A Lei Geral de Proteção de Dados (LGPD) do Brasil, estabelecida em agosto de 2020, é a legislação mais recente que regulamenta a proteção de dados pessoais. De acordo com a lei, as organizações que processam dados pessoais direta ou indiretamente são responsáveis por assegurar que os dados pessoais sejam processados de forma segura e confidencial.
A LGPD é aplicável a qualquer empresa que tenha um estabelecimento no Brasil, bem como aquelas que oferecem serviços no Brasil, mesmo que sem estabelecimento físico. Além disso, a LGPD afeta aqueles que processam ou controlam dados de indivíduos brasileiros, independentemente de sua localização.
A LGPD visa proteger os direitos fundamentais dos cidadãos brasileiros e proporcionar maior segurança aos dados pessoais que são processados por empresas, governos e outras organizações, garantindo a privacidade dos dados pessoais e a confidencialidade dos dados confidenciais.
O objetivo deste guia é fornecer uma visão geral da LGPD e explicar como as empresas podem se preparar para cumprir os requisitos da lei, bem como o que é necessário para garantir a conformidade. O guia também aborda os princípios e serviços que são abrangidos pela LGPD, os direitos dos indivíduos em relação aos seus dados pessoais, as obrigações dos controladores de dados e os possíveis impactos das infrações à lei.
Por fim, este guia explica as medidas de segurança necessárias para proteger os dados pessoais, bem como as transferências internacionais de dados, os casos de violação de dados e quais são as penalidades em caso de descumprimento da LGPD. Com este guia, as empresas terão a oportunidade de entender melhor os seus direitos e responsabilidades em relação à LGPD e de se preparar para as obrigações que a lei estabelece.
LGPD e seus princípios
A LGPD estabelece alguns princípios básicos que devem ser seguidos pelos controladores de dados. Esses princípios ajudam a garantir que os dados dos usuários sejam tratados de forma segura, ética e transparente. Os principais princípios da LGPD são:
Finalidade limitada: Os controladores de dados devem coletar os dados apenas para determinados fins específicos, pré-definidos e explicitados. Os dados não podem ser usados para outros fins além dos especificados, a menos que exista uma autorização formal do usuário ou uma lei que o exija.
Adequação e necessidade: Os controladores de dados devem obter apenas os dados necessários para atingir seus fins específicos, e não mais do que isso. Os controladores também devem garantir que os dados sejam tratados de maneira adequada.
Livre-concessão: Os dados dos usuários não devem ser coletados ou tratados sem o consentimento do titular. O consentimento deve ser informado e específico, e o usuário também deve ser informado sobre o tratamento dos seus dados e seus direitos. O consentimento do usuário não pode ser dado de forma forçada.
Os princípios da LGPD são fundamentais para a proteção de dados na era digital. Eles ajudam a garantir que os usuários tenham o direito de controlar seus dados e que os controladores de dados tratem os dados de forma adequada e transparente. Os controladores de dados devem observar esses princípios para cumprir as exigências da LGPD.
LGPD e a responsabilidade dos controladores de dados
A Lei Geral de Proteção de Dados (LGPD) impõe aos controladores de dados a responsabilidade de realizar o tratamento de dados de forma adequada e segura. O controlador de dados é aquela pessoa física ou jurídica responsável por definir o propósito e os meios de tratamento de dados, enquanto o operador é a pessoa ou empresa que executa o tratamento de dados em nome do controlador.
De acordo com a LGPD, os controladores de dados devem tomar medidas para garantir a segurança dos dados pessoais, adotando medidas técnicas e organizacionais para impedir o acesso não autorizado, a manipulação, a destruição ou a divulgação acidental ou ilícita dos dados.
Definir e designar um encarregado de proteção de dados é uma das principais responsabilidades do controlador de dados. O encarregado de proteção de dados é um funcionário designado para supervisionar as atividades de tratamento de dados e garantir o cumprimento das regras da LGPD. Além disso, o encarregado de proteção de dados é o principal responsável por fiscalizar a proteção de dados no âmbito do controlador.
Outra responsabilidade importante do controlador de dados é identificar os processos de dados, ou seja, compreender quais dados são coletados, como são usados, com quem são compartilhados e por quanto tempo são armazenados. Também é essencial para o controlador de dados assegurar que as medidas técnicas e organizacionais estabelecidas, de acordo com a LGPD, estejam sendo cumpridas.
Além disso, os controladores de dados também são responsáveis por manter a transparência na coleta de dados. Isso significa que os usuários devem ser informados sobre qualquer tipo de tratamento de dados que será realizado, como eles serão usados, quem terá acesso aos dados e por quanto tempo eles serão armazenados.
A LGPD também exige que os controladores de dados informem qualquer violação de dados ao órgão regulador em até 72 horas e notifiquem os titulares de dados quando for razoavelmente necessário. Isso significa que os controladores de dados devem ser capazes de detectar, investigar e, se necessário, notificar qualquer violação de dados.
Em resumo, a LGPD impõe aos controladores de dados a responsabilidade de tratar os dados pessoais de maneira adequada, com a proteção de dados sendo uma prioridade. Isso inclui definir e designar um encarregado de proteção de dados, identificar os processos de dados, assegurar as medidas técnicas e organizacionais e monitorar e notificar quaisquer violações de dados.
Dados pessoais cobertos pela LGPD
A Lei Geral de Proteção de Dados, mais conhecida como LGPD, abrange uma ampla gama de dados pessoais e informações sobre as pessoas. A LGPD define dados pessoais como ‘quaisquer informações referentes a uma pessoa natural identificada ou identificável’. De acordo com a LGPD, os tipos de dados pessoais cobertos incluem, mas não estão limitados a: identidade, características físicas, estado de saúde, localização, opinião, preferências e dados fundamentais.
A identidade de uma pessoa é definida como qualquer informação que possa ser usada para identificar ou diferenciar uma pessoa. Dados como nome, endereço, número de telefone e número de identificação fiscal são considerados dados de identidade.
Características físicas são qualquer informação sobre a aparência de uma pessoa, como cor de cabelo, altura, peso ou cor dos olhos. De acordo com a LGPD, esses dados também são considerados dados pessoais.
O estado de saúde de uma pessoa também é protegido pela LGPD. Esta informação inclui qualquer informação relacionada à saúde mental ou física de alguém. Esta informação pode incluir diagnósticos, resultados de exames, histórico médico, história de tratamentos ou quaisquer outras informações relacionadas à saúde.
Além disso, a LGPD também inclui dados relacionados à localização, como o endereço de um dispositivo móvel. Esta informação pode ser usada para rastrear ou localizar um dispositivo móvel de um usuário.
Opiniões, como avaliações, comentários ou outras declarações sobre um produto, serviço ou organização também estão abrangidas pela LGPD.
Preferências, como as preferências de consumo de uma pessoa, também estão protegidas pela LGPD. Esta informação pode incluir dados sobre compras, uso de serviços ou outras atividades relacionadas ao consumo.
Dados fundamentais são aqueles que são considerados essenciais para assegurar os direitos humanos e liberdades fundamentais. Estes dados incluem assuntos relacionados ao direito à vida, liberdade e segurança.
Como a LGPD abrange uma ampla gama de dados pessoais, os controladores de dados devem ter cuidado para assegurar que eles estejam em conformidade com a lei. Além disso, os controladores de dados devem ter cuidado ao lidar com dados sensíveis e garantir que eles protejam esses dados de forma adequada.
Consentimento
O consentimento do usuário é uma das principais premissas da Lei Geral de Proteção de Dados (LGPD) para a coleta e o uso de dados pessoais. O conceito de consentimento envolve a vontade livre e informada do usuário de fornecer dados pessoais, podendo ser revogado a qualquer momento.
O que é o consentimento? O consentimento é uma declaração positiva, livre e informada de um usuário para que o controlador de dados possa fazer uso de seus dados pessoais. É importante que o usuário saiba exatamente o que ele está autorizando e o que será feito com os seus dados.
Como obter o consentimento? É importante que o controlador de dados assegure que o usuário saiba exatamente o que ele está autorizando e o que será feito com os seus dados. Para assegurar que o usuário obtenha todas as informações necessárias e esteja ciente das consequências de dar o seu consentimento, as empresas devem oferecer ao usuário um formulário claro e legível com informações relevantes sobre o uso dos seus dados. Além disso, é importante que o controlador de dados saiba como o usuário deu seu consentimento, como se foi dado e quando o consentimento foi dado.
Quando é necessário um consentimento? O consentimento deve ser obtido antes que qualquer dado pessoal seja coletado ou usado para qualquer finalidade. A LGPD também exige que os usuários sejam devidamente informados sobre como os seus dados serão usados e para que finalidades.
Além disso, os controladores de dados devem assegurar que os usuários tenham a opção de revogar ou limitar o uso dos seus dados pessoais a qualquer momento. Os usuários também devem ser informados sobre seus direitos de acesso, correção, remoção e portabilidade de seus dados.
É importante destacar que as empresas devem assegurar que os usuários estejam devidamente cientes de que seu consentimento é voluntário. O usuário não deve ser pressionado ou obrigado a dar consentimento, e não deve ser condicionado o fornecimento de qualquer serviço ou produto à concessão de consentimento. Além disso, o usuário também não deve ser impedido de usar um serviço ou produto sem conceder o seu consentimento.
Medidas de segurança
No que diz respeito à proteção de dados, a Lei Geral de Proteção de Dados (LGPD) exige que os controladores de dados implementem medidas de segurança adequadas para garantir a segurança dos dados pessoais dos usuários. Essas medidas devem ser proporcionais à natureza, à extensão, ao contexto e aos propósitos das operações de tratamento de dados e às condições técnicas existentes.
Definição de medidas de segurança:
As medidas de segurança devem incluir, mas não se limitar a, ações organizativas, técnicas e de processos para garantir a segurança de tratamento de dados. Isso inclui ações para evitar e detectar o acesso não autorizado, a divulgação, a alteração ou a destruição não autorizada de dados.
Criptografia e anonimização:
Uma das principais medidas de segurança é a criptografia de dados e anonimização. A criptografia de dados, também conhecida como cifragem, é o processo de tornar os dados ilegíveis a todos, exceto aqueles que possuem as chaves de criptografia. Esta forma de segurança dos dados é útil para evitar acessos não autorizados e garantir a confidencialidade.
Além disso, a anonimização é outra medida de segurança que pode ser adotada. A anonimização é o processo de tornar os dados pessoais ilegíveis, de modo que eles não possam mais ser atribuídos a um indivíduo. Isso significa que os dados não são identificáveis nem úteis a qualquer pessoa, tornando-os inúteis para fins maliciosos.
Controle de acesso:
Outra medida de segurança recomendada é o controle de acesso. O controle de acesso é um processo para gerenciar e controlar o acesso a dados pessoais. Por exemplo, os controladores de dados podem definir quem tem acesso a dados pessoais, quais dados eles podem acessar e quais serviços podem ser acessados.
Esta medida de segurança também inclui o uso de senhas e outras formas de autenticação para controlar o acesso. Por exemplo, os controladores de dados podem usar lógicas de autenticação de dois fatores, como senhas e tokens de acesso, para aumentar a segurança.
Além disso, os controladores de dados também devem manter registros de quem acessa seus dados e em que momento isso aconteceu. Isso permite que eles gerenciem melhor o acesso aos dados e possam detectar e lidar com acessos não autorizados.
A implementação de medidas de segurança adequadas é fundamental para assegurar que os dados pessoais dos usuários sejam tratados adequadamente de acordo com a LGPD. Portanto, controladores de dados devem garantir que estas medidas sejam implementadas de forma adequada para manter o compliance com a LGPD.
Transferências internacionais de dados
A LGPD exige que as empresas sigam as mesmas diretrizes de proteção de dados quando se trata de transferir dados de um país a outro. Com cada país tendo suas próprias leis e normas de proteção de dados, é importante que as empresas compreendam como as transferências internacionais de dados devem ser feitas de forma segura e legalmente.
Quando é permitido uma transferência internacional? O Artigo 46 da LGPD estabelece que as transferências internacionais de dados só serão permitidas se o país de destino oferecer um nível adequado de proteção à privacidade. O Artigo 46 não define um nível específico de proteção, mas os países que não possuem lei de proteção de dados específica geralmente não atendem ao nível de proteção exigido pela LGPD.
O que é o Escudo de Privacidade?
O Escudo de Privacidade é um acordo entre a União Europeia (UE) e os Estados Unidos (EUA) que garante que os dados transferidos entre a UE e os EUA serão protegidos de acordo com os padrões de proteção de dados da UE. O acordo foi criado para garantir que os dados transferidos entre a UE e os EUA atendam aos padrões de segurança e privacidade exigidos pela LGPD.
Como assegurar Transferências Internacionais? O Artigo 49 da LGPD exige que os controladores de dados adotem medidas adicionais para assegurar que os dados transferidos para países estrangeiros sejam adequadamente protegidos, incluindo o uso de contratos. Os contratos devem especificar exatamente como os dados serão protegidos, incluindo o que pode ser feito com os dados e como eles devem ser armazenados.
Além disso, é importante que as empresas verifiquem se o país de destino possui leis adequadas para a proteção de dados antes de realizar a transferência. Se o país não oferecer um nível adequado de proteção de dados, o controlador de dados deve buscar outras alternativas para garantir a segurança e a proteção dos dados transferidos.
Por fim, para assegurar que as transferências internacionais de dados sejam feitas de forma segura e legalmente, é importante que as empresas verifiquem se o país de destino possui uma lei de proteção de dados específica, seja o Escudo de Privacidade ou outras medidas de segurança. Além disso, as empresas devem usar contratos para garantir que os dados transferidos sejam adequadamente protegidos.
Violação de dados
Uma violação de dados é um incidente que se refere à destruição, perda, alteração ou acesso não autorizado aos dados pessoais de um indivíduo. Os incidentes de violação de dados podem resultar em perdas financeiras significativas, danos à reputação e danos às pessoas afetadas.
A LGPD exige que os controladores de dados notifiquem a autoridade competente sobre qualquer incidente de violação de dados tão logo sejam conscientes deste incidente. O controlador de dados também deve notificar os titulares dos dados sobre o incidente de violação se houver um risco considerável de dano ou prejuízo às pessoas afetadas.
O controlador de dados é responsável por avaliar o incidente de violação de dados e determinar se há riscos consideráveis de danos ou prejuízos às pessoas afetadas. Se houver tal risco, o controlador de dados deve notificar imediatamente o titular do dado e a autoridade de proteção de dados.
Uma das principais obrigações dos controladores de dados sob a LGPD é realizar auditorias contínuas para monitorar os incidentes de violação de dados e fazer as alterações necessárias para garantir a conformidade. As auditorias contínuas também ajudam os controladores de dados a identificar possíveis violações de dados no futuro e ainda assim tomar medidas para mitigar ou evitar as consequências.
Além disso, o controlador de dados deve fornecer informações sobre como as violações de dados foram tratadas e quais medidas foram tomadas para prevenir futuras violações. Esta informação deve incluir uma descrição detalhada de qualquer medida de segurança tomada para mitigar ou evitar as consequências de uma violação de dados.
Por fim, os controladores de dados devem assegurar que os registros de violação de dados sejam mantidos por um período mínimo de cinco anos. Estes registros devem conter todos os detalhes relacionados a uma violação de dados, incluindo informações sobre como foi tratada e quais medidas foram tomadas para prevenir futuras violações.
Penalidades
A Lei Geral de Proteção de Dados (LGPD) prevê penalidades para controladores de dados que não cumprem as normas estabelecidas para a proteção de dados. Na maioria dos casos, a Autoridade Nacional de Proteção de Dados (ANPD) será a entidade encarregada de fiscalizar e aplicar as sanções previstas na lei.
As principais penalidades previstas na LGPD são:
- Advertência: A advertência é a penalidade mais leve prevista na lei, sendo aplicada quando o controlador de dados descumpre uma regra, mas de forma não muito grave.
- Multa: A multa pode ser aplicada caso o controlador de dados não cumpra as obrigações previstas na lei ou se não conseguir comprovar o cumprimento dessas obrigações. Ela é calculada com base na gravidade da infração e na capacidade financeira do controlador de dados.
- Suspensão do direito de uso de dados: Esta penalidade é aplicada quando o controlador de dados descumpre suas obrigações de proteção de dados de forma grave. Neste caso, o controlador de dados será proibido de usar os dados dos titulares por um período de tempo definido pela ANPD.
- Suspensão da atividade: Esta é a penalidade mais grave prevista na lei. Ela é aplicada quando o controlador de dados descumpre as regras da LGPD de forma grave e persistente. Esta penalidade prevê a suspensão temporária de todas as atividades do controlador de dados relacionadas ao tratamento de dados.
As infrações previstas na LGPD são avaliadas de acordo com a gravidade do ato e a intenção do controlador de dados. Por isso, se o controlador de dados não conseguir comprovar que agiu de boa-fé e que não teve intenção de descumprir a lei, a penalidade aplicada será mais severa.
Se o controlador de dados for flagrado infringindo as regras da LGPD, ele terá o prazo de 30 dias para corrigir a infração. Se não conseguir cumprir essa obrigação, a ANPD pode impor uma multa, aplicar penalidades mais graves ou, até mesmo, propor ações judiciais.
As penalidades previstas na LGPD ajudam a garantir que os controladores de dados cumpram as regras de proteção de dados da lei e ajudam a garantir que os titulares dos dados possam ter maior confiança nas empresas que os tratam.
conclusão
A LGPD (Lei Geral de Proteção de Dados) foi criada para proteger os dados pessoais de cidadãos brasileiros em todas as suas formas, como dados de identidade, características físicas, saúde, localização, opinião, preferências e dados fundamentais. Com a implementação da LGPD, os controladores de dados e responsáveis pela proteção de dados têm a responsabilidade de garantir que os dados sejam coletados, tratados e armazenados de forma segura e adequada. Isso significa que eles devem definir e designar um encarregado de proteção de dados, identificar processos de dados, obter o consentimento dos usuários quando necessário e assegurar as medidas técnicas e organizacionais necessárias para a proteção dos dados pessoais.
Além disso, os controladores de dados têm a responsabilidade de assegurar que as transferências internacionais de dados sejam realizadas de acordo com as leis aplicáveis, como o Escudo de Privacidade. No caso de violação de dados, o controlador de dados está sujeito às penalidades previstas pela LGPD, que incluem multas e sanções por infrações.
A LGPD é, portanto, extremamente importante para a proteção de dados de cidadãos brasileiros. Com o cumprimento das regras da LGPD, os controladores de dados podem melhorar a privacidade e a segurança dos dados, evitar multas e sanções, e garantir que os dados pessoais sejam tratados de forma adequada e responsável. Portanto, este guia prático para a implementação da LGPD oferece tudo o que você precisa saber para cumprir as regras da LGPD e obter o máximo de segurança para os seus dados.