O que é a Lei Geral de Proteção de Dados?
“Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.”
De acordo com Art 5º, inciso X, a lei define o tratamento de dados como: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
A lei surgiu como um desafio para as empresas que lidam com dados pessoais. Ela é essencial para a harmonização de normas sobre proteção de dados já vigentes no Brasil, como por exemplo o Código de Defesa do Consumidor, a Lei de Acesso à Informação, a Lei do Cadastro Positivo e a Resolução BACEN 4.658/2018.
A quem a lei se aplica?
A LGPD engloba todos aqueles que realizarem um tratamento de dados, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que os tratamentos sejam realizados em território nacional. Abrange também todas as empresas estabelecidas em território nacional, bem como as organizações com sede no exterior que ofereçam produtos/serviços para pessoas localizadas no Brasil ou tenham operações no País envolvendo tratamento de dados.
De acordo com o Art. 2º da lei, a proteção de dados tem como principais fundamentos:
I – o respeito à privacidade;
II – a autodeterminação informativa;
III – a liberdade de expressão, de informação, de comunicação e de opinião;
IV – a inviolabilidade da intimidade, da honra e da imagem;
V – o desenvolvimento econômico e tecnológico e a inovação;
VI – a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
Quais são os tipos de dados regulados pela lei?
DADO PESSOAL: toda e qualquer informação relacionada à pessoa natural (física) identificada ou identificável. Ou seja, dados como nome completo, e-mail, telefone, RG, CPF e endereço, e dados indiretos como endereços de IP, geolocalização de dispositivo móvel e demais identificadores eletrônicos. Com esses dados é possível monitorar o comportamento e o perfil das pessoas referidas. Portanto, qualquer informação que identifique essa pessoa em específico é considerado um dado pessoal.
DADOS SENSÍVEIS: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural; esses dados merecem uma proteção mais rigorosa, com consentimento específico dos titulares dos dados.
DADOS ANONIMIZADOS (ANÔNIMOS): dado relativo a titular que não permite ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento, por meio dos quais um dado perde a
possibilidade de associação, direta ou indireta, a um indivíduo. Esses dados estão fora da proteção da LGPD. Exemplo:
estatísticas sobre a idade de pessoas que realizaram a compra de determinado produto.
DADOS PSEUDO-ANONIMIZADOS: processo semelhante ao da anonimização, em que um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo
controlador em ambiente controlado e seguro. O pseudo anonimato é incentivado pelo próprio regulamento como forma de reduzir os riscos. Sendo assim, é abrangido pelo LGDP. Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico. Exemplo: documentos salvos na nuvem
Quais são as punições previstas pela lei?
Os agentes de tratamento (controlador e/ou operador) que violarem as normas previstas na LGPD estarão sujeitos à aplicação de advertências, multas, sanções administrativas pela Autoridade Nacional, que são:
• Advertência, com indicação de prazo para adoção de medidas corretivas;
• Multa simples de até 2% (dois por cento) do faturamento da empresa, grupo ou conglomerado no Brasil no
seu último exercício, excluídos os tributos, e limitada no total de R$50.000.000,00 (cinquenta milhões de
reais) por infração;
• Multa diária, observado o limite previsto no item acima;
• A publicização da infração;
• Bloqueio dos dados pessoais aos quais se refere a infração até a sua regularização;
• Eliminação dos dados pessoais aos quais se refere a infração.