Apoie com um cafezinho
Olá visitante!
Cadastre-se

Esqueci minha senha

  • sacola de compras

    sacola de compras

    Sua sacola de compras está vazia.
Seja bem-vindo Visitante!
  • sacola de compras

    sacola de compras

    Sua sacola de compras está vazia.

Opinião

Lei Geral de Proteção de Dados: o que é, quais as implicações e quem tem a ver com isso

Por Edison Fontes
 
A Lei Geral de Proteção de Dados Pessoais – LGPD, afeta todas as organizações que tratam dados pessoais de pessoas naturais que se encontram no território nacional. Inclusive as igrejas. É necessário que a direção de cada comunidade religiosa entenda o que é a LGPD e implemente os controles necessários para ficar em conformidade com a lei. Lembramos que a LGPD está em vigor desde 18 de setembro de 2020.
 
Para facilitar o entendimento da Lei Geral de Proteção de Dados Pessoais, LGPD, apresentamos este artigo contendo os principais controles, características e obrigações que você deve conhecer, bem como um primeiro passo para um projeto de conformidade com a lei. Evidentemente, este texto é um passo inicial e não esgota o assunto. Posteriormente uma leitura da lei completa da lei deve ser realizada. 
 
A lei
 
A LGPD dispõe sobre o tratamento de dados pessoais de pessoa natural. Este tratamento pode ser realizado por outra pessoa natural ou por pessoa jurídica de direito público ou privado. 
 
Seu objetivo é proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. 
 
Com esta lei o Brasil se posiciona como um Estado que deseja proteger os dados pessoais das pessoas naturais localizadas no seu território nacional. 
 
A LGPD se baseia no regulamento da União Europeia, GDPR – General Data Protection Regulation, que entrou em vigor em 25 de maio de 2018.
 
A regra máxima
 
Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos de liberdade, de intimidade e de privacidade. Em resumo: você é o dono dos seus dados pessoais, tem direitos sobre eles, e as organizações somente poderão utilizar seus dados pessoais se cumprirem as regras de permissão para uso de dados pessoais (Base Legal).
 
Principais definições
 
1. Pessoa Natural: é o Titular dos seus dados pessoais. É o dono destes dados. 
 
2. Dado Pessoal: informação relacionada a pessoa natural, que identifica ou pode identificar esta pessoa.
 
3. Dado Pessoal Sensível: é o dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dado referente à saúde ou a vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
 
4. Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
 
5. Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador.
 
6. Tratamento: qualquer operação realizada com Dados Pessoais. É o Prestador de Serviços.
 
Aplicação da lei
 
A LGPD aplica-se a qualquer tratamento de Dados Pessoais, que tenham sido coletados no território nacional, ou serviços oferecidos a pessoas localizadas no território nacional ou o tratamento seja realizado no território nacional. Isto significa que independe do país sede da organização.
 
Base legal

Base Legal significa as opções que obrigatoriamente devem ser consideradas para a realização de qualquer tratamento de dado pessoal. Isto significa que a organização precisa identificar todos os dados pessoais sob sua responsabilidade, e para cada um deles, identificar a Base Legal para o tratamento que realiza. Vamos comentar as mais utilizadas:
 
a. Fornecimento de consentimento pelo Titular
O Titular precisa explicitamente dar o seu consentimento para o tratamento dos seus dados pessoais.
 
b. Obrigação legal ou regulatória pelo Controlador
Quando existe uma lei que exige o tratamento de dados pessoais.
 
c. Execução de Contrato ou Diligências pré-contratuais
Quando existe ou existirá um contrato com a pessoa natural 
 
As demais opções de Base Legal são:
- Execução de políticas públicas previstas em lei.
- Estudos por Órgãos de Pesquisas
- Exercício regular de direitos em processos judiciais.
- Proteção da vida
- Tutela da saúde.
- Interesses legítimos do controlador.
- Proteção ao crédito 
 
Princípios

Quando do tratamento de dados pessoais, a organização deve seguir diretrizes obrigatórias. Destacamos os três princípios básicos.
 
1. Finalidade, Adequação e Necessidade
Significa que todo tratamento de dado pessoal precisa ter uma finalidade específica, o tratamento tem que ser adequado a esta finalidade e a coleta de dados deve ser mínima para atender exclusivamente à necessidade da finalidade.

Isto significa que todo uso da informação precisa estar justificado. Não se pode coletar informação pessoal para um uso futuro que o Titular não foi informado.
 
Os demais princípios são:
- Livre acesso pelo Titular em relação aos seus dados.
- Qualidade dos dados.
- Transparência.
- Segurança dos dados
- Prevenção.
- Não discriminação.
- Responsabilização e prestação de contas.
 
Gestão de segurança da informação

Todo Controlador e Operador devem ter implementado uma Gestão de Segurança da Informação para garantir a adequada proteção dos dados pessoais.  
 
Direitos do titular

A organização deve garantir que atende aos direitos do Titular do dado pessoal. O Titular deve ter acesso facilitado às informações sobre o tratamento dos seus dados, inclusive ter conhecimento da finalidade do tratamento, duração do tratamento, responsabilidades dos agentes que farão o tratamento, eventual uso compartilhado dos seus dados e informações de contato do Controlador.
 
Comunicação de incidentes com dados pessoais

A organização deverá comunicar à Autoridade Nacional e ao Titular a ocorrência de incidentes de segurança que possa acarretar risco ou dano relevante aos Titular. Em algumas situações a organização terá que comunicar o incidente ao mercado. Dependendo do tipo de negócio, este fato pode acarretar forte impacto negativo na reputação da organização.
 
Anonimização de dados

Anonimizar um conjunto de dados pessoais é retirar a informação que identifica o Titular. Exemplo. Temos CPF, ano de nascimento e cidade onde a pessoa mora. Se retirarmos o CPF este conjunto de dados foi anonimizados, e desta maneira este conjunto deixa de ser dados pessoais. Muitas empresas podem anonimizar dados quando tem interesse estatístico grupal. A LGPD recomenda que quando possível a organização utilize a anonimização. A anonimização não permite retorno.
 
Dados de crianças e adolescentes

A lei exige um cuidado especial para tratamento de dados pessoais de crianças e adolescentes. Somente poderá ser realizado com o consentimento específico dado por pelo menos um dos pais ou pelo responsável legal.
 
Encarregado pelo tratamento de dados

A lei brasileira é mais simples do que o GDPR da União Europeia. A ÇGPD exige apenas que toda empresa tenha um encarregado, que pode ser funcionário, prestador de serviço, parcial ou dedicado, com as seguintes obrigações:
 
a. Orientar os funcionários e os contratados da organização a respeito das práticas a serem adotadas em relação à proteção de dados pessoais.
b. Receber reclamações e comunicações de titulares, prestar esclarecimento e adotar providencias.
c. Receber comunicações da Autoridade Nacional e adotar providências.
d. Outras funções definidas pela organização.
 
Documento impacto à proteçâo de dados pessoais

Este documento pode ser solicitado em várias ocasiões pela Autoridade Nacional, portanto recomendo que seja elaborado pela organização. Ele deve conter no mínimo como é realizado o tratamento de dados pessoais pela organização e quais são as ameaças e riscos à proteção destes dados.
 
A LGPD possui outros detalhes como a definição da Autoridade Nacional de Proteção dos Dados e situações mais específicas. Mas, se você entender os controles aqui apresentados, tenha certeza de que você conhece a essência da LGPD esta é o primeiro passo para implementar um Projeto de Conformidade com a LGPD. Sucesso!
 
• Edison Luiz Gonçalves Fontes é professor, gestor e consultor em Segurança da Informação e Proteção de Dados Pessoais Certificado CISA, CISM, CRISC. É autor de livros sobre o tema segurança. Diretor do Comitê de Segurança da Informação da ABSEG, professor de MBAs e pós graduação. Membro da Igreja Batista da Liberdade, São Paulo, SP. E-mail: edison@pobox.com.
 

QUE BOM QUE VOCÊ CHEGOU ATÉ AQUI.

Ultimato quer falar com você.

A cada dia, mais de dez mil usuários navegam pelo Portal Ultimato. Leem e compartilham gratuitamente dezenas de blogs e hotsites, além do acervo digital da revista Ultimato, centenas de estudos bíblicos, devocionais diárias de autores como John Stott, Eugene Peterson, C. S. Lewis, entre outros, além de artigos, notícias e serviços que são atualizados diariamente nas diferentes plataformas e redes sociais.

PARA CONTINUAR, precisamos do seu apoio. Compartilhe conosco um cafezinho.


Leia mais em Opinião

Opinião do leitor

Para comentar é necessário estar logado no site. Clique aqui para fazer o login ou o seu cadastro.
Ainda não há comentários sobre este texto. Seja o primeiro a comentar!
Escreva um artigo em resposta

Ainda não há artigos publicados na seção "Palavra do leitor" em resposta a este texto.