O que é a LGPD? Lei Geral de Proteção de Dados do Brasil

A Lei Geral de Proteção de Dados Pessoais (LGPD) é uma nova lei que foi aprovada pelo Congresso Nacional do Brasil em 14 de agosto de 2018 e entra em vigor em 15 de agosto de 2020.

A LGPD cria um marco legal para o uso de dados pessoais de pessoas físicas no Brasil, independentemente de onde o processador de dados esteja localizado. É modelado de perto após o Regulamento Geral de Proteção de Dados da União Europeia (GDPR) e, como o GDPR, a LGPD tem consequências de longo alcance para as atividades de processamento de dados dentro e fora do Brasil.

Qual é a essência da LGPD?

A LGPD confere aos titulares nove direitos, define o que constitui dados pessoais e cria dez bases legais para o tratamento lícito de dados pessoais.

Também estabeleceu a nova autoridade nacional de proteção de dados do Brasil, a Autoridade Nacional de Proteção de Dados (ANPD), que é responsável pela supervisão, orientação e aplicação de suas sanções administrativas.

As organizações serão obrigadas a nomear um Diretor de Proteção de Dados (DPO). Além disso, a LGPD introduz a notificação obrigatória de violação de dados.

A quem a LGPD se aplica?

No artigo 3º da LGPD, ela descreve que ela se aplica a:

• Processamento de dados dentro do território do Brasil
• Tratamento de dados de indivíduos que se encontrem no território do Brasil, independentemente de onde no mundo o processador esteja localizado
• Tratamento de dados coletados no Brasil

Isso significa que não são apenas os cidadãos brasileiros cujas informações pessoais são protegidas, mas qualquer indivíduo cujos dados tenham sido coletados ou processados enquanto estão no Brasil.

Organização para documentar o processamento de dados pessoais desde a coleta inicial até o término, fornecer uma descrição do que é coletado, a finalidade da coleta e processamento, o tempo de retenção e com quem os dados são compartilhados.

Os controladores ou processadores de dados podem ser responsabilizados conjunta ou separadamente por violações e vazamentos de dados, bem como pelo não cumprimento da LGPD.

Quem está isento da LGPD?

A LGPD não se aplica a:

• Dados processados por uma pessoa para fins estritamente pessoais
• Dados exclusivamente para fins jornalísticos, artísticos, literários ou acadêmicos
• Dados exclusivamente para segurança nacional, defesa nacional, segurança pública, investigações criminais ou atividades de punição

Quais são os nove direitos dos titulares de dados de acordo com a LGPD?

O artigo 18 da LGPD descreve que os indivíduos têm o direito de:

1. Confirmar a existência do tratamento dos seus dados
2. Acessar seus dados
3. Corrigir dados incompletos, imprecisos ou desatualizados
4. Anonimizar, bloquear ou excluir dados desnecessários ou excessivos ou dados que não estejam sendo processados em conformidade com a LGPD
5. Portabilidade dos dados, ou seja, entregues a outro serviço ou processador, se solicitado
6. Ter seus dados excluídos
7. Informações sobre entidades públicas e privadas com as quais o controlador compartilhou dados
8. Informações sobre a possibilidade de negar o consentimento e as consequências
9. Revogar o consentimento

Esses direitos são modelados de perto após os direitos que os cidadãos europeus têm sob o GDPR e têm implicações diretas para organizações em todo o mundo.

Quais são as 19 Definições da LGPD?

O artigo 5º da LGPD possui 19 definições:

1. Dados pessoais: informações sobre uma pessoa física identificada ou identificável, semelhante a informações de identificação pessoal (PII)
2. Dado pessoal sensível: Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual (PHI), dado genético ou biométrico, quando relacionado a uma pessoa natural.
3. Dado anonimizado: Dado relacionado a um titular de dados que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis no momento do tratamento
4. Base de dados: Conjunto estruturado de dados pessoais, conservados num ou vários locais, em suporte eletrónico ou físico
5. Titular dos dados: Uma pessoa física a quem se referem os dados pessoais que são objeto de tratamento
6. Controlador: Pessoa natural ou jurídica, de direito público ou privado, que tenha competência para tomar as decisões relativas ao tratamento de dados pessoais
7. Operador: Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador
8. Responsável: Pessoa física, indicada pelo controlador, que atua como canal de comunicação entre o controlador e os titulares dos dados e a autoridade nacional
9. Agentes de tratamento: O responsável pelo tratamento e o subcontratante
10. Tratamento: Toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração
11. Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais os dados perdem a possibilidade de associação direta ou indireta com um indivíduo
12. Consentimento: Manifestação livre, informada e inequívoca pela qual o titular dos dados concorda com o tratamento de dados pessoais para uma determinada finalidade
13. Bloqueio: Suspensão temporária de qualquer operação de tratamento, por meio da retenção dos dados pessoais ou do banco de dados
14. Eliminação: Exclusão de dados ou de um conjunto de dados armazenados numa base de dados, independentemente do procedimento utilizado
15. Transferência internacional de dados: Transferência de dados pessoais para um país estrangeiro ou para uma entidade internacional da qual o país é membro
16. Uso compartilhado de dados: Comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicas, no cumprimento de suas competências legais, ou entre estes e entes privados, reciprocamente, com autorização específica, para um ou mais tipos de tratamento permitidos por esses entes públicos, ou entre entes privados
17. Relatório de impacto sobre a proteção de dados pessoais: Documentação do controlador que contém a descrição dos procedimentos de tratamento dos dados pessoais que podem gerar riscos às liberdades civis e direitos fundamentais, bem como medidas, garantias e mecanismos para mitigar o risco
18. Órgão de pesquisa: Órgão ou entidade da administração pública, direta ou indireta, ou pessoa jurídica de direito privado, sem fins lucrativos, legalmente constituída sob a lei brasileira, com sede e jurisdição no Brasil, que inclua em sua missão institucional ou em seus fins sociais ou estatutários pesquisa básica ou aplicada de natureza histórica, científica, tecnológica ou estatística
19. Autoridade nacional: Órgão da administração pública indireta responsável por fiscalizar, implementar e fiscalizar o cumprimento da LGPD.

Quais são as Dez Bases Legais para o Tratamento Lícito de Dados Pessoais de acordo com a LGPD?

As dez bases legais para o processamento legal são descritas no Artigo 7 como:

1. Com o consentimento do titular dos dados
2. Para cumprimento de obrigação legal ou regulatória pelo controlador
3. Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis ou regulamentos, ou com base em contratos, convênios ou instrumentos similares, observados o Capítulo IV da LGPD
4. Para a realização de estudos por entidades de pesquisa, garantindo, sempre que possível, a anonimização dos dados pessoais
5. Quando necessário para a execução de um contrato ou procedimentos preliminares relacionados com um contrato em que o titular dos dados seja parte, a pedido do titular dos dados
6. Para o exercício regular de direitos em processos judiciais, administrativos ou arbitrais, sendo este último nos termos da Lei de Arbitragem Brasileira
7. Para a proteção da vida ou da incolumidade física do titular dos dados ou de terceiros
8. Para proteger a saúde, em procedimento realizado por profissionais de saúde ou por entidades de saúde
9. Quando necessário para satisfazer interesses legítimos do responsável pelo tratamento ou de terceiro, exceto quando prevaleçam os direitos e liberdades fundamentais do titular dos dados que exijam proteção de dados pessoais
10. Para a proteção do crédito

O que é a Autoridade Nacional de Proteção de Dados (ANPD)?

A Autoridade Nacional de Proteção de Dados (ANPD) é a nova autoridade de proteção de dados do Brasil.

Seu principal objetivo é estabelecer novas normas, estabelecer padrões técnicos, supervisionar e auditar, educar, lidar com notificações de violação de dados e aplicar sanções.

A ANPD estará vinculada ao gabinete da presidência e terá dois órgãos:

1. Conselho de Administração: Cinco membros com experiência em privacidade e proteção de dados
2. Conselho Nacional: Um conselho consultivo de 23 membros com representação do governo, sociedade civil, instituições de pesquisa e setor privado

Por que a LGPD é importante?

A LGPD é importante porque é uma lei de privacidade com "aplicação extraterritorial", o que significa que as organizações que processam dados pessoais de brasileiros serão obrigadas a cumprir a LGPD, independentemente de onde sejam de propriedade ou operadas, assim como GDPR ou CCPA.

Como o Brasil tem mais de 138 milhões de usuários de internet, tornando-se o maior mercado de Internet da América Latina e o quarto maior do mundo, há uma grande chance de que sua organização precise estar em conformidade com a LGPD.

O governo brasileiro projetou a LGPD para alcançar um acordo de adequação com a UE para garantir um livre fluxo de dados entre os dois.

Por que a LGPD foi criada?

Antes da LGPD, a proteção de dados pessoais no Brasil era aplicada por mais de 40 normas legais em nível federal, incluindo o Marco Civil da Internet (Lei da Internet) e o Código de Defesa do Consumidor.

O problema com essa abordagem foi que ela criou uma estrutura legal complexa em que os direitos se aplicavam em nível setorial, o que significa que diferentes setores tinham regulamentações diferentes.

A LGPD é uma aplicação transversal e multissetorial, portanto, substitui e/ou complementa o marco regulatório setorial, fornecendo um conjunto simplificado de direitos aos indivíduos, aplicando-se aos setores público e privado e às fontes online e offline.

Isso é semelhante ao GDPR na UE e CCPA na Califórnia, e é por isso que muitos chamam a LGPD de GDPR do Brasil.

Embora existam muitas semelhanças, existem diferenças importantes entre a LGPD e o GDPR.

Como a LGPD afeta a segurança cibernética?

A LGPD exige que controladores e operadores adotem medidas técnicas e administrativas para proteger os dados pessoais contra acesso não autorizado, destruição, perda, alteração e exposição acidentais ou lícitas.

Observe que as organizações podem ser responsabilizadas pelas ações de fornecedores terceirizados, outra razão pela qual o gerenciamento de risco do fornecedor está se tornando mais importante.

Como a LGPD é semelhante ao GDPR?

Além de sua aplicação extraterritorial, a LGPD e o GDPR concordam em vários princípios básicos quando se trata de proteção de dados e sua definição de dados pessoais é semelhante.

A LGPD afirma em vários lugares que dados pessoais podem significar qualquer dado que, por si só ou combinado com outros dados, possa identificar uma pessoa natural ou sujeitá-la a um tratamento específico, que é um lugar onde é mais amplo que o GDPR.

A outra semelhança são seus direitos fundamentais. A LGPD tem nove direitos fundamentais e o GDPR tem oito direitos fundamentais, apesar da contagem diferente, são essencialmente os mesmos direitos.

Quais são as diferenças entre a LGPD e o GDPR?

Apesar das semelhanças e da influência que o GDPR teve sobre os legisladores brasileiros, existem diferenças importantes entre a LGPD e o GDPR.

Embora ambos os atos exijam que as organizações contratem um Diretor de Proteção de Dados (DPO), o GDPR descreve quando um DPO é necessário, enquanto a LGPD afirma que "O controlador deve nomear um oficial para ser responsável pelo processamento de dados".

Isso sugere que qualquer organização que processe dados sobre pessoas no Brasil precisará contratar um DPO, um dos poucos lugares onde a LGPD é mais rigorosa que o GDPR.

Indiscutivelmente, a diferença mais significativa entre a LGPD e o GDPR é o que se qualifica como base legal para o processamento de dados confidenciais. O GDPR descreve seis bases legais para o processamento e um controlador de dados deve escolher uma delas como justificativa, enquanto a LGPD lista dez. A décima base legal da LGPD, para proteger o crédito, é um afastamento substancial do GDPR.

Os requisitos de notificação de violação de dados são outra parte em que as duas leis diferem. Embora ambos exijam que as violações de dados sejam relatadas à autoridade local de proteção de dados, o nível de especificidade varia. O GDPR é explícito, as organizações devem relatar uma violação de dados dentro de 72 horas.

A LGPD não dá prazo firme, afirmando que "o controlador deve comunicar à autoridade nacional e ao titular dos dados a ocorrência de incidente de segurança que possa criar risco ou dano relevante aos titulares dos dados... num prazo razoável, tal como definido pela autoridade nacional. ”

Por fim, as multas máximas por infrações sob o GDPR são muito maiores do que sob a LGPD. As violações do GDPR pagam até € 20 milhões ou 4% da receita global anual, o que for maior.

A multa máxima de acordo com a LGPD é de "2% da receita de uma pessoa jurídica privada, grupo ou conglomerado no Brasil, para o ano fiscal anterior, excluindo impostos, até um máximo total de 50 milhões de reais (~ $12,8 milhões de dólares)".