O que é a lei geral de proteção de dados?
De compras on-line a redes sociais, de hospitais a bancos, de escolas a teatros, de hotéis a órgãos públicos, da publicidade à tecnologia: pode ter certeza, a Lei Geral de Proteção de Dados Pessoais (LGPD) afeta diferentes setores e serviços, e a todos nós brasileiras e brasileiros, seja no papel de indivíduo, empresa ou governo. Entenda os seus direitos como cidadão, ou suas obrigações, caso você seja responsável por bases de dados de pessoas.
A LGPD é a lei nº 13.709 , aprovada em agosto de 2018 e com vigência a partir de agosto de 2020. Para entender a importância do assunto, é necessário saber que a nova lei quer criar um cenário de segurança jurídica, com a padronização de normas e práticas, para promover a proteção, de forma igualitária e dentro do país e no mundo, aos dados pessoais de todo cidadão que esteja no Brasil. E, para que não haja confusão, a lei traz logo de cara o que são dados pessoais, define que há alguns desses dados sujeitos a cuidados ainda mais específicos, como os sensíveis e os sobre crianças e adolescentes, e que dados tratados tanto nos meios físicos como nos digitais estão sujeitos à regulação.
A LGPD estabelece ainda que não importa se a sede de uma organização ou o centro de dados dela estão localizados no Brasil ou no exterior: se há o processamento de conteúdo de pessoas, brasileiras ou não, que estão no território nacional, a LGPD deve ser cumprida. Determina também que é permitido compartilhar dados com organismos internacionais e com outros países, desde que isso ocorra a partir de protocolos seguros e/ou para cumprir exigências legais.
Consentimento
Outro elemento essencial da LGPD é o consentir. Ou seja, o consentimento do cidadão é a base para que
dados
pessoais possam ser tratados. Mas há algumas exceções a isso. É possível tratar dados sem consentimento
se isso
for indispensável para: cumprir uma obrigação legal; executar política pública prevista em lei; realizar
estudos
via órgão de pesquisa; executar contratos; defender direitos em processo; preservar a vida e a
integridade física
de uma pessoa; tutelar ações feitas por profissionais das áreas da saúde ou sanitária; prevenir fraudes
contra o
titular; proteger o crédito; ou atender a um interesse legítimo, que não fira direitos fundamentais do
cidadão.
Automatização com autorização
Por falar em direitos, é essencial saber que a lei traz várias garantias ao cidadão, que pode solicitar
que dados sejam deletados,
revogar um consentimento, transferir dados para outro fornecedor de serviços, entre outras ações. E o
tratamento dos dados deve
ser feito levando em conta alguns quesitos, como finalidade e necessidade, que devem ser previamente
acertados e informados ao
cidadão. Por exemplo, se a finalidade de um tratamento, feito exclusivamente de modo automatizado, for
construir um perfil (pessoal,
profissional, de consumo, de crédito), o indivíduo deve ser informado que pode intervir, pedindo revisão
desse procedimento
feito por máquinas.
ANPD e agentes de tratamento
E tem mais. Para a lei a "pegar", o país contará com a Autoridade Nacional de Proteção de Dados
Pessoais, a ANPD.
A instituição vai fiscalizar e, se a LGPD for descumprida, penalizar. Além disso, a ANPD terá, é claro,
as tarefas
de regular e de orientar, preventivamente, sobre como aplicar a lei. Cidadãos e organizações poderão
colaborar com a
autoridade.
Mas não basta a ANPD - que está em formação - e é por isso que a Lei Geral de Proteção de Dados Pessoais
também
estipula os agentes de tratamento de dados e suas funções, nas organizações: tem o controlador, que toma
as decisões s
obre o tratamento; o operador, que realiza o tratamento, em nome do controlador; e o encarregado, que
interage com
cidadãos e autoridade nacional (e poderá ou não ser exigido, a depender do tipo ou porte da organização
e do volume de
dados tratados).
Gestão em foco
Há um outro item que não poderia ficar de fora: a administração de riscos e falhas. Isso quer dizer que
quem gere base
de dados pessoais terá que redigir normas de governança; adotar medidas preventivas de segurança;
replicar boas práticas
e certificações existentes no mercado. Terá ainda que elaborar planos de contingência; fazer auditorias;
resolver
incidentes com agilidade. Se ocorrer, por exemplo, um vazamento de dados, a ANPD e os indivíduos
afetados devem ser
imediatamente avisados. Vale lembrar que todos os agentes de tratamento sujeitam-se à lei. Isso
significa que as
organizações e as subcontratadas para tratar dados respondem em conjunto pelos danos causados. E as
falhas de segurança
podem gerar multas de até 2% do faturamento anual da organização no Brasil – e no limite de R$ 50
milhões por
infração. A autoridade nacional fixará níveis de penalidade segundo a gravidade da falha. E enviará, é
claro, alertas
e orientações antes de aplicar sanções às organizações.