LGPD - Lei Geral de Proteção de Dados

LGPD – Lei Geral de Proteção de Dados

A Lei Geral de Proteção de Dados Pessoais – Lei nº 13.709, de 14 de agosto de 2018, foi criada para dar mais clareza às pessoas sobre quais dados pessoais as instituições possuem sobre elas e garantir que essas empresas – públicas ou privadas, micro ou grandes – inclusive nos meios digitais, visando proteger seus direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural (pessoa física), Sua aplicação se estende a qualquer pessoa, natural ou jurídica, de direito público ou privado, que realize o tratamento de dados pessoais, online e/ou off-line.

Fundamentos da Proteção de Dados

A LGPD traz claramente quais são os fundamentos relacionados à proteção de dados pessoais, que servem para embasar toda e qualquer ação que envolva seu tratamento.

A LGPD aprimora o conceito de proteção de dados pessoais, que deve ser realizada de maneira eficiente e eficaz, traduzindo-se em uma forma de estreitar o vínculo com o cidadão, que acredita que suas informações estão seguras e sendo utilizadas de maneira apropriada, obedecendo ao princípio constitucional da inviolabilidade à privacidade, previsto na Carta Magna, em seu art 5º, inciso X.

Principais Conceitos

Dado Pessoal

Aquele que permite a identificação, direta ou indireta, da pessoa à qual o dado se refere.

Dado Pessoal Sensível

Relacionado a características da personalidade do indivíduo e suas escolhas pessoais, quando vinculado a uma pessoa natural.

Dado Anonimizado

Relativo a usuário que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião do seu tratamento. A anonimização de dados deve seguir preceitos da segurança da informação, os quais estão sob responsabilidade, no âmbito do DNIT, da Coordenação-Geral de Tecnologia da Informação.

Titular dos Dados Pessoais

Pessoa natural identificada ou identificável, independente da sua nacionalidade ou do local da sua residência.

No âmbito do DNIT, os titulares podem ser cidadãos que utilizem os serviços da Autarquia; ou o próprio público interno (servidores e colaboradores), cujos dados são tratados, por exemplo, pelas áreas de gestão de pessoas na Sede em Brasília e nas Unidades Descentralizadas

Qualquer operação ou conjunto de operações realizada com dados pessoais ou conjunto de dados pessoais por meios automatizados ou não. Tais operações podem ser: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. As fases do ciclo de vida dos dados pessoais demonstram como ocorrem, em geral, o tratamento de dados no âmbito de uma organização.

Fases do Ciclo de Vida: antes de iniciar o processo de identificação e implementação de quaisquer medidas de segurança, é necessário analisar os processos, projetos, serviços e ativos abrangidos pelo ciclo de vida de tratamento dos dados pessoais.

Coleta: Obtenção, recepção ou produção de dados pessoais, independentemente do meio utilizado (documento físico, eletrônico, sistema de informação etc).

Retenção: Arquivamento ou armazenamento de dados pessoais independentemente do meio utilizado (documento físico, eletrônico, banco de dados, arquivo de aço, etc)

Processamento: Qualquer operação que envolva classificação, utilização, reprodução, processamento, avaliação ou controle da informação, extração e modificação de dados pessoais.

Compartilhamento: Qualquer operação que envolva reprodução, transmissão, distribuição, comunicação, transferência, difusão e compartilhamento de dados pessoais.

Eliminação: Qualquer operação que vise apagar ou eliminar dados pessoais. Contempla o descarte dos ativos organizacionais nos casos necessários ao negócio da instituição.

Consentimento para Tratamento dos Dados

O usuário deve permitir o tratamento de seus dados pessoais e essa permissão tem que ser livre, informada e inequívoca, por meio da qual o titular concorda com tal tratamento para uma finalidade determinada.

Principais Atores Além do titular dos dados pessoais, a LGPD define os principais atores envolvidos no processo de tratamento dos dados, bem como na fiscalização do cumprimento da Lei. São eles:

AGENTES DE TRATAMENTO

Controlador: é o DNIT, a quem competem as decisões referentes ao tratamento de dados pessoais. Pode exercer diretamente o tratamento dos dados ou designar um operador. Possui autonomia decisória quanto a fins e meios de tratamento.
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador (escopo eminentemente executório).

ENCARREGADO

Pessoa indicada pelo controlador ou pelo operador, que atua como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados. O DNIT designou seu Encarregado pelo Tratamento de Dados Pessoais por meio da Portaria nº 843, de 12/2/2021, publicada no Diário Oficial da União em 17/2/2021.

AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS – ANPD

Órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da Lei em todo o território nacional.

TRATAMENTO DE DADOS NO DNIT – EXEMPLOS

A forma como os dados são coletados e tratados pelo DNIT ocorre de diversas maneiras. Um processo de mapeamento de dados pessoais ainda deverá ser desenhado para saber quais são os fluxos de entrada desses dados, os locais responsáveis por seu tratamento, a forma de armazenamento, se há compartilhamento e como e se ocorre sua eliminação.

Direitos dos Titulares dos Dados

A LGPD é clara quanto aos direitos do titular, que deve ter o acesso facilitado às informações sobre o tratamento de seus dados. Entre outras características previstas na LGPD para o atendimento do princípio do livre acesso, essas informações deverão ser disponibilizadas de forma clara, adequada e ostensiva, e deverão conter:

I – A finalidade específica do tratamento dos dados;

II – Por quanto tempo vai durar o tratamento dos dados pessoais;

III – Qual é a identificação do controlador dos dados pessoais;

IV – Informações de contato do controlador;

V – Informações acerca se os seus dados pessoais vão ser compartilhados com outra empresa e qual é a finalidade desse compartilhamento;

VI – Responsabilidade das empresas que realizarão o tratamento dos dados.

Princípios da LGPD

Por fim, é de extrema importância que o tratamento de dados pessoais observe a boa-fé e os 10 princípios elencados na Lei.

I – Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II – Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III – Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IV – Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V – Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI – Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VII – Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII – Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX – Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

X – Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Referências

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: . Acesso em: 17 jun 2021.

BRASIL. Segurança e Proteção de Dados. Guia de Boas Práticas – Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: . Acesso em: 17 jun 2021.

CONTROLADORIA GERAL DO ESTADO DE MINAS GERAIS. Grupo de Trabalho sobre a Lei Geral de Proteção de Dados no âmbito do Governo do Estado de Minas Gerais. Disponível em: https://cge.mg.gov.br/phocadownload/manuais_cartilhas/ pdf/Cartilha%20LGPD4%202.pdf>. Acesso em: 17/jun 2021.

CONTROLADORIA GERAL DO ESTADO DO PARANÁ. Cartilhas da Lei Geral de Proteção de Dados – LGPD, 2020. Cartilha da LGPD. Disponível em: https://www.cge.pr.gov.br/Pagina/Cartilhas-da-Lei-Geral-de-Protecao-de-Dados-LGPD#. Acesso em: 17/jun 2021.

ENAP – ESCOLA NACIONAL DE ADMINISTAÇÃO PÚBLICA. Proteção de Dados Pessoais no Setor Público. Disponível em: . Acesso em: 17/jun 2021.

SERPRO – SERVIÇO FEDERAL DE PROCESSAMENTO DE DADOS. Serpro. Dados Anonimizados. Disponível em: . Acesso em: 17 jun 2021