LGPD – Lei Geral de Proteção de Dados Pessoais – Brasil

O que é a Lei Geral de Proteção de Dados Pessoais? Dê um “giro” pela lei e conheça desde já as principais transformações que ela traz para o país

fonte: Serpro

De compras on-line a redes sociais, de hospitais a bancos, de escolas a teatros, de hotéis a órgãos públicos, da publicidade à tecnologia: pode ter certeza, a Lei Geral de Proteção de Dados Pessoais (LGPD) afeta diferentes setores e serviços, e a todos nós brasileiras e brasileiros, seja no papel de indivíduo, empresa ou governo. Aqui, a gente te ajuda a entender os seus direitos como cidadão, ou suas obrigações, caso você seja responsável por bases de dados de pessoas.

E damos, é claro, as boas-vindas a você que quer entender mais a LGPD, contribuir com ela, e buscar suporte. Vamos nessa?

Para começar, já que você topou, então vamos dar um “giro” pela LGPD e conhecer os principais pontos da lei

LGPD
Finalidades e necessidades
Uma regra para todos
Mais para o cidadão


Para continuar, agora que você deu um giro, leia a seguir mais detalhes sobre os principais pontos apresentados na imagem acima

A LGPD é a lei nº 13.709, aprovada em agosto de 2018 e com vigência a partir de agosto de 2020. Para entender a importância do assunto, é necessário saber que a nova lei quer criar um cenário de segurança jurídica, com a padronização de normas e práticas, para promover a proteção, de forma igualitária e dentro do país e no mundo, aos dados pessoais de todo cidadão que esteja no Brasil. E, para que não haja confusão, a lei traz logo de cara o que são dados pessoais, define que há alguns desses dados sujeitos a cuidados ainda mais específicos, como os sensíveis e os sobre crianças e adolescentes, e que dados tratados tanto nos meios físicos como nos digitais estão sujeitos à regulação.

A LGPD estabelece ainda que não importa se a sede de uma organização ou o centro de dados dela estão localizados no Brasil ou no exterior: se há o processamento de conteúdo de pessoas, brasileiras ou não, que estão no território nacional, a LGPD deve ser cumprida. Determina também que é permitido compartilhar dados com organismos internacionais e com outros países, desde que isso ocorra a partir de protocolos seguros e/ou para cumprir exigências legais.

Consentimento
Outro elemento essencial da LGPD é o consentir. Ou seja, o consentimento do cidadão é a base para que dados pessoais possam ser tratados. Mas há algumas exceções a isso. É possível tratar dados sem consentimento se isso for indispensável para: cumprir uma obrigação legal; executar política pública prevista em lei; realizar estudos via órgão de pesquisa; executar contratos; defender direitos em processo; preservar a vida e a integridade física de uma pessoa; tutelar ações feitas por profissionais das áreas da saúde ou sanitária; prevenir fraudes contra o titular; proteger o crédito; ou atender a um interesse legítimo, que não fira direitos fundamentais do cidadão.

Automatização com autorização
Por falar em direitos, é essencial saber que a lei traz várias garantias ao cidadão, que pode solicitar que dados sejam deletados, revogar um consentimento, transferir dados para outro fornecedor de serviços, entre outras ações. E o tratamento dos dados deve ser feito levando em conta alguns quesitos, como finalidade e necessidade, que devem ser previamente acertados e informados ao cidadão. Por exemplo, se a finalidade de um tratamento, feito exclusivamente de modo automatizado, for construir um perfil (pessoal, profissional, de consumo, de crédito), o indivíduo  deve ser informado que pode intervir, pedindo revisão desse procedimento feito por máquinas.

ANPD e agentes de tratamento
E tem mais. Para a lei a “pegar”, o país contará com a Autoridade Nacional de Proteção de Dados Pessoais, a ANPD. A instituição vai fiscalizar e, se a LGPD for descumprida, penalizar. Além disso, a ANPD terá, é claro, as tarefas de regular e de orientar, preventivamente, sobre como aplicar a lei. Cidadãos e organizações poderão colaborar com a autoridade.

Mas não basta a ANPD – que está em formação – e é por isso que a Lei Geral de Proteção de Dados Pessoais também estipula os agentes de tratamento de dados e suas funções, nas organizações: tem o controlador, que toma as decisões sobre o tratamento; o operador, que realiza o tratamento, em nome do controlador; e o encarregado, que interage com cidadãos e autoridade nacional (e poderá ou não ser exigido, a depender do tipo ou porte da organização e do volume de dados tratados).

Gestão em foco
Há um outro item que não poderia ficar de fora: a administração de riscos e falhas. Isso quer dizer que quem gere base de dados pessoais terá que redigir normas de governança; adotar medidas preventivas de segurança; replicar boas práticas e certificações existentes no mercado. Terá ainda que elaborar planos de contingência; fazer auditorias; resolver incidentes com agilidade. Se ocorrer, por exemplo, um vazamento de dados, a ANPD e os indivíduos afetados devem ser imediatamente avisados. Vale lembrar que todos os agentes de tratamento sujeitam-se à lei. Isso significa que as organizações e as subcontratadas para tratar dados respondem em conjunto pelos danos causados. E as falhas de segurança podem gerar multas de até 2% do faturamento anual da organização no Brasil – e no limite de R$ 50 milhões por infração. A autoridade nacional fixará níveis de penalidade segundo a gravidade da falha. E enviará, é claro, alertas e orientações antes de aplicar sanções às organizações.

Tirando algumas situações previstas na LGPD, é você, cidadão, que define se seus dados pessoais podem ou não ser tratados por terceiros

Se a gente fosse eleger a principal palavra da Lei Geral de Proteção de Dados Pessoais (LGPD), a escolhida seria, sem dúvidas, CONSENTIMENTO. É o titular, ou seja, a pessoa a quem se referem os dados que deve, se quiser – ao ser questionada, de forma explícita e inequívoca – autorizar que suas informações sejam usadas, por empresas e órgãos públicos, na hora da oferta de produtos e serviços, gratuitos ou não.

Portanto, com a nova lei, fica claro que quem é o verdadeiro dono do dado não é aquele que o utiliza, nem aquele que o salvaguarda em bancos de dados. Nada disso, o dado pessoal é estritamente da pessoa a quem ele diz respeito. Na teoria isso parece algo óbvio, mas na prática não é bem assim. E tem muito dado particular sendo usado para fins que seu dono ou dona real sequer sabem. Usos, inclusive, que podem até mesmo prejudicá-los.

Logo, se você não quer seus dados sendo manipulados por aí de forma indevida, tenha atenção aos seus direitos, que estão elencados na LGPD. E, aos poucos, você vai aprendendo mais e mais sobre como exercê-los!

Consentimento na prática

Imagine que você autorizou que seus dados fossem empregados por uma organização: essa deverá pedir nova permissão sua, e especificamente para o novo fim, caso ela deseje compartilhar os dados com outras organizações – ressalvadas as hipóteses de dispensa do consentimento previstas na  Lei Geral de Proteção de Dados Pessoais. 

E o seu consentimento deve ser para finalidades determinadas. Isso significa que se te pedirem – para tratar dados – de uma forma muito genérica, sem especificações, o pedido e sua posterior autorização serão considerados nulos.

Vale lembrar que você pode revogar, a qualquer momento, um consentimento cedido anteriormente. E caso a organização altere informações no decorrer do tratamento dos dados, você deve ser avisado sobre isso – e poderá revogar o consentimento, caso não concorde com a alteração. 

Quando tratar dados pessoais for condição para fornecimento de produto ou serviço ou para exercício de um direito, você deve ser avisado sobre isso e sobre os meios pelos quais pode exercer seus direitos como titular. E se as informações fornecidas tiverem conteúdo enganoso ou abusivo, ou não forem apresentadas previamente com transparência e clareza, o consentimento será considerado nulo.

Além disso, quando forem feitas mudanças, na finalidade de um tratamento, não compatíveis com o consentimento original, o gestor dos dados deverá informar isso previamente, e dar a opção de revogar o consentimento, se você discordar das alterações propostas. A oposição deverá ser feito mediante manifestação expressa, por meio de procedimento gratuito e facilitado.

Acessar, corrigir, eliminar dados, e outros. Conhecer seus direitos, garantidos pela LGPD, é o primeiro passo para poder exercê-los

Sabia que você pode pedir para acessar dados seus que estejam em uso por uma organização? Ou que você pode solicitar que certos dados pessoais sejam eliminados? Ou ainda que pode realizar a portabilidade de seus dados de um fornecedor de serviços para outro? A Lei Geral de Proteção de Dados Pessoais (LGPD) assegura diferentes direitos a você cidadão, brasileiro ou não, que esteja no Brasil. Afinal, os dados são seus, logo os direitos têm que ser em prol de você. É importante conhecer, desde já, esses direitos para poder exercê-los a partir de agosto do próximo ano, quando a LGPD entra em vigor e passa a valer efetivamente no país.Você, cidadão (via pedido expresso, e que deve ser atendido com rapidez), tem o direito de:

 confirmação de que existe um ou mais tratamento de dados sendo realizado

 acesso aos dados pessoais conservados que lhe digam respeito

 correção de dados pessoais incompletos, inexatos ou desatualizados

 eliminação de dados pessoais desnecessários, excessivos ou caso o seu tratamento seja ilícito

 portabilidade de dados a outro fornecedor de serviço ou produto, observados os segredos comercial e industrial

 eliminação de dados (exceto quando o tratamento é legal, mesmo que sem o consentimento do titular)

 informação sobre compartilhamento de seus dados com entes públicos e privados, caso isso exista

 informação sobre o não consentimento, ou seja, sobre a opção de não autorizar o tratamento e as consequências da negativa

    revogação do consentimento, nos termos da lei

    reclamação contra o controlador dos dados junto à autoridade nacional 

    oposição, caso discorde de um tratamento feito sem seu consentimento e o considere irregular

A LGPD chegou para ajudar, mas você também pode atuar, no seu dia a dia, para se proteger

Quando o assunto é dado pessoal, o conselho geral que podemos dar a cada um, seja você criança, adolescente, adulto ou idoso, é que “ande” com cautela, tanto no mundo real como no virtual. Ou seja, tanto faz se pedem seus dados numa pesquisa de rua, por exemplo, ou num cadastro on-line: o importante é estar vigilante! Não confie em desconhecidos, feche bem as “portas” e controle seus dados pessoais, para evitar cair em ciladas.

15 dicas para a proteção de seus dados pessoais, em meios físicos ou digitais

Check1 Se você perdeu ou teve documentos pessoais (RG, CPF, CNH, etc) furtados, faça um Boletim de Ocorrência (B.O.). E, se possível, cadastre o ocorrido em serviços de alerta. No Brasil, instituições como SPC e Serasa ofertam o serviço, ajudando que não roubem sua identidade e realizem fraudes e compras em seu nome.

Check cor 3 Antes de comprar um celular, uma câmera fotográfica, um videogame ou outro eletroeletrônico que se conecte à internet, pesquise se o dispositivo é seguro, confira a opinião de usuários.

Check cor 2 Não deixe seu celular, notebook ou computador ser acessado por pessoas estranhas. Encerre a sessão sempre que sair do e-mail, de redes sociais. E limpe o histórico de navegação sobre os sites visitados.

Check1 Proteja sua máquina de ataques virtuais. Mantenha antivírus e firewalls atualizados, e procure navegar e fazer downloads via sites confiáveis.

Check cor 3 Não divulgue, sem critérios, o seu número de celular. E, para não receber ligações com ofertas comerciais indesejadas, confira o serviço que Procons e Decons, em alguns Estados, oferecem em seus sites – cadastrando-se, gratuitamente. Tem ainda o serviço do site www.naomeperturbe.com.br, criado por operadoras de telefonia para atender à uma determinação da Anatel. Se não respeitarem sua vontade como consumidor, as empresas de produtos e serviços podem receber advertências e multas.

Check cor 2 Se não quiser receber e-mails com propagandas, lembre-se que, com a LGPD, as empresas só poderão enviar publicidade se você der o consentimento prévio; e, caso você autorize, deverão oferecer a você a opção de sair da lista de envios.

Check1 Desconfie de qualquer pessoa que peça dados bancários seus ou de seus pais, e navegue por plataformas com conexão segura para, por exemplo, comprar ou jogar on-line – no caso de games que interligam jogadores, atenção redobrada, pois podem captar imagens e sons, por microfones e câmeras.

Check cor 3 Escolha suas senhas cuidadosamente. Faça senhas fortes, que não sejam fáceis de serem desvendadas por terceiros.

Check cor 2 Deixe sua conexão Wi-Fi mais segura com pequenas atitudes: não deixe o nome de fábrica, troque; desative a conexão automática, porque assim você não corre o risco de ser conectado automaticamente a redes abertas desconhecidas e potencialmente perigosas.

Check1 Assuma o controle de suas informações nas redes sociais. Revise as políticas de privacidade (a partir de agosto de 2020, essas políticas deverão respeitar a LGPD), veja o que vão fazer com seus dados e só dê o consentimento se de fato concordar. Se não concordar, conteste.

Check cor 3 Não disponibilize muitas informações pessoais a muitas pessoas, como em cadastros físicos ou on-line. Nas redes sociais, configure seu perfil para que suas publicações só sejam vistas por quem você realmente conhece. Quanto menos seus dados, gostos e preferências ficarem disponíveis, melhor!

Check cor 2 Se você é um dos muitos adeptos da nuvem, verifique se a segurança e a disponibilidade do serviço são adequadas aos tipos de arquivo que deseja carregar. E reflita sobre quem pode acessar os uploads feitos por você.

Check1 Controle os cookies: você pode impedir a instalação deles, não dando seu consentimento quando é solicitado, durante a navegação. Outra opção é desativar os cookies direto no navegador. O cookie é um tipo de arquivo, enviado para um site por meio do navegador, baixado em computadores, celulares ou qualquer outro dispositivo, a fim de armazenar informações do usuário.

Check cor 3 Caso não esteja satisfeito, não hesite em pedir detalhes ou em solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir seu perfil pessoal, profissional, de consumo, e outros aspectos de sua personalidade.

Check cor 2 No rol acima, de revisões possíveis, também está a sobre o seu perfil de pagamentos e empréstimos. Nenhum credor é obrigado a emprestar dinheiro a você, claro, mas se achar que foi recusado crédito injustamente, peça a esse credor que explique a razão e reveja, se possível, a decisão.

Confira o texto oficial na íntegra: Lei 13.709, 14/08/2018

fonte: Serpro