A Lei Geral de Proteção de Dados (LGPD) foi criada para oferecer maior segurança e confidencialidade às informações pessoais dos usuários e estabelecer direitos para os titulares de dados na Internet. A LGPD veio para assegurar que as informações pessoais dos usuários não sejam utilizadas de forma indevida.
A LGPD foi instituída no Brasil em agosto de 2020, com a intenção de regulamentar a forma como as empresas tratam os dados dos usuários e estabelecer direitos para os titulares de dados. O objetivo deste artigo é analisar os direitos dos usuários na Lei Geral de Proteção de Dados (LGPD).
Antes de entendermos quais são os direitos dos usuários na LGPD, é importante entender o que é esta lei e quais são as principais obrigações das empresas com relação ao tratamento dos dados. A LGPD é regulamentada pelo Controlador de Dados (CD) e o objetivo é oferecer maior segurança e confidencialidade às informações pessoais dos usuários.
De acordo com a lei, o titular de dados é aquela pessoa física cujos dados estão sendo tratados. Dentro da LGPD, o titular dos dados possui direitos que devem ser respeitados. Estes direitos são os direitos de acesso, correção, esquecimento, portabilidade e limitação do processamento. Além disso, a lei também estabelece as regras para a transferência internacional de dados, as medidas de segurança a serem tomadas para prevenir violações e as responsabilidades que cabem ao controlador e ao processador de dados.
Este artigo também discutirá o que é o compliance com a LGPD e quais são as principais etapas do Programa de Compliance. Ao final deste artigo, faremos um resumo dos principais pontos discutidos aqui e destacaremos a importância da LGPD e do cumprimento de seus termos.
O que é a LGPD
A Lei Geral de Proteção de Dados Pessoais (LGPD) é uma lei brasileira que visa regular o tratamento de dados pessoais, oferecendo mecanismos de proteção dos direitos fundamentais das pessoas.
Esta lei abrange todos os tratamentos de dados realizados no Brasil, desde empresas, órgãos públicos e organizações privadas, garantindo proteção e segurança aos usuários.
A LGPD foi criada para permitir que as organizações tratem e coletem dados pessoais de forma transparente, oferecendo aos titulares de dados o direito de tomar decisões informadas sobre quando, como e por que seus dados são usados.
De acordo com a Lei, as organizações devem seguir princípios orientadores tais como transparência, legitimidade, finalidade, minimização, qualidade, precisão, limite de tempo e segurança. Além disso, as organizações devem cumprir certas obrigações, como a obrigação de informar ao titular, nomeadamente sobre a finalidade, o tratamento, o compartilhamento e armazenamento dos dados.
O objetivo da LGPD é assegurar ao titular dos dados o direito de controlar e reivindicar seus dados pessoais, bem como assegurar que as organizações e empresas que tratam estes dados cumpram os princípios legais e regulamentares previstos na lei.
A LGPD também estabelece a necessidade de instituir mecanismos de proteção de dados, tais como a criação de um Encarregado de Proteção de Dados (DPO) e a instituição de um Programa de Compliance. O objetivo destes mecanismos é assegurar que as organizações tratam dados de forma ética, com responsabilidade, transparência e segurança.
Os Direitos dos Usuários
Com a LGPD, os titulares têm direitos adicionais para garantir que seu direito à privacidade seja respeitado. Entre esses direitos, temos o de acesso e correção, o de esquecimento, o de portabilidade, o de limitação do processamento e o de informação.
O direito de acesso e correção diz respeito à possibilidade de os titulares solicitarem ao controlador informações sobre os dados que lhe dizem respeito e a qualquer momento solicitar a sua correção. Além disso, o controlador deve fornecer ao titular as informações sobre o tratamento de seus dados pessoais.
O direito ao esquecimento, também conhecido como direito à apagamento, permite aos titulares solicitar ao controlador que os dados pessoais sejam apagados quando deixarem de ser necessários para o tratamento ou quando o titular retirar o seu consentimento.
O direito à portabilidade dos dados confere ao titular o direito de solicitar ao controlador que informações pessoais fornecidas sejam transferidas para outro controlador.
O direito à limitação do processamento permite aos titulares solicitar ao controlador que a utilização de seus dados seja limitada ao que for necessário para o tratamento.
O direito à informação permite que o titular solicita ao controlador informações sobre os seus direitos e os responsáveis pelo tratamento dos dados. Além disso, o controlador deve fornecer ao titular as informações sobre o tratamento de seus dados pessoais.
Assim, a LGPD estabelece que os usuários têm direito à informação, acesso, esquecimento, portabilidade, limitação do processamento e a outros direitos relacionados com a proteção de seus dados pessoais. Estes direitos são fundamentais para que os titulares sejam respeitados e tenham acesso a informações sobre como seus dados pessoais estão sendo tratados.
Transferências de dados internacionais
A Lei Geral de Proteção de Dados (LGPD) proíbe a transferência de dados pessoais para países que não atendam determinados requisitos de proteção, ou seja, países que não possuam um nível de proteção adequado. Para a realização de transferências internacionais, os controladores de dados devem, portanto, seguir algumas regras estabelecidas pela LGPD.
Para garantir a proteção de dados, a lei prevê que as transferências internacionais só podem ser realizadas se o país destinatário oferecer um nível de proteção adequado de acordo com os parâmetros de segurança e confiabilidade estabelecidos pela LGPD.
Uma das principais regras para transferências internacionais é a Decisão de Adequação. Trata-se de um processo no qual o Conselho Nacional de Proteção de Dados (CNPD) avalia um país estrangeiro para verificar se este oferece um nível de proteção adequado. Caso o país seja considerado adequado, o CNPD emite uma decisão oficial declarando que o país possui um nível de proteção suficiente para a transferência de dados.
Além disso, outros mecanismos de proteção também podem ser implementados para garantir a segurança dos dados durante as transferências internacionais. Por exemplo, o controlador de dados pode estabelecer acordos entre as partes envolvidas, especificando as obrigações de cada uma e estabelecendo a responsabilidade das partes em caso de violação de dados.
Outro mecanismo de proteção previsto pela lei é a Certificação. Este mecanismo é destinado a empresas que desejam realizar transferências internacionais de dados. A Certificação é emitida após a realização de um exame detalhado pela Autoridade Nacional de Proteção de Dados (ANPD). Se o processo for aprovado, a empresa receberá a Certificação de Transferência Internacional de Dados, que funciona como um “selo” de qualidade.
Por último, a LGPD também prevê a possibilidade de realizar transferências de dados internacionais mediante a adoção de outras medidas de segurança adequadas, dependendo do caso. Estas medidas podem incluir a utilização de criptografia ou a adoção de acordos de privacidade entre as partes envolvidas.
Transferências de dados internacionais devem ser realizadas de acordo com as regras previstas na LGPD. Para isso, é importante que os controladores de dados compreendam quais são as responsabilidades envolvidas e as obrigações para garantir a proteção dos dados transferidos.
Medidas de segurança
A Lei Geral de Proteção de Dados (LGPD) exige que os controladores de dados adotem medidas de segurança para proteger os dados pessoais dos titulares dos dados. A segurança dos dados é uma área dinâmica, pois novas ameaças e soluções surgem a cada dia, exigindo dos controladores um esforço contínuo para proteger adequadamente os dados pessoais.
O dever de segurança se refere à obrigação do controlador de dados de adotar medidas técnicas e organizacionais que garantam um nível de segurança adequado aos dados pessoais. Essas medidas devem ser adequadas à natureza, ao escopo, ao contexto e aos fins específicos do tratamento de dados da empresa, bem como à probabilidade de risco associado ao processamento.
As principais medidas de segurança que os controladores de dados devem adotar para cumprir os requisitos da LGPD incluem:
1) Criptografia: A criptografia é uma ótima ferramenta para manter os dados pessoais seguros. Usando a criptografia, os dados são transformados em um código escuro que só pode ser decifrado com uma chave específica. Isso torna os dados inacessíveis a terceiros não autorizados e impede que eles sejam interceptados ou acessados por forças mal intencionadas.
2) Autenticação de dois fatores: A autenticação de dois fatores é usada para garantir que somente usuários autorizados acessem determinadas informações. Esta medida de segurança exige que o usuário forneça duas formas de identificação: algo que o usuário sabe (senha ou PIN) e algo que o usuário tem (cartão de acesso ou token).
3) Controles de acesso: Os controles de acesso são importantes para limitar o acesso às informações confidenciais. Os controles de acesso incluem definir e limitar o acesso aos usuários autorizados e gerenciar as permissões de acesso.
4) Controles de uso: Os controles de uso são usados para monitorar e auditar as atividades dos usuários. Eles garantem que os usuários não façam uso não autorizado das informações confidenciais.
5) Backups regulares: Os backups regulares são importantes para assegurar que os dados pessoais sejam recuperados em caso de perda ou dano. Os backups também ajudam a garantir que as alterações não autorizadas de dados sejam detectadas e revertidas.
6) Análise de segurança: O objetivo da análise de segurança é identificar e gerenciar os riscos de segurança antes que eles aconteçam. Para que isso seja possível, os controladores de dados devem monitorar constantemente o ambiente de segurança e realizar análises de segurança regulares para detectar vulnerabilidades.
7) Treinamento de segurança: O treinamento de segurança é importante para garantir que os funcionários compreendam as medidas de segurança e saibam como tratar os dados pessoais de forma responsável. O treinamento de seg.
Violação de dados
Em qualquer processo de armazenamento e tratamento de dados, existe o risco de que esses dados possam ser acessados, modificados ou divulgados de forma não autorizada. A Lei Geral de Proteção de Dados (LGPD) estabeleceu certas normas para que os titulares de dados possam identificar e lidar com essa violação.
Uma violação de dados acontece quando os dados pessoais dos titulares de dados são acessados, modificados, divulgados e/ou destruídos de forma não autorizada. Essa violação pode se manifestar de diferentes maneiras, como roubo de dispositivos de armazenamento, cibe ataques, vazamento de informações, acesso não autorizado ou uso indevido de dados. Qualquer que seja o motivo, a violação de dados deve ser tratada de acordo com a LGPD.
Como identificar uma violação de dados:
A LGPD exige que os controladores de dados adotem medidas para monitorar seus sistemas de armazenamento e tratamento de dados. A LGPD determina que, em caso de suspeita de violação de dados, o controlador de dados deve realizar uma análise para determinar se existe ou não uma violação.
Os procedimentos de notificação:
A LGPD exige que as empresas notifiquem imediatamente a autoridade reguladora, a Agência Nacional de Proteção de Dados (ANPD), em caso de suspeita ou confirmação de violação de dados. A notificação deve conter informações detalhadas sobre o incidente, incluindo seu tipo, extensão e consequências.
As principais sanções:
A LGPD prevê uma ampla gama de sanções a serem aplicadas aos controladores de dados que não cumprirem as suas obrigações. Essas sanções incluem multas em dinheiro, o bloqueio ou limpeza dos dados, a suspensão temporária ou permanente do processamento dos dados, a proibição de uso de determinados serviços ou aplicativos, entre outras.
Além das sanções previstas na LGPD, os controladores de dados também podem ser responsabilizados pelos danos causados aos titulares de dados. Isso significa que os controladores de dados podem ser obrigados a indenizar os titulares de dados pelos danos financeiros, morais e materiais causados por uma violação de dados.
É importante que todas as empresas que tratam dados pessoais de titulares de dados entendam e cumpram as exigências da LGPD. Não aderir às regras previstas na lei pode resultar em sérias consequências para as empresas, como multas, responsabilidade por danos ou até mesmo a proibição de uso de serviços ou aplicativos.
Responsabilidades
A LGPD estabelece as responsabilidades de controladores e processadores de dados. O controlador é a pessoa física ou jurídica que decide como os dados serão processados, enquanto o processador é a pessoa física ou jurídica que processa os dados em nome do controlador. A lei especifica que o controlador deve estabelecer e manter os procedimentos necessários para garantir que o processamento de dados seja feito de acordo com as regras da LGPD.
As responsabilidades do controlador de dados incluem, mas não estão limitadas a:
• Garantir que os dados sejam tratados de forma lícita, leal e transparente;
• Manter registros de processamento de dados;
• Garantir o direito ao acesso e correção dos dados;
• Garantir a portabilidade dos dados;
• Garantir o direito do usuário à limitação do processamento;
• Garantir a segurança dos dados;
• Garantir que os dados sejam processados de acordo com as leis e regulamentos de proteção de dados;
• Manter os usuários informados sobre como eles podem exercer seus direitos;
• Fornecer informações sobre as transferências de dados internacionais;
• Manter um processo de notificação de violação de dados;
• Garantir o cumprimento da LGPD.
Os processadores de dados também possuem responsabilidades específicas definidas pela LGPD. Se o processador de dados for contratado para ajudar o controlador a cumprir as obrigações da LGPD, as responsabilidades incluem:
• Garantir que o processamento dos dados seja realizado de acordo com as instruções do controlador;
• Garantir que os dados sejam armazenados de forma segura;
• Garantir a confidencialidade dos dados;
• Notificar o controlador sobre quaisquer possíveis violações de dados;
• Manter registros de todos os processamentos de dados realizados para o controlador;
• Garantir que os dados sejam excluídos quando não mais necessários.
Além disso, os processadores de dados devem manter um contrato escrito com o controlador de dados, que estabelece as obrigações e responsabilidades de ambas as partes. O contrato deve incluir todas as informações necessárias para atender às exigências da LGPD.
Em suma, as responsabilidades dos controladores e processadores de dados são estabelecidas e detalhadas pela LGPD. É importante que ambos os lados cumpram suas obrigações para garantir a proteção adequada dos dados pessoais dos usuários.