Recentemente a lei nº 13.709, mais conhecida como LGPD (Lei Geral de Proteção de Dados Pessoais), entrou em vigor determinando o cumprimento de uma série de regras a todas as empresas que utilizem dados pessoais de seus clientes. Essa lei visa resguardar a segurança dos dados pessoais e garantir que não sejam utilizados sem o consentimento do titular.
Inicialmente, a LGPD procurou esclarecer o significado dos termos utilizados ao longo da lei. Segue abaixo os principais termos e a sua definição:
Dado pessoal: informação relacionada a pessoa natural identificada ou identificável
Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração
Agora que você conhece o significado dos principais termos, vamos abordar as principais regras da LGPD.
Uma das principais regras da LGPD é o inc. I do art. 7º, onde está previsto que o tratamento de dados pessoais só será realizado mediante o fornecimento do consentimento do titular ou do responsável legal. Desse modo, deve haver o consentimento expresso do titular dos dados pessoais ou do seu responsável legal para que a instituição de ensino utilize os dados pessoais em suas atividades.
“Art. 7º. O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: I – mediante o fornecimento de consentimento pelo titular”
Além disso, segundo o §5 do mesmo artigo, a empresa (controlador) que obter o consentimento para tratamento de dados pessoais e necessitar transferir tais dados para terceiros controladores, deverá obter consentimento específico para realizar tal comunicação de dados.
O consentimento deve ser geral ou específico?
De acordo com o §4 do art. 8, o consentimento deve se referir a finalidades determinadas, especificando para quais atos será realizado o tratamento de dados pessoais. Além disso, determina que serão nulas as autorizações genéricas, que são aquelas que não estabelecem as finalidades do tratamento.
Esse consentimento é imutável?
Não, segundo o art. 15 da LGPD, o tratamento de dados pessoais será extinto quando: I – se verificar que a finalidade foi alcançada ou que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada; II – chegar ao fim o período de tratamento; III – haver comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no § 5º do art. 8º desta Lei, resguardado o interesse público; IV – por determinação da autoridade nacional, quando houver violação ao disposto nesta Lei.
O que fazer após o término do tratamento?
Com o término do tratamento surge a obrigação para a empresa de eliminar os dados pessoais armazenados, podendo mantê-los nas seguintes hipóteses: I – cumprimento de obrigação legal ou regulatória pelo controlador; II – estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; III – transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou IV – uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
Se adequar à LGPD é um procedimento simples e rápido?
Não, para atuar em total consonância com a LGPD é necessário primeiramente selecionar uma equipe para realizar essa implementação, garantindo que todos os integrantes utilizarão de todos os seus esforços para que não haja nenhuma violação de dados pessoais no tratamento.
Além disso, é imprescindível definir normas internas para adequação à LGPD, visando que todos os agentes responsáveis pelo tratamento cumpram com as regras.
Por último, periodicamente devem ser realizadas auditorias para fiscalizar o cumprimento das normas da LGPD, determinando as correções necessárias para adequação.
A empresa pode ser punida se não cumprir as normas da LGPD?
Sim, a empresa pode ser punida, inclusive com a imposição de multa, que devido à alta onerosidade pode causar grave prejuízo financeiro à empresa. As sanções passíveis de aplicação são:
I – advertência, com indicação de prazo para adoção de medidas corretivas;
II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III – multa diária, observado o limite total a que se refere o inciso II;
IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI – eliminação dos dados pessoais a que se refere a infração;
Qual profissional posso contratar para implementar um projeto de adequação à LGPD?
Um advogado especializado na área de tecnologia e com conhecimentos aprofundados sobre o assunto é o profissional mais recomendado para realizar a adequação em sua empresa. O ideal é possuir uma atuação conjunta do advogado com o gestor de tecnologia da informação da empresa.
O que a INOVASIE tem feito para se adequar a LGPD?
A INOVASIE está implementando todas as medidas necessárias para a adequação à LGPD, dentre elas podemos citar:
- Mapeamento das Informações Sensíveis e Pessoais para que nada seja tratado sem a segurança adequada.
- Criptografia dos Dados – após o mapeamento, todos os dados pessoais e sensíveis encontrados estão sendo devidamente criptografados
- Privacidade como Foco – também chamada de Privacy by Default e By Design, a privacidade do usuário é o nosso o principal objetivo no processo de desenvolvimento de nossos produtos.
- Criação de Políticas – para assegurar que a lei seja seguida integralmente, estamos desenvolvendo algumas políticas com o foco na privacidade dos dados sendo elas: Política de Proteção de Dados, Política de Retenção de Dados, Política de Privacidade e Política de Cookies.
- Análise de Risco – novas funcionalidades só são implementadas em produção quando não apresentam nenhum risco de segurança.
- Testes Contínuos de Segurança – diariamente realizamos testes de segurança em todos nossos sistemas com o objetivo de torná-los mais seguros e confiáveis.