Conheça os princípios e aspectos importantes da Lei Geral de Proteção de Dados
Você mal acorda com o despertador do celular e já verifica o WhatsApp e compartilha algumas mensagens. Durante o café, responde às pressas a um e-mail para confirmar presença em uma reunião e, em uma rápida passada pelo Instagram, curte e comenta várias publicações. Nem se deu conta, mas, em poucos minutos, já forneceu uma série de informações, além das tantas outras que já compartilhou automaticamente com sistemas e bancos de dados das mídias sociais.
Nunca antes na história humana o conhecimento e as opiniões trafegaram em um volume e uma velocidade tão expressivos, não é mesmo? Com tantas informações sobre pessoas e empresas em circulação, é fácil entender a preocupação com os direitos fundamentais à liberdade e à privacidade. Com esse preceito, foi sancionada, em 2018, a Lei Geral de Proteção de Dados (LGPD).
Umas das bases legais da LGPD é a relação de consentimento. Em outras palavras, é preciso solicitar autorização ao “titular dos dados” antes de se tratar uma informação. Pode ter certeza: tal consentimento deve ser fornecido de forma explícita e inequívoca. Segundo a legislação, o não consentimento é a exceção à regra.
Mas, afinal, quais são os dados que são classificados como pessoais? A LGPD, em acordo com o que apregoa o GDPR (Regulamento Europeu de Proteção de Dados), define como dados pessoais as informações ligadas a uma pessoa que possibilitam sua identificação, direta ou indiretamente.
Como exemplos de dados pessoais temos:
- CPF (Cadastro de Pessoa Física);
- RG (Registro Geral, gravado na Cédula de Identidade);
- IP (Sigla para Internet Protocol, uma identificação única para cada computador conectado a uma rede).
Vale ressaltar que, como o consentimento é só uma das bases legais que sustentam o tratamento de dados pessoais, é fundamental coletar e armazenar o registro do consentimento do titular. Assim, só é possível processar dados sem autorização do cidadão quando isso for indispensável para cumprir situações legais. Um exemplo é Lei de Acesso à Informação (LAI) e todas as premissas nela contidas, como a transparência na Administração Pública.
Também pode-se dispensar o consentimento obrigatório quando o tratamento de dados não se enquadrar em qualquer uma das demais bases legais. Imagine uma empresa financeira que captura seus dados para fins de prevenção a fraudes. Nesse caso, ela não necessitaria do seu consentimento, visto que “proteção ao crédito” é uma das premissas do negócio.
Fique atento! Os dados anonimizados, como o nome sugere, não fornecem o suficiente para revelar a identidade do seu titular. Por isso, eles não são considerados como pessoais e, dessa forma, não estão sujeitos às aplicações da lei.
A LGPD possui também determinados princípios. Vamos conhecê-los?
- Finalidade especificada e informada explicitamente ao titular;
- Adequação à finalidade previamente acordada e divulgada;
- Necessidade do tratamento, limitado ao uso de dados essenciais para alcançar a finalidade inicial;
- Acesso livre, fácil e gratuito das pessoas à forma como seus dados são tratados;
- Qualidade dos dados, deixando-os exatos e atualizados, segundo a real necessidade do tratamento;
- Transparência, ao titular, com informações claras e acessíveis sobre o tratamento e seus responsáveis;
- Segurança para coibir situações acidentais ou ilícitas como invasão, destruição, perda e difusão;
- Prevenção contra danos ao titular e aos demais envolvidos;
- Não discriminação, ou seja, não permissão de atos ilícitos ou abusivos;
- Responsabilização do agente, que é obrigado a demonstrar a eficácia das medidas adotadas.
Para Vítor Andrade, professor da PUC-SP e autoridade no assunto, a LGPD, por si só, não pacifica automaticamente todas as questões que envolvem a segurança dos dados coletados e tratados de pessoas e empresas. Na verdade, a novidade fomentaria a discussão de novas interpretações e diretrizes. “Há, por exemplo, um debate sobre os DPOs serem ligados às ouvidorias das instituições; a questão dos seguros surgiu como uma forma da redução de riscos. Há também diversas outras normas, no Brasil, entrando em vigor, que vão transformar, de alguma forma, diversos negócios. É difícil até selecionar essas normas e avaliar como elas vão afetar cada um. Um exemplo são os meios de pagamento instantâneos. Com a recente aprovação regulamentada pelo Banco Central, empresas que nunca pensaram em entrar nesse mercado estão se inserindo nele agora, desde o segmento do varejo até o de telecomunicações. Isso afeta não só o titular do dado, mas também o controlador e o operador”, explicou. Em tempo: Data Protection Officer, ou DPO, é o profissional de uma organização responsável pela aplicação de leis para a proteção dos dados pessoais dos usuários.
Direitos
Já que a LGPD foi pensada de forma a preservar a identidade das pessoas, é importante destacar os seus direitos. O controlador, ou seja, quem decide sobre a utilização dos dados de alguém, precisa garantir:
- Acesso aos dados;
- Anonimização, bloqueio e eliminação de dados;
- Confirmação da existência do tratamento;
- Correção de dados;
- Informação sobre compartilhamento de dados pessoais;
- Informação sobre a possibilidade de não consentir com o tratamento e as consequências da negativa;
- Portabilidade de dados;
- Possibilidade de revogar o consentimento.
Vazamentos
Para garantir que a lei “vai pegar”, o país poderá contar com a Autoridade Nacional de Proteção de Dados Pessoais, a ANPD. Além de fiscalizar o cumprimento, ela tem as missões de orientar e regularizar procedimentos sobre a proteção de dados e a própria aplicação da lei, além de dizer como a sociedade pode colaborar. O órgão também possui poder punitivo para aplicação em caso de irregularidades denunciadas e comprovadas.
Boas práticas
Além de conhecer os direitos fundamentais do titular dos dados e saber realizar o tratamento, para manter-se afinado com a LGPD é importante adotar boas práticas em segurança da informação. Isso inclui, por exemplo:
- Formalizar um compromisso claro da alta administração com a definição e o cumprimento de altos padrões de privacidade;
- Criar métodos para reconhecer projetos de privacidade inadequados;
- Antecipar práticas inadequadas de privacidade;
- Corrigir quaisquer impactos negativos muito antes de ocorrerem;
- Incorporar a privacidade às tecnologias, operações e arquiteturas de informação de maneira holística, integrativa e criativa;
- Adotar a responsabilização, ou seja, documentar e comunicar a privacidade conforme apropriado e atribuído a um indivíduo especificado.
Vale reforçar que a privacidade, desde a concepção dos dados, tem por objetivo assegurar a todos os interessados que, independentemente da prática ou da tecnologia comercial envolvida, a instituição que opera com informações alheias está de acordo com as premissas e objetivos declarados, respeitando os direitos dos titulares dos dados pessoais. Isso é alcançado por meio de medidas como padrões fortes de privacidade, avisos apropriados e interfaces amigáveis, capazes de empoderar o titular dos dados.
25/03/2021 - 15:39
