Lei Geral de Proteção de Dados — nova realidade para coleta e tratamento de dados
A Lei Geral de Proteção de Dados (Lei nº 13.709), popularmente chamada de LGPD, visa à proteção de dados pessoais e privacidade (online e off-line). Foi aprovada pelo Congresso Nacional e sancionada no dia 14/08/2018. Após a sanção, começou a contar o prazo de 18 meses para as empresas realizarem as adequações necessárias para atingir a conformidade.
A LGPD foi inspirada na lei europeia de privacidade e proteção de dados (GDPR) e aplica-se a qualquer pessoa, pública ou privada, conforme descrito no artigo 1º:
“Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.”
A partir de agora temos novas diretrizes para coleta e tratamento de dados estabelecidos pela nova lei.
As empresas, para coletar os dados, devem informar de maneira simples, clara e acessível aos clientes quais informações serão capturadas e para quais finalidades e duração do tratamento dos dados. Os clientes deverão consentir de forma específica e destacada a coleta e o tratamento dos dados para finalidades específicas.
Os clientes (proprietários dos dados) poderão, dentre outros direitos, revogar o consentimento, acessar seus dados, solicitar a sua correção, eliminação ou portabilidade para outra empresa.
A coleta e tratamento de dados pessoais de crianças e adolescentes deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal. Este consentimento deverá ser verificado pelas empresas a fim de certificar que foi dado pelos pais ou responsáveis legais.
Caso houver mudanças da finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original, o controlador deverá informar previamente o cliente sobre as mudanças de finalidade, podendo o titular dos dados (cliente) revogar o consentimento, caso discorde das alterações. Autorizações genéricas e tratamento de dados divergentes das finalidades especificadas no ato da coleta serão considerados nulos.
A segurança e o sigilo dos dados devem estar presentes desde a concepção do serviço ou produto. Recomenda-se que a coleta de dados observe a proporcionalidade (coletar o estritamente necessário) e necessidade (coletar os dados para a finalidade do produto ou serviço).
A responsabilidade pela proteção dos dados pessoais é de quem faz a coleta e o tratamento das informações. Nas situações em que os dados pessoais são transferidos para prestadores de serviços, a responsabilidade será compartilhada.
A notificação à Autoridade Nacional de Proteção de Dados (ANPD) em caso de incidente de segurança envolvendo dados pessoais é obrigatória.
A LGPD também estabelece a função do encarregado pelo tratamento de dados pessoais que atua como canal de comunicação entre o controlador (empresa que faz captura e tratamento dos dados) e os titulares e a autoridade nacional.
Por fim, a lei também estabelece penalidades, dentre as quais, multa de até 2% do faturamento limitado a R$ 50.000.000,00 (cinquenta milhões de reais).
Você pode ler a lei na íntegra clicando aqui.
