartilhado também é importante para empresas que ganham dinheiro vendendo dados, pois os titulares dos dados geralmente devem consentir antes que seus dados possam ser compartilhados ou vendidos a terceiros.
Anonimização
Esse processo refere-se a “meios técnicos razoáveis e disponíveis no momento do tratamento” para remover marcadores identificáveis dos dados, de modo que “perde a possibilidade de associação direta ou indireta com um indivíduo”. Também é comum sob as leis de privacidade exigir que os dados não possam e não sejam anônimos, ou seja, tornados identificáveis novamente.
Definição de consentimento sob a Lei Geral de Proteção de Dados
O artigo 5º traz as principais definições da LGPD, e o consentimento é definido como a “expressão livre, informada e inequívoca pela qual o titular dos dados concorda com o tratamento de seus dados pessoais para determinada finalidade”.
“Livre, informado e inequívoco” também são fundamentais para as definições de consentimento válido em outras leis de privacidade.
O artigo 8.º descreve as condições para obter, re-obter e comprovar a recepção do consentimento, bem como as condições para a revogação do consentimento.
Opt-in vs. opt-out
A LGPD utiliza um modelo “opt-in” de consentimento do usuário, o que significa que na maioria dos casos as organizações não podem coletar ou processar dados até que o usuário – um comprador online, visitante do site, usuário do aplicativo, etc. – dê o seu consentimento. Esse requisito inclui dados pessoais, como nomes e endereços de e-mail, mas também dados granulares e “nos bastidores”, como os coletados pelos cookies do site.
Internacionalmente, outras leis, como o Regulamento Geral de Proteção de Dados da União Europeia ( RGPD ) e o POPIA da África do Sul, também usam esse modelo de consentimento. Nos Estados Unidos, no entanto, até o momento, um modelo de “exclusão” de consentimento do usuário foi implementado em nível estadual (incluindo Califórnia , Virgínia e Colorado ).
Bases legais na Lei Geral de Proteção de Dados
O artigo 7.º descreve as bases jurídicas ou as circunstâncias em que o processamento de dados pode ser realizado. Como observado, existem 10, quatro a mais do que no GDPR. O primeiro listado é o consentimento, que já analisamos. Algumas outras bases legais válidas incluem a obrigação legal ou regulatória do controlador, o cumprimento de um contrato e a proteção da vida ou segurança dos titulares dos dados.
A lista completa inclui:
- com o consentimento do titular dos dados
- para cumprir as responsabilidades legais ou regulamentares do controlador de dados
- para a administração pública e a execução de políticas públicas estabelecidas em lei, regulamento ou em contratos
- para estudos de pesquisa (anônimos sempre que possível)
- fazer um contrato
- exercer a lei brasileira
- para proteger a vida ou a segurança pessoal
- por profissionais de saúde ou saneamento, para salvaguardar a saúde de uma pessoa
- para o interesse legítimo do controlador de dados ou de um terceiro, a menos que isso infrinja os direitos legais do titular dos dados
- para proteger as classificações de crédito
Interesse legítimo na Lei Geral de Proteção de Dados
O(s) interesse(s) legítimo(s) como base legal para o processamento de dados tem sido popular sob outras leis de privacidade, pois pode significar menos trabalho para o controlador e outros – o consentimento não precisa ser obtido e gerenciado, por exemplo. Ressalta-se também que as 10 bases legais para o processamento de dados sob a LGPD não estão listadas de forma hierárquica, devendo ser decidida a mais adequada com base em circunstâncias específicas. O interesse legítimo não deve ser a primeira escolha ou o último recurso.
O que significa interesse legítimo?
Geralmente, interesse legítimo significa o uso de dados pessoais de uma maneira razoavelmente esperada (normalmente pelo titular dos dados), benéfica para o controlador e titular, mas não exigida por lei. “Interesse” é um termo muito amplo e pode abranger desde interesses comerciais até o bem público.
O interesse legítimo sob a LGPD ( Artigo 10 ) se aplicaria sob várias condições amplas:
- o processamento de dados tem um benefício claro, mas não é legalmente exigido
- há pouco risco de o processamento infringir a privacidade dos titulares dos dados
- titulares de dados podem razoavelmente esperar que o uso de seus dados
As organizações não podem apenas reivindicar interesse legítimo como base legal para sua própria conveniência. O processamento precisa ser necessário para uma finalidade definida e é necessária transparência adicional. O uso de interesse legítimo requer o equilíbrio dos direitos dos titulares dos dados com os interesses dos controladores de dados (e possíveis terceiros).
O conceito de interesse legítimo é menos maduro no Brasil do que na UE, por isso há uma discussão em curso sobre o que constitui interesse legítimo e em que circunstâncias é apropriado aplicá-lo. Houve preocupação desde que a lei foi redigida sobre o interesse legítimo ser “carta branca” para os controladores de dados.
Há um teste de três partes que é considerado a melhor prática antes de decidir sobre o interesse legítimo como base legal para o processamento de dados:
- teste de propósito (qual é o interesse legítimo)
- teste de necessidade (é o processamento necessário para o propósito definido)
- teste de equilíbrio (quais são os interesses do indivíduo/titular dos dados)
Interesse legítimo e avaliações de impacto na proteção de dados (DPIA)
A LGPD dá à ANPD a capacidade de exigir que os controladores de dados preparem um Relatório/Avaliação de Impacto na Proteção de Dados ( Artigo 38 ) quando a base legal escolhida pelo controlador for interesse legítimo. Isso se destina a identificar e mitigar os riscos para o processamento. O processamento não pode ser mais arriscado do que aquele para o qual o consentimento é necessário. Mas quando a necessidade de informar os usuários para obter o consentimento não está presente, a mesma transparência para os usuários não precisa estar em vigor.
Há algum debate sobre se um DPIA é o mecanismo certo em tais casos, ou se uma avaliação de interesse legítimo seria melhor.
Responsabilidades das empresas sob a Lei Geral de Proteção de Dados
As principais perguntas para as organizações quando qualquer lei de privacidade entra em vigor estão relacionadas a quem ela se aplica e quais são as condições de conformidade.
O artigo 6º estabelece os princípios da LGPD que regem o processamento de dados:
- finalidade : realizar o processamento para fins legítimos, específicos, explícitos e informados para o titular dos dados, sem processamento adicional
- adequação : o tratamento é compatível com as finalidades sobre as quais o titular dos dados foi informado, de acordo com o contexto da atividade de tratamento
- necessidade : a atividade de processamento é limitada ao mínimo necessário para a realização de sua(s) finalidade(s), com abrangência dos dados relevantes proporcional à(s) finalidade(s) declarada(s) do processamento
- acesso livre : os titulares dos dados têm garantia de consulta gratuita e fácil sobre a integridade dos seus dados pessoais e a forma e duração da atividade de tratamento
- qualidade dos dados: é garantida a exatidão, clareza, relevância e atualização dos dados dos titulares, de acordo com a necessidade e para o cumprimento da finalidade do seu tratamento
- transparência : é garantida aos titulares dos dados informações claras, precisas e facilmente acessíveis sobre o tratamento e os respetivos agentes de tratamento, desde que sejam salvaguardados os segredos comerciais e industriais
- segurança : medidas técnicas e administrativas são usadas para proteger os dados pessoais de acesso não autorizado, destruição acidental ou ilícita, perda, alteração, comunicação ou disseminação
- prevenção : são adotadas medidas para evitar danos devido ao tratamento de dados pessoais
- não discriminação : a atividade de processamento não pode ser realizada para fins discriminatórios ilícitos ou abusivos
- responsabilidade e prestação de contas : são adotadas medidas eficazes para comprovar a observância e o cumprimento das regras de proteção de dados pessoais, incluindo a eficácia de tais medidas
No geral, as responsabilidades das empresas são bastante padronizadas. Garantir que uma finalidade clara e legal para o processamento de dados seja estabelecida, bem como uma base legal para fazê-lo, antes que qualquer dado seja coletado. Colete e processe apenas os dados absolutamente necessários e apenas para a finalidade declarada e o tempo necessário. Os dados devem ser coletados, acessados e armazenados de forma segura. Os titulares dos dados têm o direito de saber quais dados seus são processados, como e por quem, e de consentir ou recusar isso. Eles também têm o direito de acessar quaisquer dados coletados, garantir que sejam precisos ou solicitar sua exclusão. A conformidade é exigida para titulares de dados localizados e processamento de dados ocorrendo no Brasil, independentemente de onde a organização que realiza o processamento de dados esteja localizada.
Diretor de Proteção de Dados (DPO)
A LGPD exige que as organizações implementem a privacidade desde o projeto, e um Encarregado de Proteção de Dados é fundamental para essas atividades. Cada controlador de processamento de dados (mas não processadores) deve nomear um DPO, e eles são responsáveis por garantir que as obrigações das organizações sejam cumpridas.
O Artigo 40 aborda os requisitos para um Encarregado de Proteção de Dados. Devido a uma Ordem Executiva, o DPO não precisa mais ser uma pessoa física, podendo ser cumprido por um comitê ou grupo, ou terceirizado pela organização. A lei não fornece especificações sobre o tamanho de uma empresa ou natureza de seus negócios ou processamento de dados em relação à exigência de ter um DPO. A ANPD pode refinar isso ao longo do tempo, no entanto.
De acordo com o Artigo 41 , a identidade e as informações de contato do DPO devem estar disponíveis publicamente. Eles não precisam ter nenhuma credencial específica ou experiência específica, embora isso também possa mudar no futuro, e algumas credenciais ou experiência podem facilitar o cumprimento de seus deveres.
O DPO interage com os titulares dos dados, recebendo comunicações ou reclamações dos mesmos, prestando informações ou adotando medidas que os afetem. Recebem comunicações e adotam medidas também para a autoridade nacional, a ANPD.
O DPO garante que os funcionários da organização e terceiros relevantes, como contratados, sejam treinados em requisitos de processamento de dados e medidas de segurança e os mantenham. E geralmente também exercem outras funções exigidas pela ANPD.
Transferências de dados
Os requisitos e responsabilidades de transferência de dados sob a LGPD são semelhantes aos do GDPR. O Artigo 33 descreve quando os dados podem ser transferidos internacionalmente. Conforme já observado, a LGPD é de abrangência extraterritorial, portanto, se os titulares dos dados estiverem no Brasil no momento do processamento dos dados, mesmo que o processamento ocorra fora do Brasil, aplica-se a LGPD, e considera-se que a transferência de dados ocorreu.
As organizações podem transferir dados pessoais para fora do Brasil (por exemplo, para processamento) nas seguintes condições:
- países ou organizações que fornecem um grau adequado de proteção de dados pessoais aceitável pela ANPD
- O controlador oferece e fornece garantias de conformidade com os princípios da LGPD e os direitos dos titulares dos dados em mente, inclusive com cláusulas contratuais
- quando a transferência for necessária para a cooperação jurídica internacional entre inteligência pública, órgãos de investigação e de acusação, de acordo com o direito internacional
- quando a transferência for necessária para proteger a vida ou a segurança física do titular dos dados ou de terceiros
- quando a ANPD autoriza a transferência
- quando existe um acordo de cooperação internacional que permite a transferência
- quando a transferência for necessária para execução de ordem pública ou atribuição legal do serviço público
- quando o titular dos dados tiver dado consentimento prévio e informado para a transferência e seu(s) propósito(s) específico(s)
- quando necessário para atender às condições dos incisos II, V e VI do art.
Até que a ANPD esteja totalmente operacional e tenha revisado muitas condições da LGPD, as empresas podem estar limitadas às condições de transferência de dados (ou o uso de apenas duas recomendadas): consentimento específico e informado ou a necessidade de executar uma transferência. Existem mecanismos de transferência adicionais sob a LGPD, mas os listados acima são aqueles relevantes para as empresas em curso de negócios.
Como relatar violações de dados
Se ocorrer uma violação de dados, o controlador deve denunciá-la à ANPD dentro de um prazo “razoável” se for provável ou tenha resultado em risco ou dano aos titulares dos dados. A orientação da ANPD de 2021 diz que essa informação deve ser comunicada em até dois dias úteis após o recebimento do conhecimento do incidente. Os Incidentes de Segurança de Dados Pessoais são cobertos pelo Artigo 48 .
As notificações à ANPD devem incluir:
- uma descrição da natureza dos dados pessoais afetados
- informações sobre os titulares dos dados envolvidos
- informações sobre as medidas de segurança que estavam em vigor
- riscos criados pelo incidente
- razões para qualquer atraso na comunicação (se houver)
- medidas que foram ou serão adotadas para resolver a violação e evitar a recorrência
A pessoa ou empresa responsável pelos dados deve avaliar o incidente e determinar a natureza, categoria e número de titulares de dados afetados.
A ANPD verificará a gravidade dos incidentes, podendo ordenar que o controlador adote medidas para salvaguardar os direitos dos titulares dos dados, se necessário, incluindo ampla divulgação do incidente à mídia, ou medidas para mitigar ou reverter os efeitos do mesmo.
A ANPD pode emitir regras e isenções especiais para a LGPD para pequenas empresas, startups e empresas similares, o que proporcionaria alguma flexibilidade para coisas como comunicação de incidentes de segurança à ANPD e titulares de dados, ou prazos para responder a solicitações de titulares de dados ou os da ANPD.
Lei Geral de Proteção de Dados do Brasil e crianças
A LGPD, como muitas leis de privacidade, possui disposições especiais para crianças e seus dados ( Artigo 14 ). Isso está de acordo com as disposições para a proteção de crianças em outras leis brasileiras e também na constituição. Segundo a LGPD, criança é qualquer pessoa com menos de 18 anos.
Os dados das crianças podem ser processados, mas seus melhores interesses devem ser levados em consideração, e o consentimento dos pais (ou de um representante legal) é necessário para todas as atividades de processamento, antes do início dessas atividades.
Os controladores devem fornecer informações sobre os dados solicitados de forma clara e acessível, bem como abordar a finalidade da coleta e uso dos dados. Os controladores também devem fazer esforços razoáveis, usando as tecnologias disponíveis, para verificar se o consentimento foi fornecido por um pai ou representante legal.
As condições para o consentimento dos pais para o processamento de dados de crianças são as mesmas para adultos: livre, informado, inequívoco, específico e excelente. As crianças não podem ser solicitadas a fornecer informações pessoais além do estritamente necessário ao se envolver com aplicativos online, jogos ou outras atividades semelhantes.
Uma exceção parcial ao requisito é quando a coleta de dados antes do consentimento é necessária para poder entrar em contato com o(s) pai(s) ou representante legal para obter o consentimento para o processamento de dados da criança. Os dados só podem ser usados uma vez e não armazenados ou compartilhados com terceiros sem consentimento.
Atividades de pós-processamento sob a Lei Geral de Proteção de Dados
Encerramento do processamento de dados
O Artigo 15 descreve quando o processamento de dados pessoais deve ser encerrado. Isso inclui quando:
- a finalidade específica do processamento foi alcançada ou os dados não são mais necessários para alcançá-la
- o período de processamento termina
- o titular dos dados fornece uma notificação para exercer o seu direito de revogar o consentimento para o processamento
- a ANPD determina que houve violação de dispositivos da LGPD
Exclusão de dados pessoais
Nos termos da cessação do tratamento, a eliminação dos dados pessoais recolhidos está prevista no artigo 16.º. Geralmente, os dados pessoais devem ser excluídos após o término do processamento. As exceções a isso, quando os dados não são excluídos imediatamente, são:
- em conformidade com a obrigação legal ou regulamentar do controlador
- para estudo de pesquisa, garantindo anonimização sempre que possível
- transferência para terceiro, desde que respeitados os requisitos legais para tal
- uso exclusivo do controlador, desde que os dados sejam anonimizados e não haja acesso de terceiros
Penalidades e execução sob a Lei Geral de Proteção de Dados
A ANPD é responsável por apurar as infrações e penalidades quando constatado o descumprimento das disposições da LGPD. Essas penalidades podem incluir multas de até 2% da receita anual da organização no Brasil, até um máximo de R$ 50 milhões por violação (~€ 8-9 milhões ou ~US$ 9-10 milhões).
A ANPD também pode bloquear o acesso aos dados ou processamento adicional de dados, ou exigir a exclusão dos dados pessoais coletados. Os indivíduos têm direito privado de ação, que é o direito de processar para buscar danos civis por violações de privacidade.
Reparação de danos ao titular dos dados
Nos termos do artigo 42.º , se um responsável pelo tratamento ou operador cometer uma violação da lei (“danos patrimoniais, morais, individuais ou coletivos”) relativamente à proteção de dados pessoais, é obrigado a repará-los. Conforme observado anteriormente, os titulares de dados individuais também podem processar por danos se forem prejudicados por uma violação de segurança relacionada a dados.
Em caso de violação que prejudique os titulares dos dados, o controlador é a parte mais provável responsável pelos danos. No entanto, quando o operador não cumpriu as obrigações de proteção de dados, ou não seguiu as instruções do responsável pelo tratamento, é “conjuntamente [com o responsável pelo tratamento] e solidariamente responsável pelos danos causados pelo tratamento”.
Confira a LPGD compilada aqui!
A ServDigital é especialistas no oferecimento de projetos e soluções personalizadas para Segurança de Dados e conformidade da LGPD.
www.servdigital.com.br
#servdigital #segurançadedados #proteçãodedados #segurançadigital #cibersegurança #ciberataque #ransomware #malware
- Gerar link
- Outros aplicativos