A lei geral de proteção de dados pessoais (LGPD) foi sancionada pela Presidência da República em 2018 e entrará em vigor em agosto de 2020. Atualmente nos localizamos no período de transição, denominado no meio jurídico como Vacatio Legis, que é conhecido como o período que corresponde entre a data de publicação de uma lei e a data de início de sua vigência.
O que é LGPD?
No post de hoje explicaremos tudo sobre a tão famosa LGPD, também conhecida como Lei Geral de Proteção de Dados Pessoais e que altera os artigos 7º e 16º do Marco Civil da Internet do Brasil. Este assunto é muito importante, principalmente para as empresas, pois trará uma série de regras no que diz respeito ao tratamento dos dados pessoais.
Inspirada na General Data Protection Regulation (GDPR), da União Europeia, a LGPD estabelece definições importantes a respeito de dados pessoais, dados pessoais sensíveis, controle, processamento, consentimento, anonimização, entre outras. Conheça algumas delas:
Dados pessoais: é toda e qualquer informação relacionada a pessoa natural identificada ou identificável. Entre os exemplos de dados pessoais podemos citar o nome, RG, CPF, e-mail, telefone fixo e celular, endereço residencial, etc. Não são considerados dados pessoais aqueles relativos a uma pessoa jurídica, como CNPJ, razão social, endereço comercial, entre outros.
Dados pessoais sensíveis: é todo dado pessoal que pode gerar qualquer tipo de discriminação, tais como os dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.
Titular: pessoa natural a quem se referem os dados pessoais.
Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
Processador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Encarregado: é o indicado pelo controlador, denominado data protection officer (DPO) na GDPR, que faz a comunicação entre os titulares que terão seus dados processados e o controlador.
Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
Anonimização: processos e técnicas por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. O dado anonimizado não é considerado dado pessoal para fins de aplicação da LGPD.
Pseudoanonimização: processos e técnicas por meio dos quais um dado tem sua possibilidade de associação dificultada. O dado pseudoanonimizado é considerado dado pessoal para fins de aplicação da LGPD, tendo em vista a possibilidade de associação desse dado a uma pessoa natural.
Qual é a amplitude da lei?
De acordo com o Art. 3º, a LGPD aplica-se: (1) a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que a operação de tratamento seja realizada no território nacional; (2) a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; (3) ou os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
Serão considerados coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta.
Não se aplicam ao tratamento de dados pessoais, segundo a lei, os dados para fins particulares e não econômicos; realizados para fins jornalísticos, artísticos e acadêmicos; realizados para fins de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais; ou provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.
Mesmo que a sua empresa não faça coleta de dados pessoais ela também precisa se adequar, pois a lei também fala do tratamento dos dados, pessoais ou não. Após o tratamento de dados, dentro do que a legislação conceitua, a empresa fica obrigada a realizar a eliminação dos dados.
Como as empresas devem se preparar para LGPD?
O primeiro passo é entender como a sua empresa está enquadrada e como está realizando o tratamento de dados. Neste caso, são necessários dois perfis de profissionais: um responsável por tecnologia e outro responsável pela parte jurídica e que domina a nova lei.
O segundo passo é a parte prática: permitir uma soberania do titular dos dados. Ou seja, deve permitir que o titular ou usuário de qualquer serviço, online ou offline, tenha o controle sobre os seus dados coletados.
Basicamente, devem fornecer mecanismos para o titular entender como sua empresa utilizará os dados. A partir de agora os termos de uso ganham maior relevância e precisam estar mais claros, com punições explícitas contra eventuais descumprimentos destes termos.
A soberania também dá novos direitos ao usuário, que anteriormente não estavam tão claros, como a possibilidade dele solicitar a alteração dos dados que ele tenha fornecido. Além disso, o usuário tem o direito de realizar a revogação dos dados, que é a solicitação de que a empresa não possa mais fazer uso destas informações e também a exclusão, que é o direito que ele tem de solicitar que estes dados não sejam mais armazenados ou tratados pela sua empresa.
Já ouviu falar sobre Seguro de Riscos Cibernéticos?
A evolução tecnológica mudou a nossa forma de fazer negócios e tornou a informação o bem mais valioso das empresas.
Infelizmente, junto com essa evolução, surgiram novos e elaborados métodos de ataques virtuais. Nem mesmo gigantes como Facebook e a Vale estão livres dos hackers.
Pensando na inevitabilidade dos ataques virtuais e o prejuízo que podem trazem as empresas, buscamos uma solução em seguros para minimizar os danos causados por este tipo de invasão maliciosa que é o Seguro de Riscos Cibernéticos.