LGPD - Lei Geral de Proteção de Dados do Brasil
LGPD é a sigla para Lei Geral de Proteção de Dados do Brasil, sancionada em agosto de 2018. A LGPD estabelece regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo mais proteção e penalidades para o não cumprimento.
Lei Geral de Proteção de Dados do Brasil
Com a LGPD, o país entra para o rol dos 120 países que possuem lei específica para a proteção de dados pessoais. A nova lei irá preencher lacunas para substituir e/ou complementar a estrutura de mais de 40 diplomas legais que, de forma esparsa, regulamentam o uso de dados no país hoje.
Como principal influência para a criação e maturação da LGPD, tem-se o GDPR (General Data Protection Regulation), que entrou em vigor no ano passado e regulamenta a questão para os países europeus. É a mais significante legislação recente sobre privacidade de dados, que passou a servir de modelo para muitos outros países adotarem disposições semelhantes ou reforçarem políticas pré-existentes.
O que diz a LGPD?
Na mesma linha do regulamento europeu, a LGPD irá mudar a forma de funcionamento e operação das organizações ao estabelecer regras claras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo um padrão mais elevado de proteção e penalidades significativas para o não cumprimento da norma.
A lei entende por “dados pessoais” qualquer informação relacionada à pessoa natural identificada ou identificável, e por “tratamento de dados” toda operação realizada com dados pessoais, como as que se referem à coleta, classificação, utilização, acesso, reprodução, processamento, armazenamento, eliminação, controle da informação, entre outros.
Como principal influência para a criação e maturação da LGPD, tem-se o GDPR (General Data Protection Regulation), que entrou em vigor no ano passado e regulamenta a questão para os países europeus. É a mais significante legislação recente sobre privacidade de dados, que passou a servir de modelo para muitos outros países adotarem disposições semelhantes ou reforçarem políticas pré-existentes.
Bases legais para o tratamento de dados
A coleta e processamento de dados deverá atentar às bases legais impostas pela lei. O novo texto prevê nove hipóteses que tornam lícitos os tratamentos de dados, com destaque a duas principais: fornecimento de consentimento e o legítimo interesse.
É necessária a obtenção de consentimento explícito pelo titular dos dados, ou seja, este deve ser informado e dado livremente, para que os consumidores optem ativamente por engajar ou não.
Outra hipótese que autoriza o uso dos dados é o legítimo interesse do controlador, que poderá promover o tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas.
A lei entende por “dados pessoais” qualquer informação relacionada à pessoa natural identificada ou identificável, e por “tratamento de dados” toda operação realizada com dados pessoais, como as que se referem à coleta, classificação, utilização, acesso, reprodução, processamento, armazenamento, eliminação, controle da informação, entre outros.
Como principal influência para a criação e maturação da LGPD, tem-se o GDPR (General Data Protection Regulation), que entrou em vigor no ano passado e regulamenta a questão para os países europeus. É a mais significante legislação recente sobre privacidade de dados, que passou a servir de modelo para muitos outros países adotarem disposições semelhantes ou reforçarem políticas pré-existentes.
Princípios da LGPD
A lei elenca dez princípios que as organizações devem obedecer quanto ao tratamento de dados, com destaque para o princípio da finalidade, da adequação, da necessidade e da transparência.
Em atenção a estes princípios, as organizações públicas e privadas que possuem a cultura de acumular dados antes mesmo de saber o que farão com isso, passarão por uma mudança de mindset.
A LGPD vai contra esse hábito ao defender que a coleta de dados deve se restringir àquilo que é diretamente útil para sua interação imediata com os consumidores. Portanto, a colheita de dados deve ser adequada, relevante e limitada ao mínimo necessário em relação às finalidades para as quais são processados.
Quem são os atores envolvidos?
A lei detalha os papéis de quatro diferentes agentes: o titular, o controlador, o operador e o encarregado.
- O titular: é a pessoa física a quem se referem os dados pessoais.
- O controlador: é a empresa ou pessoa física que coleta dados pessoais e toma todas as decisões em relação a forma e finalidade do tratamento dos dados. O controlador é responsável por como os dados são coletados, para que estão sendo utilizados e por quanto tempo serão armazenados.
- O operador: é a empresa ou pessoa física que realiza o tratamento e processamento de dados pessoais sob as ordens do controlador.
- O encarregado: é a pessoa física indicada pelo controlador e que atua como canal de comunicação entre as partes (controlador, os titulares e a autoridade nacional), além de orientar os funcionários do controlador sobre práticas de tratamento de dados.