Tempo de leitura: 7 minutos
Sem tempo para ler? Ouça este post ou baixe para ouvir mais tarde!
A Lei Geral de Proteção de Dados (LGPD) é baseada nos direitos fundamentais de liberdade e de privacidade e no livre desenvolvimento da personalidade da pessoa natural. Com isso, carrega consigo diversos princípios que trazem maior segurança e transparência para o tratamento dos dados pessoais.
E quando falamos em dados pessoais é indispensável falarmos do efetivo Tratamento de Dados Pessoais os quais se referem a toda e qualquer atividade realizada, tais como:
- Coletar;
- Reproduzir;
- Processar;
- Modificar;
- Extrair;
- Comunicar;
- Transmitir;
- Arquivar;
- Eliminar todo e qualquer dado pessoal.
Vale destacar que a Lei Geral de Proteção de Dados se aplica a qualquer atividade de tratamento, seja por pessoa física ou jurídica, seja a pessoa jurídica pública ou privada, seja em papel ou de forma eletrônica. A regra é bem clara: onde há dado pessoal, é necessário atentar-se à Lei Geral de Proteção de Dados.
1. Dados Pessoais, sensíveis e anonimizados
A legislação preceitua em seu artigo 5º, incisos I, II e III os conceitos de Dados pessoais, dados sensíveis e anonimizados.
Dado pessoal do titular
Nada mais é do que todo e qualquer dado que possibilite a identificação dos indivíduos, ou seja, nome, endereço, telefone, e-mail, data de nascimento, RG, CPF, entre outros.
Dados pessoais sensíveis
Se referem a todo e qualquer dado que venha a acarretar em atos discriminatórios ou lesivos ao indivíduo, previstos também na legislação através de um rol taxativo, ou seja, aquele que não permite outras exceções que não constam na lei, como por exemplo: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual e dado genético ou biométrico.
Dados anonimizados
Ainda no inciso III do referido artigo, conceitua-se os dados anonimizados os quais necessitam de medidas técnicas para que possam garantir a desvinculação do indivíduo, podemos elencar neste caso a encriptação dos dados pessoais como uma técnica de segurança.
2. Tratamento de dados pessoais de crianças e de adolescentes
A Lei Geral de Proteção de Dados traz consigo uma preocupação importante referente ao tratamento de dados pessoais de crianças e adolescentes. Este tratamento em específico deverá ocorrer com o consentimento (manifestação livre, informada e inequívoca) de um dos pais ou responsável legal. Devendo, assim, os controladores manter pública a informação a respeito dos dados coletados e todas as etapas de tratamento dos mesmos.
Existe na legislação apenas uma possibilidade da não exigência do consentimento de um dos pais ou do responsável legal, prevista no artigo 14, § 3º, onde se determina que nas situações em que for necessária a coleta para contatar os pais ou responsável legal, é possível se utilizar uma vez e em nenhuma hipótese poderá ocorrer o armazenamento e nem repassados a terceiros tais dados.
Por fim é necessário que as informações sobre o tratamento de dados de crianças e adolescentes devam ser fornecidas de maneira simples, clara e acessível, a fim de proporcionar a informação transparente e necessária aos pais ou ao responsável legal e adequada ao entendimento da criança.
3. Agentes de Tratamento
Os agentes de tratamento estão definidos na lei e são denominados Controlador e Operador, devem, portanto, manter os registros das operações realizadas, especialmente baseado no legítimo interesse.
Controlador
O controlador poderá ser pessoa física ou jurídica, que em geralmente são os CEO’s ou diretores das empresas até mesmo alguém designado por eles, para tratar a respeito de decisões referentes ao tratamento de dados pessoais.
O controlador ou seu indicado serão responsáveis pela elaboração do relatório de impacto à proteção de dados pessoais, que deverá conter a descrição dos dados coletados, sua finalidade e as medidas de segurança implantadas diante da empresa/ organização.
Operador
Já o operador é a pessoa indicada pelo controlador para que realize o tratamento de dados pessoais em seu nome. O operador geralmente é um líder de setor que deve possuir um conhecimento mais profundo a respeito do tema e esteja envolvido na adequação do projeto da Lei Geral de Proteção de Dados.
4. Ciclo de vida dos dados
O ciclo de vida dos dados é toda e qualquer ação realizada por empresas ou instituições públicas que se inicia pela coleta dos dados pessoais dos titulares até o seu descarte ou armazenamento.
Mapear os dados pessoais é a ação fundamental para que se possa identificar todo o panorama do seu ciclo, ou seja, como são tratados, quem tem acesso, como são armazenados, se estão retidos ou não, se há transferência internacional e por fim, se estes são deletados.
O processo de mapeamento de dados pessoais é o período mais extenso de um assessment, pois neste procedimento todos os dados serão analisados individualmente, haverá um estudo para que se possa garantir a segurança dos dados pessoais dos indivíduos e a identificação de possíveis gaps que possam causar insegurança ou incidentes.
+ Você também pode se interessar ? LGPD: Como adequar sua empresa
Conclusão
Por fim, conclui-se que a Lei Geral de Proteção de Dados representa um avanço na segurança de dados pessoais ao definir uma padronização elevada para a proteção das informações relacionadas à pessoa física. Com a aplicação correta da legislação, aliada à disseminação da cultura de privacidade de dados, surgirá um impacto positivo no desenvolvimento econômico e tecnológico no Brasil.
Patrícia Turcati é advogada e auxiliar jurídica do escritório Ribeiro Lourenço Advogados, especialista em LGPD.
