A Lei Geral de Proteção de Dados (13.709/2018) tem como principal objetivo proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Também tem como foco a criação de um cenário de segurança jurídica, com a padronização de regulamentos e práticas para promover a proteção aos dados pessoais de todo cidadão que esteja no Brasil, de acordo com os parâmetros internacionais existentes. A lei define o que são dados pessoais e explica que alguns deles estão sujeitos a cuidados ainda mais específicos, como os dados pessoais sensíveis e dados pessoais sobre crianças e adolescentes. Esclarece ainda que todos os dados tratados, tanto no meio físico quanto no digital, estão sujeitos à regulação. Além disso, a LGPD estabelece que não importa se a sede de uma organização ou o centro de dados dela estão localizados no Brasil ou no exterior: se há o processamento de informações sobre pessoas, brasileiras ou não, que estão no território nacional, a LGPD deve ser observada. A lei autoriza também o compartilhamento de dados pessoais com organismos internacionais e com outros países, desde que observados os requisitos nela estabelecidos. Consentimento
A lei traz várias garantias ao cidadão, como: poder solicitar que os seus dados pessoais sejam excluídos; revogar o consentimento; transferir dados para outro fornecedor de serviços, entre outras ações. O tratamento dos dados deve ser feito levando em conta alguns requisitos, como finalidade e necessidade, a serem previamente acertados e informados ao titular. Quem fiscaliza?
Com relação à administração de riscos e falhas, o responsável por gerir dados pessoais também deve redigir normas de governança; adotar medidas preventivas de segurança; replicar boas práticas e certificações existentes no mercado; elaborar planos de contingência; fazer auditorias; resolver incidentes com agilidade, com o aviso imediato sobre violações à ANPD e aos indivíduos afetados. As falhas de segurança podem gerar multas de até 2% do faturamento anual da organização no Brasil – limitado a R$ 50 milhões por infração. A autoridade nacional fixará níveis de penalidade segundo a gravidade da falha e enviará alertas e orientações antes de aplicar sanções às organizações. Fonte: https://www.serpro.gov.br/lgpd (texto com adaptações/atualizações)
Segundo a LGPD, o tratamento dos dados pessoais pode ser realizado por dois agentes de tratamento: controlador e operador. O controlador é definido pela lei (artigo 5º, VI, LGPD) como a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. O controlador é quem toma as decisões referentes ao tratamento dos dados pessoais ao longo do ciclo de vida dos dados, ele determina as finalidades e os meios de tratamento, avalia o enquadramento nas bases legais e, principalmente, cabe a ele garantir o cumprimento dos direitos dos titulares. O operador é definido pela lei (artigo 5º, VII, LGPD) como a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador e de acordo com as instruções fornecidas pelo controlador (artigo 39º, LGPD). O operador não possui poder decisório, mas pode ser responsabilizado solidariamente por violações que vier causar à LGPD. Quem é o Encarregado (DPO)?O encarregado é o profissional que responde pela proteção dos dados na empresa e que fará contato com a Autoridade Nacional de Proteção de Dados (ANPD) quando necessário. Em inglês, este papel é denominado Data Protection Officer (DPO). Além do contato com a ANPD, o encarregado também atua como canal de comunicação entre o controlador e os titulares de dados pessoais. Ele é o responsável por aceitar eventuais reclamações dos titulares, bem como as comunicações dos titulares e da ANPD, prestar esclarecimentos e adotar providências necessárias. O encarregado também é responsável por orientar internamente os colaboradores do controlador a respeito das práticas a serem tomadas em relação à proteção de dados pessoais. A LGPD não obriga que o encarregado seja um funcionário do controlador, então ele pode ser representado por um terceiro ou empresa contratada para esta função. Como características comuns do papel do encarregado observa-se que ele reporta diretamente a diretoria da empresa e tenha certa autonomia. O artigo 41º da LGPD diz que as atribuições do encarregado são:
Quem é a ANPD?A lei estabelece que seja criada a Autoridade Nacional de Proteção de Dados (ANPD) que é o órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta lei em todo o território nacional, vinculada à Presidência da República. A ANPD poderá solicitar a qualquer tempo relatórios de riscos de privacidade às empresas para certificar-se de que as organizações estão tratando o tema internamente e dentro do estabelecido pela LGPD. A autoridade nacional emitirá opiniões técnicas ou recomendações e poderá realizar auditoria para verificação de aspectos discriminatórios em tratamento automatizado de dados pessoais. Aqui estão algumas das atribuições da ANPD citadas no artigo 55º, J, da LGPD:
|