Lei Geral de Proteção de Dados: conheça os principais requisitos

A Lei Geral de Proteção de Dados Pessoais estabelece as diretrizes para assegurar os direitos dos cidadãos e as obrigações das instituições públicas e privadas sobre o tratamento dos dados pessoais de pessoas físicas e jurídicas. Ao criar os parâmetros jurídicos, as atividades e ações que envolvem dados pessoais passam a ser regularizadas e fiscalizadas e as penalidades para o descumprimento são estabelecidas.

O tratamento de dados já foi abordado no Marco Civil da Internet, porém a Lei 13.709 de 14/08/2018 não se resume apenas aos serviços que estamos acostumados a associar à internet como as redes sociais e as compras online, mas também afeta diversos setores do mercado, como bancos, escolas, hospitais, órgão públicos, entre outros segmentos dentro do território nacional, podendo ser aplicada independentemente do país sede da empresa ou do país onde os dados estão armazenados, desde que a coleta, o tratamento de dados ou a atividade em que se destina os dados ocorra no Brasil.

A LGPD define “dado pessoal” como qualquer informação relacionada a pessoa natural identificada ou identificável, “banco de dados” como conjunto estruturado de dados pessoais e entende “tratamento de dados” como toda operação realizada com dados pessoais, sejam elas: coleta, classificação, utilização, processamento, armazenamento, modificação, transferência, entre outras. O “titular” é definido como pessoa natural a quem se referem os dados pessoais, o “controlador” é a pessoa física ou empresa responsável pelas decisões que envolvem o tratamento de dados e sua finalidade e o “operador” é indicado como a pessoa física ou empresa que realiza o tratamento de dados em nome do controlador.

As atividades que envolvam o tratamento de dados devem ter a sua finalidade especificada e informada ao titular dos dados. As organizações deverão oferecer transparência e informações claras sobre os dados e o tratamento realizado sobre eles. Também é necessário garantir a proteção dos dados pessoais e a segurança contra danos e acessos não autorizados. A lei ainda determina que as instituições comprovem o cumprimento das normas de proteção dos dados pessoais.

O tratamento de dados é autorizado somente diante das hipóteses apresentadas na LGPD. A primeira hipótese, e considerada uma das principais, está o consentimento fornecido pelo titular dos dados. O consentimento também deve abranger o compartilhamento dos dados pessoais, sendo especificado ao titular. As empresas deverão garantir meios de comprovar o consentimento obtido da pessoa que forneceu seus dados e as autorizações consideradas genéricas serão anuladas. Outra hipótese indicada é a legitimidade da finalidade dada ao tratamento de dados pelo controlador. O titular tem o direito de acessar as informações sobre o tratamento de seus dados pessoais e solicitar a retirada de suas informações, podendo revogar o consentimento de forma gratuita e facilitada.

As operações realizadas no tratamento de dados devem ser registradas pelos agentes controladores e operadores. E caso alguma atividade envolvida no tratamento de dados resulte em danos patrimoniais ou morais, o controlador ou operador responsável é obrigado a repará-los. A Lei Geral de Proteção de Dados determina sanções para as infrações de suas normas que podem ir desde advertências e multas até a suspensão ou a proibição das atividades que envolvam o tratamento de dados pessoais, sendo aplicadas conforme a infração cometida.

A Lei 13.853 de 08/07/2019 atualizou a primeira versão da Lei Geral de Proteção de Dados Pessoais e estabeleceu a criação da Autoridade Nacional de Proteção de Dados Pessoais (ANPD), órgão responsável pela sua fiscalização e regulação. A LGPD deveria entrar em vigor em agosto de 2020, mas foi adiada pela Medida Provisória 959/20 para maio de 2021 devido à pandemia de covid-19, com exceção da criação da Autoridade Nacional de Proteção de Dados.

O Serviço Federal de Processamento de Dados (Serpro) destaca as principais ações que as empresas devem seguir para cumprir de maneira correta as suas obrigações em relação à LGPD, como: nomear os agentes responsáveis pelo tratamento de dados; identificar os dados pessoais entre as informações que a empresa administra, gerenciar e verificar os locais de armazenamento físicos e digitais; conferir a comprovação do consentimento dado pelo titular dos dados e realizar ações para que os colaboradores possam conhecer e colocar em prática as medidas necessárias.

O Serpro também orienta a elaboração de normas de governança para o tratamento de dados e medidas preventivas de segurança, assim como, a construção de planos de contingência para lidar com incidentes e solucionar problemas com mais rapidez, incluindo a realização de auditorias periódicas.

Lembramos que este texto é apenas informativo e o cumprimento da lei deve ser orientado por responsáveis jurídicos habilitados para essa situação.

A Plataformanet é uma agência de marketing digital que traz toda semana informações sobre o mundo digital, entre outras dicas de serviços e aplicativos. Continue acessando o nosso caderno de tecnologia e acompanhe as novidades.