A década de 2000 foi marcada pela popularização da internet e, consequentemente, pelo aumento no volume de dados armazenados. Isso tornou necessária a criação de leis específicas para garantir a privacidade dessas informações.
Em 2016, a Regulamentação Geral de Proteção de Dados (GDPR) foi promulgada na Europa, incentivando outros países a implementarem regulamentações similares. Poucos anos depois, o Brasil instituiu a Lei Geral de Proteção de Dados (LGPD).
As empresas passaram a estudá-la, reconhecendo sua importância estratégica para a segurança da informação. A conformidade com a lei é essencial, porque as sanções previstas podem acarretar sérios problemas, como multas e penalizações graves.
Entender os artigos que compõem a lei pode ser desafiador, especialmente devido a termos jurídicos pouco familiares. Por isso, neste artigo, exploraremos como funciona a LGPD e comentaremos os 20 primeiros artigos. Confira!
O que é a LGPD e o que ela aborda
A Lei Geral de Proteção de Dados, aprovada em 2020, tem como objetivo regulamentar a forma de coletar e armazenar dados e informações nas organizações, a fim de assegurar transparência, consentimento dos titulares dos dados e a garantia dos direitos de privacidade.
Vale destacar que a Agência Nacional de Proteção de Dados (ANPD) é a entidade responsável por fiscalizar e garantir o cumprimento da lei.
É importante entender que o tratamento dos dados deve ser feito de maneira coordenada. Para isso, alguns conceitos devem estar claros, como a existência de diferentes tipos de dados, neste caso, dados pessoais e dados pessoais sensíveis. Vamos entender melhor:
Dados pessoais
São informações que permitem identificar uma pessoa, como nome, endereço, CPF, entre outros.
Dados pessoais sensíveis
São informações que revelam aspectos mais íntimos de uma pessoa, como origem racial, crenças religiosas ou filosóficas, orientação sexual, entre outros. Esses dados podem levar a discriminação, caso sejam mal utilizados.
Outro aspecto relevante é que a LGPD exige que o titular dos dados seja informado sobre como seus dados estão sendo utilizados e armazenados. Para gerenciar isso, é necessário definir papéis específicos, como o DPO (Data Protection Officer) ou encarregado, o controlador e os agentes de tratamento:
DPO
É o profissional que atua como ponto de contato com a ANPD e orienta o controlador e os agentes de tratamento sobre como proceder de acordo com a lei.
Controlador
É o responsável por tomar decisões sobre o tratamento de dados, definindo os procedimentos a serem seguidos pelos agentes de tratamento.
Agentes de tratamento
São aqueles que executam as instruções definidas pelo controlador.
Para facilitar a compreensão da lei, no próximo tópico, abordaremos de forma comentada os 20 primeiros artigos. Acompanhe!
O que dizem os artigos da LGPD?
Cada artigo da lei fornece orientações claras sobre como proceder no tratamento dos dados e garantir a privacidade deles. A leitura comentada desses artigos torna o entendimento mais acessível. Veja:
Artigo 1 – Introdução da LGPD
O primeiro artigo serve como uma introdução e nos dá uma breve explicação sobre o conteúdo dos artigos seguintes. Ele destaca que o foco principal da lei é o tratamento de dados, em diversos meios, por pessoas físicas ou jurídicas, com o objetivo de garantir os direitos de liberdade e privacidade.
Artigo 2 – Fundamentos importantes da LGPD
O segundo artigo explicita os fundamentos da lei, como o respeito à privacidade e a garantia de que o indivíduo saiba como seus dados estão sendo tratados.
Esse trecho da lei também aborda a liberdade de expressão, informação, comunicação e opinião, além de assegurar a inviolabilidade da imagem e da honra.
Aspectos relacionados à tecnologia, economia e inovação também estão inclusos neste trecho, enfatizando a importância de cumprir esses fundamentos enquanto se validam os direitos humanos e se preserva a dignidade.
Artigo 3 – Como operar o tratamento de dados
Este artigo aborda as operações de tratamento de dados, destacando que essas atividades devem ser realizadas em território nacional.
Um ponto que pode gerar dúvidas é a aplicação da LGPD para empresas estrangeiras que operam no Brasil. Contudo, mesmo que uma empresa esteja sediada em outro país, se ela coleta dados em território nacional, é necessário que siga os princípios estabelecidos. Este ponto também é mencionado em outros artigos.
Artigo 4 – Casos em que a LGPD não é aplicada
Aqui mostra as situações em que a lei não se aplica. Entre os casos estão:
Uso pessoal e não econômico
O tratamento de dados realizado por uma pessoa física para fins exclusivamente particulares, sem envolvimento em atividades econômicas, está isento da lei. Por exemplo, se alguém coleta dados para uso próprio, sem fins lucrativos.
Fins jornalísticos, artísticos ou acadêmicos
Quando os dados são tratados para fins jornalísticos, artísticos ou acadêmicos, a lei também não se aplica, garantindo seus fundamentos mencionados, a liberdade de expressão e criação.
Fins de segurança e defesa
A LGPD não é aplicada no que se refere ao tratamento de dados realizado em situações relacionadas à segurança pública, como investigações conduzidas pelo Estado ou em defesa nacional.
Dados de fora do Brasil
Dados coletados fora do território nacional também estão fora do escopo da LGPD. Nesse caso, a legislação ou regulamentação do país de origem dos dados deve ser seguida.
Artigo 5 – O que a LGPD abrange
Aqui entende-se melhor ao que se aplicará a LGPD.
O artigo destaca os conceitos dos tipos de dados, como já mencionamos. Incluindo também banco de dados, titulares, consentimento, DPO, controlador e os agentes de tratamento.
Há também a descrição de outros termos que estão atrelados, como o próprio tratamento em si, se referindo a atividades de coleta, classificação, utilização, transmissão, armazenamento, ou seja, todo o ciclo de vida daquela informação.
A anonimização também é um conceito explicado neste artigo, refere-se a utilização de diferentes técnicas de utilização de dados sem atrelar a uma pessoa em específico.
Outra questão importante mencionada é o Relatório de Proteção dos Dados (RPD), que é um documento elaborado pelo controlador contendo todas as informações referente aos processos do tratamento dos dados.
Artigo 6 – Princípios para o cumprimento da LGPD
Para que a lei se cumpra, alguns princípios merecem atenção. Tais como:
Finalidade
É preciso que o proprietário dos dados entenda para que suas informações estão sendo utilizadas, ou seja, o propósito do uso daquele dado.
Adequação
Com a finalidade clara para o titular da informação, deve-se assegurar o cumprimento das operações de tratamento envolvidas.
Necessidade
Os dados coletados são aqueles considerados indispensáveis, sem a necessidade de exceder a coleta com informações não relevantes.
Livre acesso
Os titulares podem a qualquer momento questionar a forma como seus dados estão sendo tratados de forma facilitada e gratuita.
Qualidade dos dados
É necessário garantir aos titulares a relevância dessas informações e atualizações, sempre ressaltando o compromisso com a finalidade.
Transparência
Como mencionamos, os titulares devem saber a forma como seus dados estão sendo tratados, e podem inclusive levantar questionamentos, por isso, é imprescindível assegurar de forma transparente cada etapa do tratamento.
Segurança
Este princípio menciona a necessidade de medidas técnicas e administrativas para garantir a segurança e integridade dos dados.
Prevenção
Seguindo o princípio da segurança, é importante que a adoção de medidas, sejam ações pontuais ou ferramentas que promovam a prevenção desses dados.
Não discriminação
É de extrema importância que os dados nunca sejam utilizados ou possuam finalidade de má fé, como discriminação.
Responsabilização e prestação de contas
Os agentes de tratamento, além de seguirem os princípios estabelecidos precisam mostrar como estão fazendo isso, seja por meio de relatórios ou medidas internas. Vale ressaltar que, em caso de vazamento, eles também serão responsabilizados.
Artigo 7 – O tratamento de dados
Neste tópico, fica mais evidente as situações onde o tratamento de dados é realizado, sendo:
-
com total consentimento do titular;
-
para o cumprimento de obrigações legais;
-
pesquisas e estudos por órgãos legais (mantendo a anonimização, na maioria dos casos);
-
para proteger a vida do titular;
-
para questões de saúde (sendo a coleta realizada somente por profissionais da saúde ou autoridades sanitárias).
Artigo 8 – O consentimento
Como já destacado, o consentimento é um dos princípios da LGPD.
Este artigo vai explicar os tipos de consentimento, que pode ser escrito ou por algum outro meio que garanta o aceite do titular. O controlador é o responsável por estabelecer todas as cláusulas para o titular.
Um ponto importante a mencionar é que esse consentimento pode ser revogado a qualquer momento.
Este trecho também reforça que a finalidade é crucial, se ela for genérica ou mal explicada, pode haver uma penalização.
Artigo 9 – A disponibilidade dos dados
No artigo 6, mencionamos o livre acesso às informações que cabe aos titulares.
O artigo 9 relata como essas informações devem ser disponibilizadas, sempre de forma clara e adequada. Para que isso aconteça, o titular pode solicitar:
-
a finalidade específica do tratamento, se houver mudanças de finalidade, o titular precisa ser informado, e ele(a) tem o direito de negar o uso de suas informações, caso haja discordância;
-
a duração do tratamento de suas informações;
-
a identificação do controlador ;
-
as informações de contato do controlador;
-
o conhecimento da responsabilidade dos agentes que farão o tratamento dos dados.
Artigo 10 – Interesses do controlador
Neste artigo, entende-se quais os interesses do controladores sob os dados, juridicamente, este conceito é chamado de “legítimo interesse”, ou seja, a finalidade da coleta e tratamento de dados deve ser legítima, transparente e direta.
Embora o consentimento do titular é um ponto crucial na LGPD, como destacamos em alguns artigos, há casos de exceções nas seguintes situações: proteção dos direitos e vida do titular e prestação de serviços que vão beneficiar o titular.
Artigo 11 – O tratamento de dados pessoais sensíveis
O tópico explica o tratamento de dados pessoais sensíveis. Nele, há dois pontos de destaque, sendo:
1. Com o total consentimento do titular
Para que o controlador possa tratar de dados sensíveis, é necessário que o titular forneça total consentimento, como vem sendo destacado nos artigos anteriores.
O controlador precisa especificar e destacar as finalidades do tratamento.
2. Exceções de consentimento
Há casos em que há exceções desse consentimento:
-
Cumprimento de uma ação legal;
-
Quando solicitado pela administração pública;
-
Para realização de pesquisas (se possível, fazê-las de forma anonimizada);
-
Proteção da vida do titular;
-
Tutela de saúde.
Ele também destaca possíveis punições, caso haja um compartilhamento desses dados entre os controladores em troca de interesses econômicos.
Artigos 12 e 13 – Dados anonimizados
Ambos artigos, abordam a anonimização dos dados.
Uma vez que usados como anonimizados, não irão se enquadrar na LGPD. Lembrando que é necessário desvincular de qualquer associação ao titular.
Para ilustrar, vamos considerar o que foi citado no artigo anterior: em casos de pesquisa.
É possível realizar uma pesquisa perguntando informações sobre perfis comportamentais, mas é necessário que isso não seja vinculado aos respondentes. Caso contrário, há possibilidade ocorrer uma punição grave.
A pseudoanimização também é válida, ou seja, quando há um mecanismo ou técnica de disfarce de uma identidade, não associando-a com alguém em específico.
O artigo 13 explica essa mesma questão, porém, voltado para área da saúde.
Artigo 14 – Tratamento dos dados de crianças e adolescentes
Aqui, veremos os pontos principais relacionados ao tratamento de dados voltados para menores de idade.
Neste caso, o consentimento deve ser dado pelos responsáveis legais da criança. Somente haverá exceção do consentimento em casos de proteção à vida do menor de idade.
E, claro, a coleta desses dados só pode ser feita se totalmente necessário e indispensável.
Outra curiosidade sobre este artigo é que ele explica que mesmo o titular sendo menor de idade, ele(a) deverá entender como seus dados estão sendo tratados.
Por se tratar de crianças e adolescentes, é preciso que o controlador adapte sua linguagem para que os responsáveis legais e o menos de idade entendam de maneira clara como o tratamento vai acontecer.
Artigo 15 – Quando se encerra o tratamento dos dados
Agora vamos entender o encerramento do ciclo do tratamento dos dados. E isso acontece quando:
-
a finalidade foi alcançada, então não há mais necessidade de seguir com o tratamento;
-
quando o titular exige o encerramento;
-
quando uma autoridade nacional exigir (em caso de violação da lei, por exemplo).
Artigo 16 – Eliminação dos dados pessoais
Este trecho vai mencionar os momentos em que os dados pessoais serão eliminados depois de seu tratamento.
Isso deve acontecer quando o controlador consegue cumprir sua finalidade e após transferência para algum terceiro (seguindo todos os princípios da lei).
Vale mencionar que se o controlador optar por anonimizar esses dados, eles não precisam ser eliminados, já que não estarão associados ao titular.
Artigo 17 – Direitos do indivíduo
Toda pessoa natural é a titular de seus dados e eles são intransferíveis.
O artigo 17 menciona os direitos fundamentais para todos os indivíduos que estão em território nacional: liberdade, intimidade e privacidade.
Artigo 18 – Reiterando os direitos do titular
Este tópico serve para reiterar todos os direitos que mencionamos em relação ao titular, como solicitação de como seus dados estão sendo tratados, acessos ao dados, a correção de alguma informação, solicitar anonimização, a transferência desses dados para outros prestadores de serviço e a solicitação do encerramento do tratamento.
Artigo 19 – Solicitação de relatório para o controlador
Já sabemos que o titular pode exigir um relatório ou declaração que mencione a forma como seus dados estão sendo tratados.
Então, o artigo 19 apresenta como o controlador pode fornecer isso.
Após a solicitação do titular, o controlador de 15 dias para atendê-la (podendo variar dependendo do tamanho e área de atuação da empresa, mas esse é o prazo padrão).
Este documento deve ser de fácil compreensão e será fornecido como o titular achar conveniente, seja por meio impresso ou por meio eletrônico, por exemplo.
Artigo 20 – Revisando tomadas de decisão
O titular pode a qualquer momento solicitar uma justificativa quando seus dados são usados para alguma tomada de decisão.
Sempre que solicitada, o controlador tem a obrigação de fornecer essa justificativa, detalhando os critérios escolhidos para tal tomada de decisão.
O que achou desta leitura comentada dos artigos? O objetivo foi trazer clareza em relação ao funcionamento da LGPD, uma vez que pode causar certo receio devido aos termos específicos usados na área jurídica.
Agora, no tópico a seguir, vamos nos aprofundar nas sanções caso não haja o cumprimento da Lei Geral de Proteção Dados.
O que não cumprimento da LGPD pode gerar?
A conformidade deve ser para as empresas um dos itens estratégicos, já que quando não efetiva, causa diversos tipos de problema para o negócio, até mesmo o encerramento das atividades, dependendo da situação.
Por isso, estar em conformidade com as leis é primordial para a continuidade dos negócios.
Logo, como toda lei determina sanções, se não cumpridas, com a LGPD não é diferente. Listamos aqui as sanções aplicadas:
Advertência
Uma advertência com indicação de prazo pode ser enviada para que medidas corretivas sejam tomadas o quanto antes.
Multas
Existem dois tipos de multa: a simples e a diária.
A simples corresponde a 2% do último faturamento da empresa, e se medidas não forem tomadas para mitigar o problema, uma multa diária também é aplicada.
É importante mencionar que há um limite de 50 milhões de reais por infração (que já está incluso na multa simples e diária).
Exposição
A empresa deve fazer um comunicado informando sobre o vazamento de dados, uma vez que foi realizada uma apuração do caso.
Essa exposição pode afetar a reputação da empresa, causando sérios prejuízos e danos de sua imagem.
Eliminação dos dados
Após a confirmação do vazamento, os dados pessoais coletados devem ser bloqueados até a regularização do infração, e em casos mais graves, esses dados devem ser eliminados.
Suspensão de atividades
Pode ocorrer uma suspensão parcial do funcionamento do banco de dados da empresa até um período de 6 meses, podendo ser prorrogado se não houver ações para corrigir e regularizar as atividades de tratamento de dados.
Em casos mais graves ou de não regularização, a empresa deve ser proibida de exercer suas atividades totalmente.
Como se adequar a LGPD?
Entender os artigos, termos e sanções relacionados a LGPD já é um grande passo para executar ações que ajudem no seu cumprimento. Ainda sim, para que seu negócio se adapte aos requisitos e princípios da lei, é preciso investir em soluções tecnológicas.
Depender somente do fator humano para garantir a proteção de dados, considerando o volume de dados que são coletados, se torna inviável. Mas a ManageEngine pode te ajudar!
Temos diversas soluções que contribuem para a gestão e segurança dos dados para empresas de diferentes áreas e tamanhos.
Quer saber como? Clique aqui para ser direcionado a uma página que detalha como e quais soluções vão ajudar sua empresa a se adequar a LGPD.
Confira também nosso site!