LGPD: Entenda tudo sobre a lei que protege seus dados
Vinícius de Oliveira
Colaboração para Tilt
08/08/2021 04h00
A LGPD (Lei Geral de Proteção de Dados), criada no final de 2018, entrou em vigor em setembro de 2020. Em agosto deste ano, a possibilidade de punições para quem violar a lei começou a valer.
Baseada no Regulamento Geral sobre a Proteção de Dados (GRPD, na sigla em inglês) da União Europeia, a lei brasileira adequa o processamento de informações pessoais no país. Confira os principais pontos sobre ela:
O que a LGPD faz?
A LGPD visa proteger os direitos de liberdade e de privacidade, criando normas a serem seguidas por empresas e governos para a coleta e o tratamento de dados pessoais (como nome, CPF, endereço) e de dados sensíveis (como biometria e informações sobre política e religião).
A lei cria um cenário de segurança jurídica ao padronizar práticas para a proteção dessas informações. Dois direitos merecem destaque inicial:
- Consentimento: em situações previstas pela lei, uma empresa (pública ou privada) deve pedir autorização para o titular dos dados pessoais para coletá-los e usá-los. Caso a pessoa não aceite, nada poderá ser feito com suas informações pessoais nestes casos.
- Finalidade: as organizações devem informar de modo claro a finalidade, o objetivo da coleta dos dados pessoais.
A lei também define, entre outras coisas:
- O papel da ANPD (Autoridade Nacional de Proteção de Dados Pessoais)
- As responsabilidades de quem coleta dados pessoais
- A criação de regras para gestão de riscos
- Penalidades no caso de falhas de segurança
Qual é o número da LGPD?
A Lei Geral de Proteção de Dados é a lei 13.709.
Quem tem seus dados pessoais protegidos pela LGPD?
A LGPD vale para dados pessoais de pessoas que estejam no Brasil no momento da coleta de suas informações (brasileiros ou não). A lei vale também para dados tratados dentro do território nacional, independentemente da sede da empresa coletora ou do país onde fica a base de armazenamento dessas informações. Por fim, ela também protege dados usados para o fornecimento de bens e serviços à população.
Quais são as penalidades para quem não cumprir a LGPD?
As penalidades vão desde uma advertência até multa diária. O valor deve ser de no máximo 2% do valor do faturamento da companhia, com teto de R$ 50 milhões por infração.
Outras sanções previstas são a determinação de eliminar os dados pessoais coletados, suspensão parcial ou total do uso do banco de dados em questão por até 12 meses e até proibição de atividades relacionadas à coleta e tratamento de dados.
O que são dados pessoais?
Dados pessoais são aqueles que permitem identificar uma pessoa. Exemplos: nome, RG, CPF, gênero, data e local de nascimento, telefone, endereço residencial, localização via GPS, foto, prontuário de saúde, cartão bancário, renda, histórico de pagamentos, hábitos de consumo, preferências de lazer, endereço de IP, cookies, etc.
O que são dados pessoais sensíveis? E dados anonimizados?
Dados pessoais sensíveis também são aqueles que permitem a identificação de alguém, mas possuem camadas que exigem ainda mais cuidado na hora de seu tratamento. Ex.: informações sobre crianças e adolescentes, origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical, dados genéticos, biométricas, de saúde ou vida sexual.
São informações com potencial de uso para discriminação do seu titular. Por isso são consideradas sensíveis.
Dados anonimizados passam por etapas que desvinculam qualquer possibilidade de identificação de seu titular. Caso seja possível reorganizar os dados e identificar um indivíduo, considera-se um dado pseudo-anonimizado. Esse tipo de informação ainda está sob o escopo das regras da LGPD.
Como é o processo para um dado pessoal se tornar anônimo?
A anonimização de dados é um processo que retira as informações pessoais de modo a não oferecer chances de identificação de indivíduos. Existem três técnicas principais: criptografia, generalização e perturbação. Na criptografia, são aplicados algoritmos que transformam as informações em um conjunto aleatório de caracteres.
Na generalização, são trocadas informações por outras genéricas. Por fim, a perturbação troca as informações por outras fictícias. Só é considerado anonimização se esses métodos não puderem ser revertidos.
Para que uma empresa ou governo quer um dado anônimo?
Dados anonimizados podem ser usados para entender comportamento de massa sem a necessidade de saber quem é quem. Empresas podem usá-los para melhorar a oferta de serviços para os clientes. Governos podem usá-los para ajudar na criação de políticas públicas. Durante o início da pandemia, por exemplo, empresas ganharam foco por monitorar o nível de isolamento social através de dados de geolocalização de celulares usando informações anonimizadas.
Tratamento de dados: o que diz a LGPD
O tratamento é como se fosse a jornada de vida de um dado, desde o momento da coleta, o processo de uso e sua possível exclusão. As empresas devem seguir algumas regras (salvo exceções) para fazer esse tratamento:
- informar a finalidade da coleta dos dados;
- garantir adequação à finalidade divulgada (garantir que os dados serão usados para o fim informado para o titular);
- coletar apenas dados necessários;
- dar acesso gratuito à forma que os dados são tratados (titulares passam a conhecer o que será feito com os seus dados);
- deixar os dados exatos e atualizados;
- ser transparente com o titular dos dados;
- investir em segurança para coibir invasões;
- investir em prevenção de danos;
- não permitir atos ilícitos com os dados tratados;
- se responsabilizar caso não haja eficácia nas medidas adotadas.
Como é feita uma coleta de dados?
A coleta de dados pode ser virtual ou pessoalmente. No primeiro caso, um exemplo é quando você acessa um site e autoriza que ele colete os cookies, pequenos arquivos que servem para rastrear o que fazemos na internet, ou seja, registra dados da nossa navegação como os sites que visitamos. Outra forma é através do preenchimento de formulários.
No segundo caso, existe a coleta offline, que também segue as diretrizes da LGPD. Ex: O pedido do número do CPF no momento de uma compra. As lojas devem assegurar que o dado fornecido será usado para uma finalidade e explicar exatamente o que será feito a partir disso (como garantir o desconto nas compras).
Quem pode usar dados coletados?
A empresa (pública ou privada) pode usar os dados pessoais com a respectiva finalidade informada aos titulares. O compartilhamento de dados pessoais com outras organizações seguindo os protocolos estabelecidos pelas regras da lei também podem acontecer. Qualquer vazamento é de responsabilidade da empresa que colheu os dados.
Dá para pedir para apagarem os meus dados pessoais?
No artigo 18, a LGPD diz que o titular dos dados poderá a qualquer momento solicitar a eliminação dos dados pessoais coletados, mesmo que a coleta tenha sido feita com consentimento.
A empresa é obrigada a apagar meus dados quando a finalidade se esgotar?
Os dados coletados devem ser eliminados em quatro situações: quando a finalidade foi alcançada e os dados deixaram de ser necessários; fim do período de tratamento; a pedido do titular; ou por determinação da autoridade nacional.
O que fazer se meus dados vazarem e a empresa descumprir a LGPD?
Você pode denunciar casos de descumprimento da lei aos órgãos de defesa e proteção ao consumidor de sua cidade, como o Procon, Idec (Instituto Brasileiro de Defesa do Consumidor) e também ao Ministério Público. Isso também deve ser feito para ANPD (Autoridade Nacional de Proteção de Dados), pelo e-mail anpd@anpd.gov.br, pelo telefone (61) 3411-5961 ou pelo formulário no site oficial.
Em caso de vazamento de dados, é fundamental fazer um boletim de ocorrência. Além disso, é importante formalizar a denúncia na ANPD. Para isso, acesse o site anpd.gov.br, clique em "Denúncia" no lado inferior esquerdo da tela e registre o problema. A partir daí, o órgão poderá instaurar um inquérito e exercer seus poderes de auditoria previstos na LGPD.
Tenho direito a danos morais caso haja vazamento dos meus dados pessoais?
Sim. De acordo com o artigo 42 da LGPD, o controlador ou operador dos dados pessoais que causar dano patrimonial ou moral deve reparar o dano causado devido à violação da legislação.
Já há casos de descumprimento da LGPD?
Em 2020, o Ministério Público do DF ajuizou a primeira ação tendo como base a LGPD. Uma empresa de Belo Horizonte (MG) comercializava informações como nomes, emails, endereços postais ou contatos para SMS pela internet.
Fontes consultadas
- Lei Nº 13.709
- Autoridade Nacional de Proteção de Dados
- Serpro (Serviço Federal de Processamento de Dados)
- Procon-SP