Consentimento
Outro elemento essencial da LGPD é o consentir. Ou seja, o consentimento do cidadão é a base para que dados pessoais possam ser tratados. Mas há algumas exceções a isso. É possível tratar dados sem consentimento se isso for indispensável para: cumprir uma obrigação legal; executar política pública prevista em lei; realizar estudos via órgão de pesquisa; executar contratos; defender direitos em processo; preservar a vida e a integridade física de uma pessoa; tutelar ações feitas por profissionais das áreas da saúde ou sanitária; prevenir fraudes contra o titular; proteger o crédito; ou atender a um interesse legítimo, que não fira direitos fundamentais do cidadão.
Automatização com autorização
É essencial saber que a lei traz várias garantias ao cidadão, que pode solicitar que dados sejam deletados, revogar um consentimento, transferir dados para outro fornecedor de serviços, entre outras ações. E o tratamento dos dados deve ser feito levando em conta alguns quesitos, como finalidade e necessidade, que devem ser previamente acertados e informados ao cidadão. Por exemplo, se a finalidade de um tratamento, feito exclusivamente de modo automatizado, for construir um perfil (pessoal, profissional, de consumo, de crédito), o indivíduo deve ser informado que pode intervir, pedindo revisão desse procedimento feito por máquinas.
ANPD e agentes de tratamento
O Brasil contará com a Autoridade Nacional de Proteção de Dados Pessoais, a ANPD. A instituição vai fiscalizar e, se a LGPD for descumprida, penalizar. Além disso, a ANPD terá, é claro, as tarefas de regular e de orientar, preventivamente, sobre como aplicar a lei. A Lei Geral de Proteção de Dados Pessoais também estipula os agentes de tratamento de dados e suas funções, nas organizações: tem o controlador, que toma as decisões sobre o tratamento; o operador, que realiza o tratamento, em nome do controlador; e o encarregado, que interage com cidadãos e autoridade nacional (e poderá ou não ser exigido, a depender do tipo ou porte da organização e do volume de dados tratados).
Gestão em foco
Há um outro item que não poderia ficar de fora: a administração de riscos e falhas. Isso quer dizer que quem gere base de dados pessoais terá que redigir normas de governança; adotar medidas preventivas de segurança; replicar boas práticas e certificações existentes no mercado. Terá ainda que elaborar planos de contingência; fazer auditorias; resolver incidentes com agilidade. Se ocorrer, por exemplo, um vazamento de dados, a ANPD e os indivíduos afetados devem ser imediatamente avisados. Vale lembrar que todos os agentes de tratamento sujeitam-se à lei. Isso significa que as organizações e as subcontratadas para tratar dados respondem em conjunto pelos danos causados. E as falhas de segurança podem gerar multas de até 2% do faturamento anual da organização no Brasil – e no limite de R$ 50 milhões por infração. A autoridade nacional fixará níveis de penalidade segundo a gravidade da falha. E enviará, é claro, alertas e orientações antes de aplicar sanções às organizações.
Dados Pessoais
Dado pessoal é uma informação que permite identificar, direta ou indiretamente, um indivíduo. Alguns exemplos: nome, RG, CPF, gênero, data e local de nascimento, telefone, endereço residencial, localização via GPS, retrato em fotografia, prontuário de saúde, cartão bancário, renda, histórico de pagamentos, hábitos de consumo, preferências de lazer; endereço de IP (Protocolo da Internet) e cookies, entre outros.
Dados Sensíveis
Todo dado pessoal só pode ser tratado se seguir um ou mais
critérios definidos pela LGPD, mas, dentro do conjunto de
dados
pessoais, há ainda aqueles que exigem um pouco mais de
atenção: são os sobre crianças e adolescentes; e
os “sensíveis”, que
são os que revelam origem racial ou étnica, convicções
religiosas ou filosóficas, opiniões políticas, filiação
sindical, questões
genéticas, biométricas e sobre a saúde ou a vida sexual de
uma pessoa.
Quando o foco for menores de idade, é imprescindível obter o
consentimento inequívoco de um dos pais ou responsáveis e se
ater a pedir
apenas o conteúdo estritamente necessário para a atividade
econômica ou governamental em questão, e não repassar nada a
terceiros. Sem
o consentimento, só pode coletar dados se for para urgências
relacionadas a entrar em contato com pais ou responsáveis
e/ou para proteção
da criança e do adolescente.
Sobre os dados sensíveis, autônomos, empresas e governo
também podem tratá-los se tiverem o consentimento explícito
da pessoa e para um fim
definido.
Dados Anonimizados
A Lei Geral de Proteção de Dados Pessoais cita ainda o dado
anonimizado, que é aquele que, originariamente, era relativo
a uma pessoa, mas que
passou por etapas que garantiram a desvinculação dele a essa
pessoa. Se um dado for anonimizado, então a LGPD não se
aplicará a ele. Vale frisar
que um dado só é considerado efetivamente anonimizado se não
permitir que, via meios técnicos e outros, se reconstrua o
caminho para "descobrir"
quem era a pessoa titular do dado - se de alguma forma a
identificação ocorrer, então ele não é, de fato, um dado
anonimizado e sim, apenas, um
dado pseudonimizado e estará, então, sujeito à LGPD.
Segundo especialistas, dados anonimizados são essenciais
para o crescimento da inteligência artificial, da internet
das coisas, do aprendizado das
máquinas, das cidades Inteligentes, da análise de
comportamentos, entre outros. Eles indicam ainda que, sempre
que possível, uma organização, pública
ou privada, realize a anonimização de dados pessoais, pois
isso aperfeiçoa a segurança da informação na organização e
gera, assim, mais confiança em
seus serviços e para seus públicos.
Consentimento
Outro elemento essencial da LGPD é o consentir. Ou seja, o consentimento do cidadão é a base para que dados pessoais possam ser tratados. Mas há algumas exceções a isso. É possível tratar dados sem consentimento se isso for indispensável para: cumprir uma obrigação legal; executar política pública prevista em lei; realizar estudos via órgão de pesquisa; executar contratos; defender direitos em processo; preservar a vida e a integridade física de uma pessoa; tutelar ações feitas por profissionais das áreas da saúde ou sanitária; prevenir fraudes contra o titular; proteger o crédito; ou atender a um interesse legítimo, que não fira direitos fundamentais do cidadão.
Automatização com autorização
É essencial saber que a lei traz várias garantias ao cidadão, que pode solicitar que dados sejam deletados, revogar um consentimento, transferir dados para outro fornecedor de serviços, entre outras ações. E o tratamento dos dados deve ser feito levando em conta alguns quesitos, como finalidade e necessidade, que devem ser previamente acertados e informados ao cidadão. Por exemplo, se a finalidade de um tratamento, feito exclusivamente de modo automatizado, for construir um perfil (pessoal, profissional, de consumo, de crédito), o indivíduo deve ser informado que pode intervir, pedindo revisão desse procedimento feito por máquinas.
ANPD e agentes de tratamento
O Brasil contará com a Autoridade Nacional de Proteção de Dados Pessoais, a ANPD. A instituição vai fiscalizar e, se a LGPD for descumprida, penalizar. Além disso, a ANPD terá, é claro, as tarefas de regular e de orientar, preventivamente, sobre como aplicar a lei. A Lei Geral de Proteção de Dados Pessoais também estipula os agentes de tratamento de dados e suas funções, nas organizações: tem o controlador, que toma as decisões sobre o tratamento; o operador, que realiza o tratamento, em nome do controlador; e o encarregado, que interage com cidadãos e autoridade nacional (e poderá ou não ser exigido, a depender do tipo ou porte da organização e do volume de dados tratados).
Gestão em foco
Há um outro item que não poderia ficar de fora: a administração de riscos e falhas. Isso quer dizer que quem gere base de dados pessoais terá que redigir normas de governança; adotar medidas preventivas de segurança; replicar boas práticas e certificações existentes no mercado. Terá ainda que elaborar planos de contingência; fazer auditorias; resolver incidentes com agilidade. Se ocorrer, por exemplo, um vazamento de dados, a ANPD e os indivíduos afetados devem ser imediatamente avisados. Vale lembrar que todos os agentes de tratamento sujeitam-se à lei. Isso significa que as organizações e as subcontratadas para tratar dados respondem em conjunto pelos danos causados. E as falhas de segurança podem gerar multas de até 2% do faturamento anual da organização no Brasil – e no limite de R$ 50 milhões por infração. A autoridade nacional fixará níveis de penalidade segundo a gravidade da falha. E enviará, é claro, alertas e orientações antes de aplicar sanções às organizações.
Dados Pessoais
Dado pessoal é uma informação que permite identificar, direta ou indiretamente, um indivíduo. Alguns exemplos: nome, RG, CPF, gênero, data e local de nascimento, telefone, endereço residencial, localização via GPS, retrato em fotografia, prontuário de saúde, cartão bancário, renda, histórico de pagamentos, hábitos de consumo, preferências de lazer; endereço de IP (Protocolo da Internet) e cookies, entre outros.
Dados Sensíveis
Todo dado pessoal só pode ser tratado se seguir um ou mais
critérios definidos pela LGPD, mas, dentro do conjunto de
dados
pessoais, há ainda aqueles que exigem um pouco mais de
atenção: são os sobre crianças e adolescentes; e
os “sensíveis”, que
são os que revelam origem racial ou étnica, convicções
religiosas ou filosóficas, opiniões políticas, filiação
sindical, questões
genéticas, biométricas e sobre a saúde ou a vida sexual de
uma pessoa.
Quando o foco for menores de idade, é imprescindível obter o
consentimento inequívoco de um dos pais ou responsáveis e se
ater a pedir
apenas o conteúdo estritamente necessário para a atividade
econômica ou governamental em questão, e não repassar nada a
terceiros. Sem
o consentimento, só pode coletar dados se for para urgências
relacionadas a entrar em contato com pais ou responsáveis
e/ou para proteção
da criança e do adolescente.
Sobre os dados sensíveis, autônomos, empresas e governo
também podem tratá-los se tiverem o consentimento explícito
da pessoa e para um fim
definido.
Dados Anonimizados
A Lei Geral de Proteção de Dados Pessoais cita ainda o dado
anonimizado, que é aquele que, originariamente, era relativo
a uma pessoa, mas que
passou por etapas que garantiram a desvinculação dele a essa
pessoa. Se um dado for anonimizado, então a LGPD não se
aplicará a ele. Vale frisar
que um dado só é considerado efetivamente anonimizado se não
permitir que, via meios técnicos e outros, se reconstrua o
caminho para "descobrir"
quem era a pessoa titular do dado - se de alguma forma a
identificação ocorrer, então ele não é, de fato, um dado
anonimizado e sim, apenas, um
dado pseudonimizado e estará, então, sujeito à LGPD.
Segundo especialistas, dados anonimizados são essenciais
para o crescimento da inteligência artificial, da internet
das coisas, do aprendizado das
máquinas, das cidades Inteligentes, da análise de
comportamentos, entre outros. Eles indicam ainda que, sempre
que possível, uma organização, pública
ou privada, realize a anonimização de dados pessoais, pois
isso aperfeiçoa a segurança da informação na organização e
gera, assim, mais confiança em
seus serviços e para seus públicos.