Você está pronto para a nova lei de proteção de dados?

Desde meados do mês de agosto o Brasil entrou em uma nova fase no âmbito das relações digitais na gestão de dados e informações. A partir da entrada em vigor da Lei Geral de Proteção de Dados Pessoais (13.709/2018), prevista para acontecer em 16 de fevereiro de 2020, um conjunto de regras específicas começará a vigorar no país para garantir a segurança e a transparência na internet e em quaisquer outras plataformas em que ocorra o tráfego de informações entre pessoas físicas e/ou jurídicas.

A ideia fundamental do texto é, conforme apresentado no artigo primeiro, “regulamentar o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, objetivando proteger os direitos fundamentais de liberdade e privacidade, bem como o livre desenvolvimento da personalidade da pessoa natural”. Para não manter-se à margem dessa legislação específica, é fundamental ter ciência da maior parte dela possível e repassar as práticas de segurança de dados e tratamento de informação adotadas pelo seu negócio. Afinal, será que você está totalmente adequado às exigências dessa nova regulamentação?

Para ajudá-lo a compreender este cenário e tirar todas as dúvidas sobre as obrigações e adequações necessárias, nós disponibilizamos um e-book gratuito que pode ser baixado a partir deste link. Nele, você encontrará detalhes sobre a Lei Geral de Proteção de Dados Pessoais e observações importantes feitas pelo consultor em inteligência Humberto Sá Garay. Pós-graduado pela Fundação Getúlio Vargas em Inteligência Empresarial, especializado em Políticas e Gestão Estratégica de Segurança Pública pela Universidade Federal do Rio Grande do Sul (UFRGS) e bacharel em Ciências Militares — área de Defesa Social pela Academia de Polícia Militar da Brigada Militar, Humberto atua na Dígitro Tecnologia S/A.

 

Clique aqui e certifique-se de estar lidando corretamente com os dados e a segurança das informações do seu público.


A importância da legislação

Uma das frases mais populares desde que a interação das pessoas com a internet e as redes sociais começou a crescer é “se o produto é grátis, você é o produto”. Simples e objetiva, ela deixa clara uma relação que pode não estar clara para muitos usuários — mas nem por isso deixa de ser absolutamente verdadeira: todos os dados valem muito e oferecer um serviço em troca de rastros digitais parece ser um preço justo para grandes organizações.

A conta fecha porque a vida de qualquer usuário pode ser completamente mapeada por meio da interpretação de dados pessoais, atividade executada por diversas tecnologias digitais. Tais registros deixam de simbolizar comportamentos isolados e passam a compor um histórico denso, extremamente claro e altamente verossímil armazenado em bases de dados cada vez maiores. É por isso que a aprovação de uma legislação ampla como a brasileira é importante para a manutenção das boas relações entre empresas e pessoas na internet.

Para o consultor Humberto Garay, “a proteção de dados pessoais diz respeito à forma como as empresas e os governos podem nos oferecer bens e serviços com base no processamento dos dados pessoais. São informações que não entregam apenas a nossa identidade, mas também nossos hábitos pessoais, sobre o consumo de produtos, comportamento, opinião política ou filosófica, orientação sexual, preferências gastronômicas, artísticas, culturais etc.”. Por essa razão, outras leis mais antigas já tratavam sobre as permissões e proibições de práticas envolvendo os dados pessoais — algumas, inclusive antes de a internet comercial existir, como as resoluções 22 e 29 do Conselho da Europa, que versavam sobre os bancos de dados automatizados. É de lá também o Regulamento Geral de Proteção de Dados (GDPR), válido desde o dia 25 de maio, que foi a base para a elaboração da lei brasileira.

Vazamento de dados

Três episódios recentes ocorridos em outros países serviram para impulsionar os legisladores brasileiros a se debruçarem sobre um assunto que, pra muita gente, é pouco importante ou inofensivo. Foram eles:

  • 2013:

Empresas como Google e Facebook violaram a privacidade dos usuários ao permitirem o acesso da Agência de Segurança Norte-americana (NSA, na sigla em inglês) às informações sigilosas. Depois disso, o mundo começou a prestar mais atenção na questão e o próprio Brasil viu o Congresso Nacional formar uma Comissão Parlamentar de Inquérito que ficou conhecida como CPI da Espionagem.

  • 2015:

O banco de dados do site de relacionamentos extraconjugais Ashley Madison foi invadido e detalhes pessoais de mais de 37 milhões de usuários foram copiados. Em mãos erradas, as informações circularam e promoveram desde extorsões até casos de suicídio.

  • 2018:

Uma consultoria inglesa coletou dados de milhares de usuários do Facebook por meio de uma pesquisa lançada no feed dos frequentadores da rede a partir de técnicas avançadas de mineração e análise estratégica de dados. O mundo inteiro viu o tamanho do problema e começou a avaliar com mais atenção a necessidade do tratamento de dados pessoais, sobretudo de usuários comuns (cidadãos), e o combate ao uso indiscriminado para manipulações eleitorais e políticas.

Para que essas situações não ocorram novamente, é consenso entre os especialistas e diversos membros da sociedade que utiliza a internet como plataforma de comunicação e realização de negócios que as alterações precisam ser profundas para não permitir brechas técnicas e de interpretação. Até a entrada em vigor da lei, prevista para o dia 16 de fevereiro de 2020, procedimentos precisam ser revistos para que as alterações surtam efeito mas mantenham os serviços operando. Empresas que lidam com a coleta, análise, difusão e armazenamento de dados precisam estar atentas às novas diretrizes para atenderem aos requisitos da LGPD e não realizarem operações que serão consideradas ilegais. As bases para isso estão nos sete fundamentos da LGPD:

  1. Respeito à privacidade;
  2. Autodeterminação normativa;
  3. Liberdade de expressão, de informação, de comunicação e de opinião;
  4. Inviolabilidade da intimidade, da honra e da imagem;
  5. Desenvolvimento econômico, tecnológico e inovação;
  6. Livre iniciativa, livre concorrência e defesa do consumidor;
  7. Direitos humanos, livre desenvolvimento da personalidade, dignidade e exercício da cidadania por pessoas naturais.

Para compreender melhor o impacto de cada um desses fundamentos na forma como a sua empresa se relaciona com os clientes e o mercado, acesse o nosso e-book gratuito.

Terminologias

Para garantir a interpretação correta das regras jurídicas que estão no texto da LGPD brasileira, os legisladores definiram vetores hermenêuticos que definem quem são os envolvidos e as estruturas em questão, além de designar ações no trato com os dados:

  • Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
  • Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
  • Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
  • Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
  • Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
  • Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
  • Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
  • Encarregado: pessoa natural, indicada pelo controlador, que atua como canal de comunicação entre o controlador e os titulares e a autoridade nacional;
  • Agentes de tratamento: o controlador e o operador;
  • Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
  • Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
  • Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
  • Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
  • Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
  • Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
  • Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
  • Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
  • Órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;
  • Autoridade nacional: órgão da administração pública indireta responsável por zelar, implementar e fiscalizar o cumprimento desta Lei.


Aplicação da lei

Como você já leu neste artigo, a nova lei vai entrar em vigor no começo de 2020. Mas o prazo não é tão grande assim, considerando que muitas organizações terão que promover mudanças significativas — de ordem técnica, jurídica e operacional — para garantir o cumprimento de todas essas exigências.

— A lei será aplicável a toda operação de tratamento que seja realizada no território nacional e na qual os dados pessoais, objeto do tratamento, tenham sido coletados no Brasil —, diz o consultor Humberto Garay, da Dígitro.

Para fins legais, o local em que a coleta do dado ocorreu é o que conta para a aplicação da lei brasileira, e por tratamento de dados compreende-se toda operação realizada com informações pessoais como as que se referem, além da coleta, à produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle realizada por uma empresa ou pessoa.

Para saber mais sobre a Lei Geral de Proteção dos Dados Pessoais brasileira, os critérios de exclusão, quais são os procedimentos adequados para o tratamento dos dados e ainda os direitos do titular, as obrigações do poder público, operações entre os países e outros aspectos fundamentais do texto, leia o nosso e-book gratuito e completo sobre o assunto.

Clique aqui para baixar o e-book gratuito sobre a nova lei brasileira de proteção de dados digitais