A Lei Geral de Proteção de Dados foi criada para garantir ao titular dos dados total sigilo e regular as atividades de tratamento e coleta de dados, bem como criar a estrutura de fiscalização e responsabilidade da cadeia produtiva em torno do tema.
Lei nº 13.709/2018, é a lei brasileira que regula as atividades de tratamento de dados pessoais e foi sancionada em 2018 e passou a vigorar em agosto de 2020.
Nela se estabelece definições a respeito de dados pessoais, dados pessoais sensíveis, processamento, consentimento, controle, anonimização, etc.
Foi inspirada na GDPR (Gerenal Data Protection Regulation) da Europa aprovada em 2018 que teve impactos no mundo inteiro em atividade de tratamento de dados dos cidadãos europeus.
A GDPR afeta empresas fora da Europa que captam e usam dados de cidadãos europeus, o mesmo se pode dizer da LGPD que por sua vez vai proteger dados de cidadãos brasileiros que são usados por empresas de fora do país.
Ou seja, é uma lei que terá impacto global.
Fundamentos
Então quais são os fundamentos que a LGPD se apoia. No artigo 2º da lei estabelece que a disciplina da proteção de dados pessoais tem como fundamentos:
I – o respeito à privacidade;
II – a autodeterminação informativa;
III – a liberdade de expressão, de informação, de comunicação e de opinião;
IV – a inviolabilidade da intimidade, da honra e da imagem;
V – o desenvolvimento econômico e tecnológico e a inovação;
VI – a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
Definições
Para entender melhor essa lei precisamos ter bem claro algumas definições importantes. Leia atentamente pois essa lei impacta nos RHs de todas as empresas brasileiras e as do estrangeiras também.
O que é dado pessoal?
Dado pessoal é informação relacionada a pessoa natural identificada ou identificável.
O que é dado pessoal sensível?
Dado pessoal sensível é dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
O que é dado anonimizado?
Dado anonimizado é dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
O que é banco de dados?
Banco de dados é conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico.
Qual é a definição de títular de dados?
Titular é pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
Qual é a definição de controlador?
Controlador é pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
Qual é a definição de operador?
Operador é pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Qual é a definição de Encarregado?
Encarregado é pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Quem são os Agentes de tratamento?
O controlador e o operador são agentes de tratamento de dados.
O que é Tratamento de dados?
Tratamento é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
O que Anonimização?
Anonimização é utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
O que caracteriza o Consentimento?
Consentimento é manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
O que é Bloqueio?
Bloqueio é suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados.
O que é Eliminação?
Eliminação é exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.
O que é Transferência internacional de dados?
Transferência internacional de dados é transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro.
O que é Uso compartilhado de dados?
Uso compartilhado de dados é comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.
O que é Relatório de impacto à proteção de dados pessoais?
Relatório de impacto à proteção de dados pessoais é documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
Qual é a definição de Órgão de pesquisa?
Órgão de pesquisa é órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico.
O que é Autoridade nacional?
Autoridade nacional é órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.
O que é o DPO?
O Data Protection Officer (DPO) é o profissional encarregado pelo tratamento de dados o qual é indicado pelo controlador tendo sua identidade e suas informações divulgadas publicamente preferencialmente em site do controlador.
A carreira de DPO vai contar com profissionais da área interdisciplinar de Compliance. Certamente, essa é uma carreira que vai criar muitas oportunidades em 2020 e nos anos seguintes no Brasil e no mundo.
Autoridade Nacional de Proteção de Dados – ANPD
E em 2019, com a partir da lei 13.853 foi criado o órgão da administração pública federal, integrante da Presidência da República que edita normas e fiscaliza procedimentos sobre proteção de dados pessoais.
A Composição da Autoridade Nacional de Proteção de Dados
A Autoridade Nacional de Proteção de Dados ( ANPD ) é composta por:
Conselho Diretor, órgão máximo de direção
Conselho Nacional de Proteção de Dados Pessoais e da Privacidade
Corregedoria
Ouvidoria
Órgão de assessoramento jurídico próprio
Unidades administrativas e unidades especializadas necessárias à aplicação da LGPD
As sanções administrativas da ANPD
Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas na Lei, estão sujeitos às diversas sanções administrativas aplicáveis pela autoridade nacional:
advertência
multa simples
multa diária
publicização da infração
bloqueio dos dados pessoais a que se refere a infração até a sua regularização
eliminação dos dados pessoais a que se refere a infração
suspensão parcial do funcionamento do banco de dados
suspensão do exercício da atividade de tratamento dos dados pessoais
proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados
Como você pode ver, as sanções administrativas são muitas e diversas e podem inviabilizar o dia a dia de muitas empresas.
A multa na Lei Geral de Proteção de Dados
Existe multa para as empresas que não respeitarem a lei, que pode ser até 2% do faturamento excluídos os impostos, limitada, no total, a $50.000.000,00 de reais por infração.
Como podem ver a multa pode ser pesada e é por isso da importância de investir em compliance na sua empresa. Para evitar que a empresa transgrida essa lei e outras leis também, por que não ?
Governança na Lei Geral de Proteção de Dados
A lei tem uma seção sobre boas práticas de governança, que só vem a fortalecer e explicitar a importância do Compliance
Segundo a lei, os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
LPGD e Tecnologia da Informação
Juntamente com Compliance, a área de tecnologia da informação também demandará profissionais qualificados na LPGD.
Nessa área, muitos profissionais de segurança da informação, análise de dados e engenharia de sistemas computacionais precisavam conhecer da lei geral de proteção de dados.
Nenhum comentário:
Postar um comentário