Entenda sobre dados pessoais e a Lei Geral da Proteção de Dados
A LGPD, Lei Geral de Proteção de Dados, é uma lei que busca regulamentar o tratamento de dados pessoais no Brasil. Sua maior preocupação é garantir maior segurança para consumidores e empresas em relação ao uso de dados. Para isso, ela prevê a responsabilidade compartilhada entre todos os envolvidos na relação de troca de informações.
Uma grande dificuldade das empresas para atender às regras estabelecidas pela Lei Geral da Proteção de Dados, é compreender o que pode, o que não pode e o que deve ser feito para que sua operação esteja de acordo com a regulamentação.
Afinal, a existência da norma não visa inibir o tratamento de dados, mas sim evitar que pessoas físicas e jurídicas façam “mau uso” das informações – e isso se aplica para pessoas e empresas, do setor público ou privado.
Diferença entre dados pessoais e dados sensíveis segundo a LGPD
De forma simplificada: conforme o artigo 5º da LGPD, dado pessoal é “qualquer informação relacionada a pessoa natural identificada ou que seja identificável”. Ou seja: qualquer informação que viabilize a identificação de uma pessoa é considerada um dado pessoal, seja isolada ou em conjunto com outras informações.
Dados não sensíveis (públicos): os dados ‘não sensíveis’ são as informações individuais de cada pessoa, como RG, CPF, endereço, nome completo, telefone, entre outros. Segundo as definições da legislação brasileira, essas informações são públicas, ou seja, de domínio público.
A LGPD, por sua vez, define situações em que essas informações podem ser tratadas pelas empresas. Abaixo explicamos mais sobre as 10 hipóteses em que as empresas podem utilizar dados pessoais.
Dados pessoais sensíveis: dados sensíveis são aqueles relacionados a características físicas ou comportamentais, ou seja, às escolhas ou à biologia de uma pessoa, como: convicção religiosa, origem racial ou étnica, opinião política, dados referentes à saúde ou à vida sexual, entre outros. Essas informações são consideradas sensíveis pois podem causar exposição de uma pessoa.
Dado anonimizado: os dados anonimizados são informações que não identificam uma pessoa de forma individualizada.
A Lei Geral da Proteção de Dados traz a visão de que não é necessário saber o nome ou o número do documento para individualizar uma pessoa e identificá-la; e um ponto importante para compreendermos é que os dados não são “estáticos”.
Vamos pensar sobre o significado de pessoa identificável. Uma pessoa pode não ser identificada a partir de um dado isolado, mas, se juntarmos outras informações e conseguirmos identificá-la, então o tratamento deve estar de acordo com os critérios da lei.
Dados pessoais de crianças e adolescentes segundo a LGPD
Para tratamento de dados de crianças e adolescentes, existe uma única regulamentação, independente do tipo de dado (se é sensível ou não). A lei determina que é obrigatório ter consentimento de um dos pais antes da coleta das informações.
Exceções: só são exceções de consentimento dos pais os casos em que a coleta é necessária para contatar os pais ou responsável legal (sendo que o dado só pode ser utilizado para esta finalidade e não pode ser armazenado), ou para proteção da criança.
Além disso, segundo a lei, o controlador (quem utilizará o dado) deverá “manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos a que se refere o art. 18 desta Lei”.
O que é “tratamento de dados” para a LGPD?
Entendido o que são dados pessoais sensíveis e não sensíveis, vamos analisar a definição de tratamento de dados.
Segundo a LGPD, o tratamento é definido como qualquer coisa que possa ser feita com uma informação.
Isso engloba coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, controle da informação, modificação, comunicação, transferência, difusão e extração.
Apenas a visualização de uma informação já é equivalente a um tratamento. E qualquer outra ação que possa ser tomada em relação aos dados pessoais também é considerada tratamento de dados.
GDPR e LGPD: proteção de dados no Brasil e no mundo
A GDPR – General Data Protection Regulation é a norma que regulamenta o uso de dados nos países da União Europeia. O regulamento foi publicado em 2016 e entrou em vigor em maio de 2018.
Uma questão importante sobre a GDPR é que ela se aplica a qualquer empresa, de qualquer lugar do mundo, que processe dados de cidadãos da União Europeia. Ou seja: as empresas brasileiras que têm atuação no exterior devem se preparar para atender às regras tanto na regulamentação europeia como na brasileira.
A LGPD foi criada baseando-se na GDPR, tendo os mesmos princípios para sua construção. E um dos pontos em comum é que a lei brasileira também tem aplicação fora do território nacional, o que significa que empresas com sedes estrangeiras devem obedecer às regras da LGPD sempre que os dados pessoais forem tratados no Brasil.
Outro ponto em comum entre as duas regulamentações é que ambas têm objetivo de deixar as pessoas no comando dos próprios dados. A proposta das duas leis é garantir que o consumidor controle e tenha conhecimento sobre a finalidade do uso de seus dados por pessoas e empresas, independente do meio de coleta (físico ou digital).
Como e quando as empresas podem se preparar para a LGPD?
A ANPD – Autoridade Nacional da Proteção de Dados será responsável pela fiscalização do cumprimento ou não da LGPD. Assim que a lei entrar em vigor, as empresas que não estiverem de acordo com as normas serão punidas de acordo com os critérios estabelecidos.
Para garantir que toda a operação da empresa esteja de acordo com a regulamentação, é necessário fazer uma análise da relação que a organização tem com todos os públicos que atinge, listando os pontos de contato que envolvem dados pessoais. Isso engloba desde funcionários e fornecedores até parceiros e clientes.
É importante analisar como é feita a coleta de dados, onde eles ficam armazenados, quem tem acesso a essas informações, qual a finalidade do tratamento, entre outros cenários.