Introdução
A Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/2018, é uma legislação brasileira que tem como objetivo principal proteger os direitos fundamentais de privacidade e liberdade dos indivíduos no que diz respeito ao tratamento de seus dados pessoais. A LGPD estabelece um conjunto abrangente de normas e princípios para o uso, processamento e compartilhamento de informações pessoais, visando garantir maior segurança e transparência nas relações entre empresas e indivíduos. Neste artigo, discutiremos cinco tópicos relevantes relacionados à LGPD.
Definição de dados pessoais
A LGPD define dados pessoais como qualquer informação relacionada a uma pessoa natural identificada ou identificável. Isso inclui dados como nome, endereço, número de identificação, informações de contato, dados biométricos, dados genéticos, entre outros. A ampla definição abrange praticamente todas as informações que possam identificar uma pessoa, seja de forma direta ou indireta, e estabelece a necessidade de proteção adequada desses dados pelas organizações que os coletam e processam.
Essas informações podem ser de natureza variada e incluem, mas não se limitam a:
1- Identificadores pessoais: nome, sobrenome, CPF, RG, número de telefone, endereço residencial, endereço de e-mail, data de nascimento, entre outros.
2- Características pessoais: gênero, idade, estado civil, nacionalidade, fotografia, impressões digitais, características físicas, voz, entre outros.
3- Informações acadêmicas e profissionais: histórico educacional, formação acadêmica, experiência profissional, certificações, entre outros.
4- Dados financeiros e econômicos: números de contas bancárias, informações de cartões de crédito, salário, histórico de transações financeiras, patrimônio, entre outros.
5- Dados de saúde: informações médicas, prontuários, resultados de exames, alergias, histórico de doenças, entre outros.
6- Dados de localização: informações sobre a localização geográfica de uma pessoa em tempo real ou histórico, por meio de dispositivos como GPS, endereço IP, entre outros.
É importante destacar que a definição de dados pessoais da LGPD abrange tanto dados que identificam diretamente uma pessoa quanto aqueles que, mesmo não identificando individualmente, podem ser combinados ou utilizados em conjunto com outras informações para identificar um indivíduo
Princípios de proteção de dados
A LGPD estabelece uma série de princípios fundamentais para o tratamento de dados pessoais. Esses princípios incluem a finalidade, necessidade, adequação, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização. As organizações que coletam e processam dados pessoais devem cumprir esses princípios, garantindo que os dados sejam utilizados de forma justa, transparente e em conformidade com a lei. A seguir, descrevo os principais princípios da LGPD:
Princípio da finalidade: Os dados pessoais devem ser coletados com propósitos legítimos, específicos e explícitos. A coleta deve ser limitada ao necessário para atingir esses propósitos. As organizações devem informar claramente aos titulares dos dados sobre a finalidade da coleta e obter o consentimento para processar os dados.
Princípio da adequação: Os dados pessoais coletados devem ser relevantes, proporcionais e não excessivos em relação à finalidade para a qual são processados. As organizações devem limitar a coleta de dados ao mínimo necessário para alcançar a finalidade pretendida.
Princípio da necessidade: A coleta e o tratamento de dados pessoais devem ser necessários para o cumprimento de obrigações legais, contratuais ou o exercício regular de direitos. Não se deve coletar ou processar dados além do necessário para esses fins.
Princípio do consentimento: A coleta e o tratamento de dados pessoais requerem o consentimento livre, informado e inequívoco do titular dos dados. O consentimento deve ser obtido de forma clara e específica para cada finalidade de processamento e pode ser revogado a qualquer momento pelo titular.
Princípio da transparência: As organizações devem fornecer informações claras, precisas e facilmente acessíveis aos titulares dos dados sobre como seus dados pessoais são coletados, usados, compartilhados e protegidos. Isso inclui a divulgação de políticas de privacidade, práticas de tratamento de dados e direitos dos titulares.
Princípio da segurança: As organizações devem adotar medidas técnicas e organizacionais adequadas para proteger os dados pessoais contra acesso não autorizado, uso indevido, divulgação, alteração ou destruição. Devem ser implementadas salvaguardas adequadas para garantir a confidencialidade, integridade e disponibilidade dos dados.
Princípio da prevenção: As organizações devem adotar medidas para prevenir a ocorrência de danos decorrentes do tratamento de dados pessoais. Isso inclui a implementação de políticas de segurança, análise de riscos e adoção de medidas para mitigar possíveis incidentes de segurança.
Princípio da não discriminação: O tratamento de dados pessoais não pode ser usado para discriminar os titulares dos dados de forma arbitrária ou abusiva. Isso inclui a proibição de decisões automatizadas que produzam efeitos jurídicos ou afetem significativamente o titular sem seu consentimento.
Princípio da responsabilização e prestação de contas: As organizações devem ser responsáveis pelo cumprimento da LGPD e devem ser capazes de comprovar a conformidade com a lei. Devem adotar medidas
Consentimento e direitos dos titulares dos dados
A LGPD estabelece que o tratamento de dados pessoais deve ser realizado com base no consentimento livre, informado e inequívoco do titular dos dados. Além disso, a lei confere aos titulares dos dados uma série de direitos, incluindo o direito de acesso aos seus dados, o direito de correção de informações incorretas, o direito de exclusão, o direito à portabilidade dos dados e o direito de revogar o consentimento a qualquer momento. As organizações devem respeitar esses direitos e fornecer mecanismos adequados para que os titulares dos dados possam exercê-los.
Responsabilidade e obrigações das organizações
A LGPD estabelece que as organizações são responsáveis por garantir a proteção dos dados pessoais que coletam e processam. Elas devem adotar medidas técnicas e organizacionais adequadas para garantir a segurança dos dados e prevenir incidentes de segurança. Além disso, as organizações devem manter registros de suas atividades de tratamento de dados, nomear um encarregado de proteção de dados (DPO) e notificar a Autoridade Nacional de Proteção de Dados (ANPD) em caso de incidentes de segurança ou violações de dados.
Nomeação do Encarregado de Proteção de Dados (DPO): As organizações devem designar um DPO, também conhecido como Data Protection Officer, responsável por assegurar o cumprimento da LGPD e atuar como ponto de contato entre a organização, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Transparência e Informação: As organizações devem fornecer informações claras, precisas e facilmente acessíveis aos titulares dos dados sobre como seus dados pessoais são coletados, usados, compartilhados e protegidos. Isso inclui a elaboração de uma política de privacidade que detalhe as práticas de tratamento de dados e os direitos dos titulares.
Consentimento: A coleta e o tratamento de dados pessoais requerem o consentimento livre, informado e inequívoco do titular dos dados. As organizações devem obter o consentimento de forma clara e específica para cada finalidade de processamento, informando sobre os dados coletados e os direitos dos titulares.
Medidas de Segurança: As organizações devem adotar medidas técnicas e organizacionais adequadas para proteger os dados pessoais contra acesso não autorizado, uso indevido, divulgação, alteração ou destruição. Devem ser implementadas salvaguardas para garantir a confidencialidade, integridade e disponibilidade dos dados.
Tratamento de Dados Sensíveis: Dados pessoais sensíveis, como dados de saúde, origem racial ou étnica, crenças religiosas, opiniões políticas, entre outros, possuem uma proteção especial. As organizações devem obter um consentimento específico e destacado para o tratamento desses tipos de dados.
Transferência Internacional de Dados: Caso a organização realize transferências internacionais de dados pessoais, é necessário garantir que o país de destino ofereça um nível adequado de proteção de dados ou implementar salvaguardas adequadas, como cláusulas contratuais padrão, normas corporativas globais ou certificações.
Respeito aos Direitos dos Titulares: As organizações devem respeitar os direitos dos titulares dos dados, como o direito de acesso, retificação, exclusão, oposição, portabilidade e limitação do tratamento. Devem fornecer mecanismos para que os titulares exerçam seus direitos e responder prontamente às solicitações.
Registro de Atividades de Tratamento: As organizações devem manter um registro das atividades de tratamento de dados pessoais, indicando informações como a finalidade do tratamento, categorias de dados envolvidas, período de retenção, medidas de segurança adotadas e possíveis transferências internacionais
Sanções e penalidades
A Lei Geral de Proteção de Dados (LGPD) estabelece sanções e penalidades para as organizações que não cumprem suas disposições. Essas sanções têm o objetivo de garantir o cumprimento das obrigações de proteção de dados e a proteção dos direitos dos titulares dos dados. A seguir, descrevo as principais sanções previstas na LGPD:
1- Advertência: A Autoridade Nacional de Proteção de Dados (ANPD) pode emitir uma advertência à organização que cometeu uma infração à LGPD. Essa advertência tem caráter educativo, alertando sobre a necessidade de correção de condutas e de adequação às disposições da lei.
2- Multas Administrativas: A LGPD estabelece a aplicação de multas administrativas para as organizações em caso de infração. As multas podem ser de até 2% do faturamento da empresa, limitadas a um total de 50 milhões de reais por infração. Essas multas podem ser aplicadas tanto para infrações específicas quanto para infrações em geral, que são relacionadas ao descumprimento dos princípios e deveres previstos na lei.
3- Publicização da Infração: A ANPD pode determinar que a infração cometida pela organização seja divulgada publicamente. Isso tem como objetivo informar o público sobre as violações e promover a transparência em relação à proteção de dados.
4- Bloqueio dos Dados: Em casos de infrações, a ANPD pode determinar o bloqueio dos dados pessoais relacionados à infração. Isso significa que a organização não poderá mais acessar ou utilizar esses dados até que a situação seja regularizada.
5- Eliminação dos Dados: A ANPD pode determinar a eliminação dos dados pessoais relacionados à infração, quando não houver mais necessidade de sua manutenção para a finalidade pretendida ou em caso de violação grave da LGPD.
Além das sanções mencionadas, é importante ressaltar que a LGPD também prevê a possibilidade de ações judiciais individuais ou coletivas por danos morais ou patrimoniais causados aos titulares dos dados em decorrência de violações da lei. As sanções e penalidades são aplicadas de acordo com a gravidade da infração e a análise do caso pela ANPD (Agência Nacional de Proteção de Dados).
Referências Bibliográficas
Araújo, J. R. (2019). Lei Geral de Proteção de Dados Pessoais: Lei nº 13.709/2018 comentada artigo por artigo. Juruá Editora.
Peixoto, M. (2019). Lei Geral de Proteção de Dados Pessoais Comentada. Editora Atlas.
Nunes, G. M. (2020). LGPD Lei Geral de Proteção de Dados: Impactos e Desafios para as Organizações. Editora Évora.
Lessa, M. (2020). LGPD: Manual de Implementação. Editora Thomson Reuters Brasil.
Faraco, G. A. (2020). Proteção de Dados Pessoais: A Lei Geral de Proteção de Dados e os Desafios à Privacidade no Mundo Digital. Editora Saraiva.
Nascimento, L. B. (2020). Lei Geral de Proteção de Dados (LGPD): Comentários à Lei n. 13.709, de 14 de agosto de 2018. Editora Revista dos Tribunais.
Borges, J. M. (2021). Lei Geral de Proteção de Dados: Manual para uma Implementação Consciente e Orientada por Riscos. Editora Lura.
Luna, E. L. (2021). Guia LGPD: Tudo sobre a Lei Geral de Proteção de Dados. Editora Literare Books
