Imagine que, enquanto realiza as campanhas publicitárias, um político consiga acessar seus dados pessoais compartilhados na internet como nome, telefone, e-mail e até dados comportamentais, como suas preferências políticas, gostos e hábitos.

E, de posse desses dados, ele passe a desenvolver campanhas mais focadas para convencer você a votar nele. Tudo isso, claro, sem o seu conhecimento ou consentimento. Um cenário nada agradável, não é mesmo?

Foi para proteger os cidadãos de situações como essa (que já aconteceram) que nasceu a LGPD, Lei Geral de Proteção de Dados Pessoais, sancionada em agosto de 2018 e que passará a valer em 2020.

Quer entender melhor a LGPD? Continue a leitura!

 

O que é a LGPD?

A LGPD, ou Lei Geral de Proteção de Dados, foi sancionada no governo Temer em 2018 e deverá começar a vigorar em 2020. Ela foi inspirada na General Data Protection Regulation (GDPR) da União Europeia e estabelece as definições a respeito da coleta, armazenamento e uso de dados pessoais.

Para entender a lei, é preciso compreendermos alguns termos usados nela, que são:

• dados pessoais: toda e qualquer informação relacionada a pessoa natural identificada ou identificável. Por exemplo, nome, CPF, RG, telefone, celular, endereço etc. Não entram nessa classificação os dados referentes à pessoas jurídicas, como CNPJ de uma empresa, razão social, endereço comercial etc.;
• dados pessoais sensíveis: é todo dado pessoal capaz de gerar discriminação, como os dados referentes à origem racial ou étnica, crenças religiosas, opinião política, filiação a sindicatos, preferências sexuais e outros;
• titular: pessoa natural a quem se referem os dados;
• tratamento: toda operação realizada com os dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
• controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes aos tratamentos dos dados pessoais;
• processador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento dos dados pessoais em nome do controlador;
• encarregado: é indicado pelo controlador que faz a comunicação entre os titulares que terão seus dados processados e o controlador;
• consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento dos seus dados pessoais para uma finalidade determinada;
• anonimização ou pseudoanonimização: quando um dado tem sua associação dificultada por algum processo técnico ele é chamado de dado pseudoanonimizado. Um dado anonimizado é aquele que não pode ser identificado ou rastreado de forma alguma.

Assim, a intenção da LGPD é garantir aos usuários mais privacidade e controle sobre seus dados, evitando o mau uso deles por terceiros. A lei também esclarece os casos em que as empresas podem tratar os dados pessoais, ou seja, quando é permitido a sua armazenagem, processamento e transferência.

 

Quais são os direitos dos usuários e as obrigações das empresas?

A LGPD permite ao usuário acessar seus dados a qualquer momento e avaliar se eles estão sendo tratados. O titular ainda pode descobrir com quais instituições seus dados foram compartilhados, corrigir dados incorretos, alterar os que já expiraram, transferir esses dados para outras entidades públicas ou privadas, deletar seus dados e até revogar o consentimento de acesso.

A lei é aplicada a todos os setores da economia e possui aplicação extraterritorial, ou seja, é válida para toda e qualquer empresa que tenha negócios no país. Além disso, a partir da lei, as empresas que manipulam dados devem estabelecer um Comitê de Segurança da Informação para analisar seus procedimentos internos, com a proteção dos dados e cumprimento da lei.

Ou seja, a partir de agora, as empresas devem garantir a segurança dos dados pessoais tratados e comunicar incidentes de segurança da informação ao órgão regulador, sendo que, dependendo do incidente, ele também deverá ser comunicado ao titular dos dados.

 

Como se adequar a LGPD?

O primeiro passo para se adequar à LGPD é fazer um mapeamento detalhado de todos os dados pessoais tratados pela empresa, bem como o seu ciclo de vida.

Saber onde estão, como estão armazenados, quem tem acesso a eles, se são compartilhados com terceiros e quais os riscos associados ao ciclo de vida são algumas questões essenciais que devem ser atendidas pelas empresas antes de estabelecer o programa de implementação de segurança de dados.

As tecnologias também são importantes, com a implementação de medidas para proteção de dados pessoais na base da empresa e com a adoção do Privacy by Design, ou seja, a proteção desde a concepção do produto ou sistema.

 

Consentimento para tratamento de dados

A LGPD determina que o consentimento do usuário para o tratamento de dados deve ser claro e não estar presente em entrelinhas dentro de termos e condições intermináveis.

Ou seja, a autorização precisa ser clara, fazendo com que o usuário saiba quais dados ele está permitindo que sejam tratados por terceiros, assegurando maior controle ao usuário.

Outro ponto que muda com a LGPD é a proteção de crédito. Antes da lei, os bancos podiam trocar as informações de crédito dos clientes. Com a lei, os usuários precisarão permitir que esses dados sejam comunicados entre os bancos e instituições financeiras.

 

Por que a LGDP foi sancionada?

Desde o Marco Civil da Internet, de 2014, a LGPD já engatinhava. Porém, sua aprovação foi acelerada devido aos escândalos de 2018, como o caso Cambridge Analytica.

O Facebook continha uma brecha nos seus termos e condições. Embora dissesse que nenhum dado coletado pela rede social pudesse ser vendido, essa restrição não se estendia aos aplicativos que usavam a rede social.

Assim, os dados de milhões de usuários do Facebook que fizeram um teste psicológico elaborado por Aleksandr Kogan e produzido pela Science Research foram vendidos à Cambridge Analytica – empresa que fazia análise de dados e que era contratada pela campanha presidencial de Donald Trump e pelo grupo que promovia a saída do Reino Unido da União Europeia (Brexit).

A partir desses dados, a Cambridge Analytica analisava o perfil do eleitor e direcionava a ele propaganda em favor do movimento político que tivesse contratado seus serviços.

A proposta da LGPD foi impulsionada devido a esse escândalo, porque a Cambridge Analytica planejava atuar nas eleições do Brasil e também porque não havia nenhuma outra lei que regulasse o tratamento de dados pessoais no país.

 

O que acontece com quem descumprir a LGPD?

São várias as penalidades para quem descumprir a LGPD que envolvem proibição total ou parcial de atividades relacionadas ao tratamento de dados e multas – que podem corresponder até 2% do faturamento da empresa ou conglomerado limitado a até R$ 50 milhões por infração cometida.

Uma infração pode ser interpretada no caso de um vazamento de dados ou como cada dado pessoal vazado, isso significa que, se milhares de dados vazarem de uma empresa, cada dado poderá custar até R$ 50 milhões em multas.

Neste conteúdo, você aprendeu mais sobre o que é a LGPD, porque ela foi sancionada e como ela ajuda a proteger os dados dos usuários, impedindo que as empresas compartilhem essas informações com terceiros.

Gostou de saber mais sobre a LGPD? Compartilhe essa informação com seus amigos nas suas redes sociais!