LGPD — Lei Geral de Proteção de Dados

A LGPD é uma Lei brasileira com propósito da proteção de dados pessoais. Essa Lei tem como proposito oferecer uma proteção de dados pessoais das pessoas físicas e pessoa jurídica, tendo um funcionamento semelhante ao Regulamento Geral sobre proteção de dados (GRPD) da União Europeia.

Ela está prevista para entrar em vigor no dia 16 de Agosto de 2020. Segue alguns tópicos importantes para saber sobre essa Lei. Para mais informações: LEI Nº 13.709

Antes de mais nada, vamos falar do que seria o tratamento de dados.
De acordo com o art. 5º, X, o tratamento de dados seria:
Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Essa Lei visa proteger os dados pessoais. Mas o que seria os dados pessoais?

Dados Pessoais: De acordo com o art. 5º, I, da Lei 13.709/18, considera-se dado pessoal a informação relacionada à pessoa natural identificada ou identificável. Desta forma, o dado relativo à pessoa que não pode ser identificada de nenhuma maneira não está abarcado pelo conceito tratado legalmente. Além disso, a lei se aplica ao tratamento de dados obtidos dentro ou fora da internet. Por fim, os dados tratados pela lei acobertam quaisquer dados relacionados às pessoas naturais.
Exemplo: Nome, CPF, Razão Social, CNPJ

Dados pessoais sensíveis: A definição de dados pessoais sensíveis está disposta no art. 5º, II, da Lei nº 13.709/18. Tratam-se de dados sujeitos a condições de tratamento específicas, uma vez que permitem a identificação de características ou pertencimento a grupos que podem ensejar a discriminação do seu titular.
Exemplo: Sexualidade da pessoa, raça da pessoa, tipo sanguíneo.

Os dados sensíveis possuem um artigo (art. 11º) especifico para o tratamento dos dados, na qual deixa claro que os dados sensíveis só poderão ser tratados nas seguintes hipóteses:

I — quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;

II — sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:

a) cumprimento de obrigação legal ou regulatória pelo controlador;

b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;

c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimação dos dados pessoais sensíveis;

d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;

e) proteção da vida ou da incolumidade física do titular ou de terceiros;

f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

A LGPD estabelece alguns princípios norteadores para o tratamento dos dados no art. 6º, sendo eles:

I — finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II — adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III — necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IV — livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V — qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI — transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VII — segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII — prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX — não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

X — responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Essa Lei conta com algumas personas, que são:

Titular: Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

Agentes de tratamento: o controlador e o operador;

Os agentes de tratamento deverão como obrigação:

· Provar que o consentimento foi obtido em conformidade com a LGPD.
· Manter registro das operações de tratamento de dados pessoais que realize.
· Mediante solicitação da autoridade nacional de proteção de dados, elaborar relatório de impacto à proteção de dados.
· Informar o titular caso haja alguma alteração na finalidade para a coleta de dados;
· Responder solidariamente, em conjunto com o operador, se causar a terceiros danos por violação da LGPD.

Sendo que em casos excepcionais, poderá haver o tratamento de dados sem o consentimento contato que isso seja para alguma finalidade legítima.
Por exemplo: Um banco utilizar informações de localização do usuário para evitar fraudes.

O Titular dos dados possui alguns direitos previsto no art. 17º da LGPD, são eles:

I — confirmação da existência de tratamento;

II — acesso aos dados;

III — correção de dados incompletos, inexatos ou desatualizados;

IV — anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;

V — portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;

VI — eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;

VII — informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

VIII — informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

IX — revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.

E em relação a menores de idade? A LGPD possui um artigo especifico para isso.

O art. 14º tem como finalidade o tratamento de dados para crianças e adolescentes. Esse artigo informa que o tratamento de dados só poderá ser realizado com o consentimento do responsável legal.
Então, um jogo por exemplo não poderia salvar o nome, localização, e outras informações desses individuo, sem uma permissão clara de um dos seus responsáveis.

A única hipótese permitida para coleta de dados de crianças sem autorização dos pais, seria para proteção da criança, como por exemplo, um sistema de políticas públicas de saúde.

Nessa Lei também consta informações a respeito do descumprimento da mesma.

Em caso de incidente de segurança, como por exemplo um acesso indevido a base de dados, deverá ser cumprido o art. 48º da LGPD.

Esse artigo diz que o controlador deverá comunica a autoridade nacional e ao titular a ocorrência de segurança que possa acarretar risco ou dado relevante aos titulares.
O Prazo é considerado um prazo razoável (Definido pela ANPD), não há uma definição especifica do prazo.

Com o descobrimento dessa Lei, será necessário consultar o art. 52º que diz respeito as sanções. As sanções vão desde uma advertência, com indicação do prazo para adoção de medidas corretivas, até uma proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Essa Lei vale apenas no Brasil?

Além de tudo que foi explicado aqui, também há regras especificas para países estrangeiros, pois essa Lei se destina a qualquer operação de tratamento de dados no Brasil. Conforme o art. 3º, I, II e III, a empresa não precisa estar localizada no país para que haja incidência legislativa.

Para maiores informações a respeito da LGPD

Lei: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm

Tratativas do Google em relação a LGPD: https://privacy.google.com/businesses/compliance/#!?modal_active=none#lgpd

Curso oferecido pelo governo:
https://www.escolavirtual.gov.br/curso/153