A Lei nº 13.709 de 14 de agosto de 2018, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), determina como os dados dos cidadãos podem ser coletados e tratados, além de prever punições para transgressões. Conforme incluído pela Medida Provisória nº 869, de 2018 esta Lei entra em vigor vinte e quatro meses após a data de sua publicação.

Vale ressaltar que a LGPD foi inspirada no GDPR – Regulamento Geral sobre a Proteção de Dados, um rigoroso conjunto de regras sobre privacidade da União Europeia que entrou em vigor em maio de 2018.

 

Sobre a abrangência e os Dados Pessoais

Asseguradas as exceções pontuais, todas operações realizadas no território brasileiro com dados pessoais, desde que o dado identifique ou torne identificável uma pessoa, devem obedecer a legislação.

• Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

A lei trata também dos dados pessoais sensíveis, com controle ainda mais restritivo:

• Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

 

Como os dados pessoais deverão ser coletados e tratados?

Os dados pessoais só poderão ser coletados e tratados mediante o fornecimento de consentimento pelo titular. O tratamento de dados pessoais de crianças e de adolescentes deverão ser realizados com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal.

O consentimento é uma “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”, ou seja, deve ser feito de maneira clara que expõe o que será coletado, para quais finalidades e se haverá compartilhamento. E importante dizer que quaisquer mudanças da finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original, um novo consentimento deverá ser solicitado podendo o titular revogar o consentimento caso discorde das alterações.

O titular dos dados pessoais poderá a qualquer momento revogar o consentimento, bem como requerer a correção, eliminação, bloqueio, anonimização e portabilidade dos dados pessoais.

Os dados pessoais serão eliminados após o término de seu tratamento, autorizada a conservação para cumprimento de obrigação legal ou regulatória, como também para uso exclusivo do controlador (a quem competem as decisões referentes ao tratamento de dados pessoais), vedado seu acesso por terceiro, e desde que anonimizados os dados. Nas finalidades de estudo por órgão de pesquisa e transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei, também é autorizada a conservação dos dados.

Mas existem algumas exceções à aplicação da lei. As regras não se aplicam ao tratamento de dados realizado por pessoa natural para fins exclusivamente particulares e não econômicos, para fins jornalísticos, artísticos ou acadêmicos. Também não se aplicam para fins exclusivos de segurança pública, defesa nacional, proteção da vida e políticas governamentais.

 

Transferência internacional de dados

Outro aspecto importante tratado na lei, que ocorre com frequência principalmente com a computação em nuvem, é a transferência internacional de dados pessoais que somente será permitida para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei. Como por exemplo o GDPR, na União Europeia.

 

Segurança e Boas Práticas

Medidas de segurança devem ser adotadas para proteger os dados pessoais, mesmo após o término do tratamento dos dados. A ocorrência de incidentes de segurança que possam acarretar riscos ou dados aos titulares, devem ser comunicados em prazo razoável à autoridade nacional e ao próprio titular.

Em casos de descumprimento da lei, a empresa ou organização responsável poderá receber advertência, com indicação de prazo para adoção de medidas corretivas, ou multa, limitada no total de R$ 50 milhões.

Além de outros parâmetros, a adoção de política de boas práticas e governança e a pronta adoção de medidas corretivas serão consideradas como critérios para a aplicação das sanções.