LGPD -Visão geral e fundamentos
Já parou para refletir quantos dados geramos diariamente? São redes sociais, aplicativos de mobilidade e tantos outros. De acordo com uma pesquisa realizada pela Reply, estima-se que em 2030 teremos em torno de 125 bilhões de dispositivos conectados, aproximadamente 15 dispositivos por pessoa, gerando mais dados diariamente.
E neste contexto, infelizmente estamos presenciando muitos incidentes de segurança que possuem as mais diversas causas como uma falha de controle de acesso, não utilização de medidas técnicas de segurança, falta de um programa de consciencialização e outros. Existe um site bem interessante, o information is beautiful, que deixo como referência para obter mais informações sobre os maiores vazamentos de dados que já ocorreram e tirar aprendizado.
E para estarmos preparados, criamos além deste artigo, o curso online LGPD — Visão geral e fundamentos para apoiar no conhecimento sobre a Lei Geral de Proteção de Dados.
Considerando a velocidade em que as tecnologias estão evoluindo e o surgimento constante de produtos e serviços inovadores, precisamos refletir sobre como manter essas atividades necessárias para a evolução da nossa atual sociedade da informação, garantindo a privacidade e proteção dos dados de todos nós, consumidores de produtos de software, titulares desses dados. E nesse cenário, no Brasil temos a Lei 13.709/2018 a nossa “Lei Geral de Proteção de Dados Pessoais” ou “LGPD”, que foi sancionada em agosto de 2018 e vigente (parte do seu texto) a partir de setembro de 2020.
Esta lei traz regras claras e obrigações sobre privacidade e proteção de dados pessoais além de princípios, bases legais e direitos dos titulares dos dados. E neste contexto, quais são as vantagens de termos uma lei geral de proteção de dados pessoais? Ter a LGPD será importante tanto para as empresas quanto para os titulares dos dados, pois unificou regras, e trouxe as diretrizes de forma clara e objetiva facilitando a compreensão e portanto a execução das adequações necessárias.
Além disso, o que pra mim faz toda a diferença é o incentivo às discussões sobre soluções, adequações, privacidade e proteção de dados. Ou seja, estamos trabalhando na mudança de cultura tanto dentro das empresas no desenvolvimento dos projetos quanto na visão do titular dos dados que deverá ter todas as ferramentas para exercer o seu direito de decidir se está de acordo conscientemente em compartilhar os seus dados pessoais.
A LGPD como mencionado anteriormente, define dez princípios:
Finalidade: o tratamento de ser realizado para propósitos legítimos, ou seja, não podemos realizar um tratamento de dados pessoais sem que exista um objetivo claro e bem definido. O principal questionamento que devemos fazer para entender se estamos atendendo este princípio é:
Por qual motivo é necessário o tratamento aplicado ao dado pessoal?
Adequação: o tratamento aplicado aos dados pessoais deve ser compatível com as finalidades definidas e informadas ao titular.
Livre acesso: precisamos nos atentar se ao realizar um tratamento de dados, se está sendo assegurado acesso aos titulares à todos os seus dados pessoais. É importante destacar que este acesso deverá ser garantido de forma clara e simples.
Necessidade: devemos sempre priorizar o princípio da minimização de dados, ou seja, limitar ao mínimo necessário para a realização das finalidades.
Qualidade dos dados: é necessário garantir a exatidão, clareza, relevância e atualização dos dados. Este princípio visa tanto adquirir a maior eficiência ao trabalhar com dados corretos, quanto evitar que incidentes ocorram por conta de erros vinculados a dados desatualizados ou incorretos.
Segurança: será necessária a adoção de medidas técnicas e administrativas que estejam aptas a proteger os dados. Alguns exemplos de medidas técnicas e administrativas podem ser, considerando todo o cenário de tratamento de dados pessoais, os controles, os processos, procedimentos, políticas e ferramentas utilizadas para garantir a segurança da informação. Neste contexto, o que devemos sempre avaliar é:
Estas ações estão de acordo como necessário para evitar um incidente relacionado a dados pessoais?
Prevenção: O princípio de prevenção está muito relacionado ao princípio anterior de segurança. A ideia é que possamos atuar de forma proativa e conseguir realizar tudo que estiver ao nosso alcance para prevenir a ocorrência de um incidente relacionado a dados pessoais. Alguns pontos que poderão apoiar muitos para garantir este princípio são ações como conscientização, análise de contrato, análise de fornecedores e boas práticas de segurança da informação.
Transparência: visa garantir a prestação de informações claras e facilmente acessíveis, ou seja:
Com base no que eu informo hoje para os meus titulares dos dados, consigo garantir que eles estão compreendendo as informações sobre o tratamentos dos seus dados pessoais?
Não discriminação: proíbe o tratamento de dados que tenham fins discriminatórios.
Prestação de contas ou responsabilização: será necessário evidenciar e ter formas de comprovar a conformidade com a LGPD, ou seja ter relatórios, registros de auditorias e diversas outras medidas que demonstrem o cumprimento das normas de proteção de dados pessoais.
Bom, como podemos perceber são muitas questões a serem avaliadas com base em cada um dos princípios que foi discutido. Além destes principios, a LGPD também traz as base legais que são hipóteses que justificam o tratamento de dados pessoais. Ao todo temos 10 bases legais:
Consentimento: é a primeira base legal indicada na LGPD. Para utilizarmos o consentimento como base legal, precisamos garantir que representará uma manifestação livre, informada e inequívoca pela qual o titular poderá concordar com o tratamento de seus dados pessoais para uma finalidade determinada, conforme já discutimos no tópico anterior sobre o princípio da finalidade.
Neste ponto começamos a refletir sobre a evolução dos contratos, em que deveremos usar a criatividade, para explicar da melhor forma para os titulares dos dados sobre o tratamento de dados que será realizado com os seus dados pessoais e principalmente, prezando pela transparência com foco no público alvo do seu produto ou serviço. E nesse contexto, times multidisciplinares poderão ser formados para trabalharem nestas soluções, uma vez que a LGPD não é uma questão somente de uma área específica e sim uma responsabilidade de todos os envolvidos no projeto.
Legítimo interesse: a ideia principal para avaliar se esta base legal pode ser atribuída ao tratamento de dados pretendido é equilibrar o legítimo interesse da organização e a legítima expectativa do usuário. Isso quer dizer que, quando a empresa define que a base legal será o legítimo interesse, será necessário identificar o objetivo daquele tratamento e analisar a necessidade com base nos dados que estarão envolvidos neste propósito, a forma de tratamento e principalmente se o titular dos dados esperaria que este tratamento de dados pudesse ser realizado, levando em consideração a análise dos direitos, liberdades ou interesses fundamentais do titular dos dados.
Tutela da saúde: base legal definida para tratamento de dados voltada para a área da saúde. É importante destacar que esta base legal é aplicável exclusivamente em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.
Proteção à vida: se refere ao tratamento de dados pessoais com o intuito referente aos interesses essenciais para a vida de uma pessoa.
Proteção do crédito: poderá ser utilizada como hipótese para o tratamento quando a finalidade envolve apenas o escopo de dados de adimplência e inadimplência, para avaliação de risco de crédito.
É importante ressaltar que ainda existem algumas dúvidas sobre a interpretação da utilização desta base legal, que poderá ser esclarecida pela ANPD futuramente, pois existem alguns cenários que estão fora do contexto do escopo de dados de adimplência e inadimplência mas que também poderia ser encaixados nesta base legal além da convivência com as demais normas consumeristas.
Execução de contratos: s é utilizada quando os dados pessoais em questão forem necessários para execução de um contrato ou para a realização de procedimentos preliminares relacionados ao contrato do qual o titular dos dados seja parte ou a pedido deste.
Política Pública: sempre ocorrer o tratamento de dados pessoais, também será exigido do Estado que estes sejam justificados, observando os princípios e definindo a base legal adequada tendo em vista a finalidade definida. Mas é importante ressaltar que para utilizar a base legal de políticas públicas, é necessário que a política pública esteja prevista em lei, regulamento, contrato, convênio ou instrumento congênere, destacando que para alguns tipos de documentos deverá existir a comunicação à ANPD.
Processo judicial: pode ser utilizado como hipótese de tratamento de dados pessoais para o exercício regular de direitos, ou seja, é permitido que o controlador utilize os dados pessoais do titular quando for necessário para o exercício regular de direitos em processo judicial, administrativo ou arbitral, seja atual ou a ser movido no futuro, sendo que os direitos podem ser tanto do controlador quanto de terceiros ou do próprio titular.
Obrigação legal: Considerando que existem diversas outras leis e regulamentos existentes para diversos setores como o financeira, o da saúde e outros, é permitido ao controlador realizar o tratamento dos dados pessoais para cumprí-los, claro… observando os princípios da LGPD. Então essa base legal é a hipótese que autoriza o tratamento dos dados pessoais nos casos em que seja necessário para cumprimento de obrigações legais ou regulatórias.
Pesquisa por órgão: permite o tratamento de dados pessoais e dados pessoais sensíveis para a realização de estudos por órgão de pesquisa. Mas é importante ressaltar que esta hipótese pode ser utilizada somente por alguns órgãos ou entidades que se enquadrem na seguinte delimitação:
“órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico”
A LGPD ainda prevê direitos dos titulares dos dados:
Confirmação da existência de tratamento: No texto da lei, este direito se refere a:
I — confirmação da existência de tratamento;
Através desse direito o titular dos dados poderá solicitar ao controlador que confirme se os dados pessoais dele estão sendo tratados de alguma forma.
Acesso: O direito ao acesso, que no texto da lei vem como direito ao
II — acesso aos dados; está relacionado ao direito anterior, em que deverá ser garantido o acesso aos dados pessoais do titular.
Neste caso deverá ser compreendido e possuir uma rastreabilidade sobre quais são os dados pessoais que a empresa possui, bem como onde estes dados estão localizados como por exemplo: na lista de mailing do time de marketing, e armazenado em banco de dados pelo cadastro realizado para utilização do produto da empresa.
Retificação: no texto da lei se encontra como
III — correção de dados incompletos, inexatos ou desatualizados:
Com base nesse direito, as empresas que realizarem o tratamento de dados pessoais deverão permitir que os titulares dos dados possam corrigir ou atualizar os seus dados.
Anonimização, bloqueio ou eliminação de dados desnecessários: no texto da lei se encontra como:
IV — anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
VI — eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
Ou seja, o titular dos dados tem o direito de solicitar a anonimização, bloqueio ou eliminação dos dados, entretanto a empresa tem, a partir do inventário de dados por exemplo, identificar quais dados poderão ser eliminados e quais não poderão ser por conta de outras legislações aplicáveis, e que portanto deverão ser mantidos.
Portabilidade: no texto da lei aparece como:
V — portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
Com base nesse direito o titular dos dados poderá solicitar que seus dados sejam passados para outra empresa. Ainda vamos precisar aguardar orientação da ANPD para mais informações de como acontecerá esta ação referente a portabilidade dos dados com o objetivo de padronizar e também proteger o segredo de negócio das empresas.
Explicação: O próximo direito que discutiremos é o da explicação, em que o titular podem a qualquer momento solicitar explicação a respeito do tratamento de dados pessoais no contexto da finalidade definida. No texto da lei este direito aparece como:
VII — informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
VIII — informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
No contexto deste direito, podemos perceber um outro ponto em que a transparência será levada em consideração. Ter uma política de privacidade de dados clara e objetiva poderá ajudar muito com este direito. E adicionalmente, é necessário disponibilizar um canal de comunicação para os titulares dos dados possam solicitar explicação sobre o tratamento de dados caso tenha restado alguma dúvida
Revogação de consentimento: E este direito aparece na lei como:
IX — revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.
Com base nesse direito, os titulares dos dados poderão revogar, ou seja retirar o consentimento que tenha sido concedido para o tratamento de dados pessoais.
Oposição: Sobre o direito à oposição, o titular de dados poderá se opor ao tratamento de dados sempre que identificar que está desproporcional considerando a finalidade definida para tal. E no texto da lei, este direito aparece como:
§ 2º O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei.
E o ponto principal é como garantir este direito, e acredito que podemos começar pela transparência, deixando muito claro o motivo pelos quais os dados são necessários para o tratamento, observando claro a minimização dos dados. Em segundo lugar, temos que demonstrar os impactos para o titular dos dados caso este se recuse a compartilhar estes dados, por exemplo, algumas das funcionalidades não poderão ser disponibilizadas se o cenário foi de uma plataforma.
Revisão de decisões automatizadas: o titular dos dados poderá solicitar uma revisão humana desta decisão. No texto da lei aparece como:
Art. 20. O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.
Existem ainda as sanções administrativas e responsabilidades previstas na Lei geral de proteção de dados. A primeira questão que iremos discutir será sobre a advertência, em que o controlador dos dados poderá receber esta notificação para correção de algum ponto de não conformidade identificado. Importante destacar que essa advertência vira com prazo para adoção de medidas corretivas.
Teremos tambem a possibilidade de aplicação de multas que podem ser simples, com o máximo de 2% do faturamento a 50 milhões de reais, e um detalhe importante, esta multa será aplicada por infração, ou seja, cada incidente será avaliado e se for demonstrado que a LGPD foi infrigida em mais de um ponto, a multa total poderá ser bem maior que 2% ou 50 milhões de reais.
Alem da multa simples, poderá ser aplicada a multa diária, que tem como limite a multa simples, em que a multa determinada, após uma análise do incidente, poderá ser replicada por dia durante todo o prazo em que se manteve com impacto aos usuários.
Outra sanção é a publicização, que tem o caráter tanto punitivo quando preventivo, ou seja, caso a empresa descubra que ocorreu um incidente, é importante informar os titulares dos dados, para que possam realizar algum tipo de ação necessária para que os impactos sejam minimizados. Alem deste aspecto informativo como prevenção, tem-se também o caráter punitivo para que o incidente venha a público, o que neste caso poderá prejudicar muito a imagem da empresa, e a repercussão será muito pior se ficar evidenciado que a organização não tomou as devidas providências para diminuir os impactos negativos do incidente pensando em seus titulares dos dados.
As próximas sanções são as que em minha opinião poderão prejudicar muito uma empresa, mais do que a multa em alguns casos. O primeiro é referente ao bloqueio de dados pessoais a que se refere a infração, que poderá ser determinado até a sua regularização, em segundo a exclusão de dados pessoais a que se refere a infração, em terceiro a suspensão parcial do funcionamento do banco de dados a que se refere a infração que poderá ser aplicado pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador. Na sequência temos também com a aplicação pelo período máximo de 6 (seis) meses, prorrogável por igual período a suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração. E por último a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados que de fato.
Todas estas sanções impactam de alguma forma a organização, mas em minha opinião estas ultimas, podem interromper parcial ou totalmente a operação de uma empresa.
No contexto da LGPD é importante também compreendermos sobre os papeis envolvidos.
O primeiro é o titular dos dados, que em resumo somos todos nós consumidores de algum produto de software ou serviço que de alguma forma possa tratar nossos dados pessoais, ou seja, o titular dos dados é aquele que compartilha os seus dados pessoais com uma empresa.
O segundo papel é o encarregado de dados. Em alguns momentos você pode ouvir este papel sendo chamado de DPO (Data Protection Officer) que vem da GDPR, a regulamentação sobre tratamento de dados da União europeia. Este papel será responsável por ser a ponte de comunicação entre os titulares dos dados e a empresa, bem como entre a ANPD e a empresa. Além disso, o encarregado também tem o papel de apoiar a empresa e os colaboradores com relação às boas práticas no tratamento de dados pessoais, garantindo então que todos estejam cientes de que a responsabilidade em relação ao tratamento adequado dos dados pessoais é responsabilidade de todos.
A organização que coleta e trata inicialmente os dados dos titulares tem o papel de Controlador dos Dados e caso esta empresa compartilhe dados com uma terceira em algum cenário do tratamento, esta tem o papel chamado de Operador dos dados. O operador dos dados, vai realizar o tratamento dos dados pessoais em nome do controlador, portanto o controlador dos dados é responsável por definir qual a forma que estes dados deverão ser tratados. Além disso, caso este operador dos dados compartilhe novamente estes dados, temos ainda o papel de sub-operador dos dados.
Como podemos perceber, o nosso cenário atual é de constante e rápida evolução, inovação e infelizmente muitos incidentes de segurança, portanto precisamos estar atentos a como nos preparamos melhor para lidar com dados pessoais garantindo a privacidade e a proteção dos dados dos titulares.
E por que é importante se preocupar com adequação com a LGPD? Em minha interpretação e visão, considerando importância da lei para o cenário que vivemos em nossa atual sociedade da informação, o primeiro ponto a ser destacado é a reputação da empresa que poderá ser impactada diante da sua atuação frente a um incidente de segurança, ou seja, ao ocorrer um incidente, a empresa estava preparada para ter uma resposta ágil e diminuir impactos? Em segundo a sanções, que podem até mesmo em alguns casos, parar a operação de uma organização. Em terceiro, o fato de utilizarmos a transparência como um pilar, fará com que os titulares dos dados percebam que podem confiar nesta empresa pois de fato esta desenvolvendo produtos que utilizam os dados estritamente necessários para a entrega do valor proposto. E por ultimo, o fato de não estar em conformidade poderá barrar a empresa de atuar em alguns mercados e ate de fechar contratos aqui no Brasil mesmo, pois considerando um empresa que já esteja em conformidade com a LGPD, esta fará uma avaliação de fornecedores e parceiros, e se for identificado que sua empresa representa uma alto risco, poderá ter dificuldades para fechar este contrato até que as ações corretivas sejam implementadas.
Espero que tenha gostado do conteúdo deste artigo. Em breve vamos compartilhar novos temas!
Um abraço!
