A Lei Geral de Proteção de Dados Pessoais (LGPD) foi criada para proteger os dados pessoais dos brasileiros compartilhados de forma digital, coletados, armazenados e manipulados pelas empresas, onde terão a obrigação de informar aos seus clientes como esses dados são tratados, pedir permissão para serem compartilhados e terão responsabilidade sobre seus vazamentos, se houver.
A lei se refere a dados pessoais, sendo informação relacionada a pessoa natural identificada ou identificável, como nome, estado civil, idade, situação patrimonial, e-mail, telefone, endereço, número de IP, placa do carro, etc., referentes a dados consumidores, usuários, prospects, empregados, independente do país da sede ou no qual os dados estejam localizados. A lei também menciona os dados pessoais sensíveis, que são aqueles dados pessoais sobre a origem racial ou étnica, as convicções religiosas, as opiniões políticas, a filiação a sindicatos ou a organizações de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural. O tratamento destes dados sensíveis é abordado com maior rigor pela lei, sendo vedado o seu tratamento, exceto em hipóteses específicas trazidas pela lei.
A lei se aplica a toda operação realizada com dados pessoais, como a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração, ou seja, uma abrangência ponta-a-ponta, desde a entrada do dado em determinada entidade, todo o período de permanência, até sua eventual saída.
O objetivo é regulamentar o tratamento de dados pessoais por pessoas ou entidades do setor privado ou público, obtido em qualquer tipo de suporte (papel, eletrônico, informático, som e imagem, etc).
O primeiro ponto da lei é a transparência: deve-se informar ao titular com exatidão e clareza qual a finalidade do armazenamento dos dados. A lei prevê que os dados podem ser tratados sem consentimento do titular nas seguintes hipóteses:
- Cumprimento de obrigação legal ou regulatória
- Execução de políticas públicas
- Realização de estudos por órgãos de pesquisa
- Execução de contrato
- Exercício regular de direitos, processo judicial ou administrativo
- Proteção da vida ou incolumidade física
- Tutela da saúde
- Legítimo interesse (dados utilizados para fins já esperados pelo titular, quando o impacto à privacidade for mínimo e quando houver justificativa irrefutável para o tratamento)
- Proteção e crédito.
A lei também prevê os deveres da empresa em caso de violação de dados pessoais, como roubo de um pendrive, hack do sistema, perda do controle sobre a base, vazamento de informações, ransomware, entre outros. E, neste caso, é obrigação da empresa notificar dentro de um prazo razoável a Autoridade Nacional (ANPD) e o titular dos dados sobre o ocorrido.
- A natureza dos dados pessoais afetados;
- Informações sobre os titulares envolvidos;
- As medidas técnicas e de segurança utilizadas para proteção dos dados;
- Os riscos relacionados ao incidente;
- O motivo do prazo de notificação, quando não for imediato;
- E as medidas para reverter ou mitigar o prejuízo.
