Lei Geral de proteção de dados — LGPD

8 min readJan 29, 2021

A LGPD — Lei Geral de Proteção de Dados (Lei 13.709/2018) é a lei brasileira que protege os dados pessoais dos que nela são cobertos. Em seu primeiro artigo explica sua essência.

Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Esta lei entrou em vigor em vigor em agosto de 2020, mas as sanções previstas nela serão válidas somente a partir de agosto de 2021.

A quem se aplica

• Aos dados pessoais de indivíduos localizados no Brasil;

• Quando o tratamento se dá no Brasil;

• Quando houver oferta de bens e serviços para indivíduos no Brasil.

Todos, brasileiros ou estrangeiros, que estão em território brasileiro, o tratamento de dados é realizado em território nacional, ou o produto (bens, e serviços) tem o destino o Brasil, a lei é aplicada.

A quem não se aplica

• Para dados provenientes e destinados a outros países, que apenas transitem pelo território nacional;

• Uso pessoal;

• Uso não comercial;

• Fins jornalísticos;

• Acadêmicos;

• Segurança pública.

Quando os dados não são tratados no Brasil, ou são exclusivamente para uso jornalístico (liberdade de imprensa), acadêmicos, segurança pública, uso pessoal ou não comercial, estes não estão englobados na LGPD.

O uso pessoal pode ser exemplificado com sua agenda de contatos no celular, seu grupo do whatsapp para churrasco. Estes a lei não será aplicada. Exemplificando o uso não comercial poderia ser o grupo de whatsapp interno da sua empresa, onde o tratamento é profissional (assim não caracteriza como uso pessoal) mas não tem conotação comercial.

Categoria de dados tratados

As principais classificações de dados citadas na lei seriam os dados pessoais, dados pessoais sensíveis e dados anonimizados.

Dados pessoais

Dado pessoal é toda e qualquer informação relacionada à pessoa natural (física) identificada ou identificável. Ou seja, o conceito abrange informações pessoais diretas, como nome, RG, CPF e endereço, bem como indiretas, como dados de geolocalização de dispositivo móvel, cookies, endereços IP e demais identificadores eletrônicos. Isso porque essas informações indiretas podem ser utilizadas para o monitoramento do comportamento, definição de perfis e, como resultado, identificação das pessoas a quem se referem.

Dados pessoais sensíveis

São dados que podem ser utilizados para gerar preconceito com o titular. São aqueles que envolvem informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, à organização de caráter religioso, filosófico ou político dos seus titulares. Também são sensíveis os dados referentes à saúde ou à vida sexual e os dados genéticos ou biométricos.

Os dados genéticos ou biométricos não são dados que possam gerar preconceito, mas as consequências de seu vazamento são irreversíveis. Uma pessoa não pode mudar seu DNA, sua digital ou íris e dificilmente mudariam o rosto a ponto de não ser reconhecido por algoritmos de reconhecimento facial. Sendo assim esses dados devem ser tratados com um cuidado muito maior que os dados pessoais mais comuns.

Dados anonimizados

São aqueles que não permitem a identificação, direta ou indireta, de seu titular e, portanto, estão fora do escopo de proteção da LGPD. Contudo, se o processo de anonimização de dados puder ser revertido, seja por meios próprios do controlador, ou mediante esforços razoáveis, a LGPD será, sim, aplicável.

Um exemplo disso seria uma pesquisa interna da empresa. Se nenhum dado que identifica a pessoa é guardado, os dados restantes serão considerados anonimizados.

Lembrando que se houver algum meio de identificar a pessoa, cruzando informações com outras bases, este dado é pseudo anonimizado.

O que é tratamento de dados

Tratamento de dados é qualquer uma das ações que podem ser realizadas com dados, como, coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle da informação, modificação, comunicação, transferência, difusão ou extração de dados pessoais.

Alguns direitos do titular

• A finalidade específica do tratamento de seus dados;

• A forma e a duração do tratamento;

• A identificação e as informações de contato do controlador;

• As finalidades e os destinatários do compartilhamento de dados pelo controlador;

• As responsabilidades das pessoas físicas e jurídicas responsáveis pelo tratamento;

• Os direitos dos titulares;

• Quando aplicável, a possibilidade de o titular não fornecer o consentimento para o tratamento de seus dados e as consequências de sua recusa; e

• Também quando aplicável, o direito ao esquecimento, onde os dados pessoais seriam eliminados da base de dados.

Importante salientar que quando questionado pelo titular de dados, a empresa deve, de forma simples, dar uma resposta imediata, tal como se a empresa tem dados pessoais do titular ou não, e de forma completa em até 15 dias.

Agentes de tratamento

Os agentes de tratamento são as pessoas (físicas ou jurídicas) que participam de alguma etapa do tratamento de dados. Eles são categorizados como:

• Controlador

Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

• Operador

Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador

Também temos outro papel que não é considerado agente de tratamento, mas é tão importante quanto os agentes:

• Encarregado (também chamado de DPO)

Pessoa física ou jurídica, cujas atividades serão aceitar reclamações, prestar esclarecimentos aos titulares e às autoridades, orientar as respectivas empresas e executar as diretrizes do diretor.

Bases legais para tratamento de dados pessoais

As bases legais são as justificativas em que se torna possível o tratamento de dados pessoais. A base utilizada vai depender de cada processo de negócio em que o dado é tratado.

• Consentimento do titular — art. 7, I, LGPD

• Cumprimento de obrigação legal ou regulatória — art. 7, II, LGPD

• Uso compartilhado de dados de administração pública — art. 7, III, LGPD

• Realização de estudos e pesquisas — art. 7, IV, LGPD

• Execução ou preparação de contrato — art. 7, V, LGPD

• Exercícios de direitos em processo judicial, administrativo ou arbitral — art. 7, VI, LGPD

• Proteção da vida ou da incolumidade física — art. 7, VII, LGPD

• Tutela da saúde do titular — art. 7, VIII, LGPD

• Legítimo interesse — art. 7, IX, LGPD

• Proteção do crédito — art. X, LGPD

Bases legais para tratamento de dados sensíveis

Como os dados sensíveis devem ter tratamento diferenciado por suas características, os mesmos têm menos bases legais em que podem ser utilizados.

• Consentimento do titular — art. 7, I, LGPD

• Cumprimento de obrigação legal ou regulatória — art. 7, II, LGPD

• Uso compartilhado de dados de administração pública — art. 7, III, LGPD

• Realização de estudos e pesquisas — art. 7, IV, LGPD

• Exercícios de direitos em processo judicial, administrativo ou arbitral — art. 7, VI, LGPD

• Proteção da vida ou da incolumidade física — art. 7, VII, LGPD

• Tutela da saúde do titular — art. 7, VIII, LGPD

• Proteção do crédito — art. X, LGPD

Observe que duas bases legais não estão listadas:

• Execução ou preparação de contrato — art. 7, V, LGPD

• Legítimo interesse — art. 7, IX, LGPD

Dados pessoais de menores de idade

Consentimento específico e em destaque a ser concedido por pelo menos um dos pais ou pelo responsável legal da criança. É proibido o compartilhamento de dados com terceiros sem o consentimento de um dos pais ou responsável legal.

É de responsabilidade dos controladores manter pública as informações sobre os tipos de dados coletados, as formas de utilização e os procedimentos para o exercício dos direitos dos titulares previstos na Lei.

Somente poderão ser coletados dados pessoais de crianças sem o consentimento de seus pais ou responsável legal, quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção

A participação dos titulares em jogos, aplicações de internet e outras atividades não deve ser condicionada ao fornecimento de informações pessoas além das estritamente necessárias à atividade;

É de responsabilidade do controlador realizar todos os esforços razoáveis para verificar que o consentimento foi dado pelos pais ou responsável legal pela criança, consideradas as tecnologias disponíveis.

Onde entra a TI em tudo isso?

Dar apoio para o encarregado de dados em atender as demandas do titular de dados

Onde estão os dados

a. Quais bases ou sistemas armazenam dados pessoais

Fluxo dos dados

a. Por onde passam estes dados

Quem tem acesso

a. Quem tem acesso aos dados e o nível de acesso em todos os pontos do fluxo

OK, entendi e agora?

• Levantamento de políticas, procedimentos que citam dados;

• Levantamento dos dados pessoais baseado nos processos levantados pelo DPO

• Criar template da avaliação de impacto a proteção de dados pessoais (DPIA)

• Criar template da avaliação de legitimo interesse (LIA)

• Implementar um processo de governança de dados

• Criar um catálogo de dados (Data Mapping — RoPa);

• Mapear o fluxo de dados;

• Criar políticas sobre dados;

• Criar matriz RACI para dados.

• Fazer plano de segurança da informação focado em dados

• Verificar possibilidade de criptografar bases da dados e FS de servidores

• Novos desenvolvimentos serem planejados considerando o privacy by design

Criar políticas de:

• Governança de dados e privacidade de dados pessoais;

• Compartilhamento seguro de dados pessoais;

• Guarda de informações e documentos (ciclo de vida) de dados pessoais;

• Anonimização;

• Uso de aplicativos de mensagem instantânea;

• Gestão de acessos de dados pessoais.

Gestão de incidentes

• Criar ou revisar a política de gestão de incidentes de dados pessoais;

• Revisar o processo de resposta a incidentes adicionando a frente de proteção de dados e privacidade;

• Criar um plano de comunicação à ANPD e titulares de dados para casos de incidentes.

Data Discovery

• Definir a ferramenta de descoberta de dados;

• Identificar os dados pessoais e sensíveis;

• Definir quais atributos customizados deve ser incluído no catálogo de dados;

• Definir o processo de restauração de dados pessoais;

• Definir o processo de deleção de dados pessoais;

• Definir o processo de anonimização de dados pessoais.

Conscientização

É de extrema importância a participação de todos da empresa neste processo. Todos, do board ao faxineiro passando por terceiros devem ter uma noção básica sobre proteção de dados pessoais.

Uma campanha de conscientização, treinamentos em níveis (mais completo para quem trabalha com dados pessoais, mais simples para o resto da empresa). A campanha pode incluir material escrito simplificado, flyer no quadro de avisos, cartilha distribuída aos colaboradores etc.

Gestão de acessos

Uma vez definidas as políticas e adquiridas as ferramentas, devemos organizar o que já temos.

• Revisar o processo de acessos de dados estruturados (banco de dados: BI, Oracle, SQL);

• Revisar os processos de acessos a dados não estruturados;

• Revisar os acessos dos usuários os dados estruturados e não estruturados.

Outros

Não deixando de rever e adequar outros pontos que envolvem os processos de dados pessoais.

• Monitoramento de log de auditoria;

• Adequações jurídicas;

• Gestão de consentimento;

• Mascaramento de dados;

• Auditoria do processo de implementação.

Finalizando

A adequação a LGPD não é um projeto com inicio, meio e fim, é um programa com constantes iterações e refinamentos, verificações e ajustes. Este processo envolve toda a empresa e sem todo se sentirem parte integrante do processo a adequação será só no papel.

—

Material fonte: Curso de Compliance em proteção de dados — LEC organizado por Alessandra Gonsales, Gianfranco Fogaccia Cinelli e Tae Young Cho