Fique por dentro sobre tudo que acontece no mercado financeiro, no Brasil e no Mundo.
10 esclarecimentos sobre a Lei Geral de Proteção de Dados (LGPD)

15 de abril de 2019

Vivemos hoje uma economia baseada em dados; eventos como os episódios de espionagem revelado por Edward Snowden e o escândalo Facebook-Cambridge Analytica chamaram a atenção do mundo para as pautas de privacidade e proteção de dados; ao mesmo tempo, a General Data Protection Regulation (‘GDPR’) trouxe um novo nível de exigências em matéria de proteção de dados. Depois de audiências públicas, pressão da sociedade civil e várias reviravoltas, foi criada, em agosto de 2018, a nossa LGPD – Lei Geral de Proteção de Dados.

Mas, afinal, devemos comemorar ou nos preocupar? Essa lei chegou para ameaçar os negócios? O que podemos esperar da LGPD? O que você PRECISA saber antes da Lei entrar em vigor?
Confira alguns pontos importantes a seguir:

  1. O CONSENTIMENTO NÃO É A ÚNICA HIPÓTESE DE LEGALIDADE PARA O TRATAMENTO DE DADOS PESSOAIS
    A Lei Geral de Proteção de Dados traz 10 hipóteses que tornam o tratamento de dados lícito; o consentimento, é apenas uma delas. Também é permitido o tratamento para fins como o cumprimento de obrigação legal ou contratual, execução de políticas públicas, tutela da saúde e proteção de crédito.

  2. AS DEFINIÇÕES DE CONSENTIMENTO FORAM ATUALIZADAS” – E TALVEZ VOCÊ PRECISE REVALIDAR OS CONSENTIMENTOS FORNECIDOS ANTES DA LGPD
    É necessário verificar se o consentimento dado pelos titulares antes da entrada em vigor da lei de proteção de dados está de acordo com as novas exigências legais. Caso o consentimento tenha sido obtido em desacordo com a LGPD (vinculado a “autorização genéricae sem especificação de finalidade, por exemplo), é necessário NOVO consentimento. Nessa hipótese, cabe ao controlador (empresa) ou operador (empresa contratada para processar dados em nome do controlador) contatar os titulares; o que pode ser feito, por exemplo, através de um e-mail amigável avisando sobre as mudanças em razão da LGPD, e solicitando que o titular LEIA os novos termos de uso e política de privacidade e, caso concorde, forneça novo consentimento.

  3. O CONSENTIMENTO PODE SER REVOGADO A QUALQUER MOMENTO
    O titular, mediante manifestação expressa, poderá por um procedimento gratuito e facilitado, solicitar a revogação. Isso não afeta o tratamento realizado antes da revogação – a não ser que o titular peça a eliminação. Também são direitos do titular a obtenção da confirmação da existência de tratamento, o acesso aos dados tratado, a correção de dados incompletos, inexatos ou desatualizados, a eliminação e a portabilidade dos dados.

  4. TRATAMENTO DE DADOS PODE SER SINÔNIMO DE ARMAZENAMENTO DE DADOS – SEM SUA EFETIVA UTILIZAÇÃO, ACESSO OU COMPARTILHAMENTO
    Quando falamos da aplicação da LGPD, estamos falando de QUALQUER atividade de tratamento; ainda que a atividade seja apenas “manter os dados armazenados em um banco de dados”. Até a eliminação de dados é uma forma de tratamento. A lei exemplifica explicitamente na definição: “tratamento: […] toda operação realizada com dados pessoais, como as que se referem a […] arquivamento, armazenamento, eliminação […].” Portanto: DADOS PARADOS, TAMBÉM SÃO DADOS TRATADOS!

  5. OS DADOS ANÔNIMOS NÃO SÃO CONSIDERADOS DADOS PESSOAIS
    A LGPD não considera os dados anonimizados como dados pessoais – desde que o processo não possa ser revertido. A lei define anonimização como a utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. E o que seriam “meios razoáveis”? Segundo a LGPD, devem ser levados em conta critérios objetivos, como o custo e o tempo necessário para reverter o processo de anonimização, de acordo com as tecnologias disponíveis no momento.

  6. A LGPD NÃO É APENAS SOBRE OS DADOS TRATADOS NOS MEIOS DIGITAIS – ELA VALE TAMBÉM PARA A PAPELADA!
    Naturalmente, a lei foi idealizada com foco nos meios digitais; mas não se limita a eles. Logo em seu art. 1º, nos deparamos com a frase “[e]sta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais […].” Portanto, na jornada de adequação, vale também verificar os processos em meios físicos, dando atenção para possíveis problemas como o clássico descarte inadequado de informações. Devemos lembrar que técnicas completamente offline como o “dumpster diving” (que consiste em vasculhar o lixo em busca de informações) e o “shoulder surfing” (aquela “olhadinha” por cima do ombro para ver a tela ou teclado do computador e obter senhas e outras informações) são comumente utilizadas e não dependem de qualquer conhecimento em programação (mas sim de uma falta de prevenção e boas práticas no ambiente físico). Além disso, dados armazenados em arquivo físico como processos judiciais e prontuários médicos merecem tanta atenção quando quaisquer registros digitais.

  7. ESTAR EM COMPLIANCE COM A LGPD NÃO É APENAS SOBRE REVISÃO DE POLÍTICAS DE PRIVACIDADE E TERMOS DE USO
    Estar em compliance com a LGPD (ou com a GDPR) não se trata apenas de revisão de políticas e contratos. É uma mudança complexa de cultura. Trata-se de um processo com diversas etapas, como avaliação de impacto, organização de banco de dados, implementação de mecanismos de segurança (anti-malware, criptografia, duplo fator de autenticação, mudança de autorizações de acesso, etc.), treinamento de colaboradores internos e terceiros, adequação de políticas internas e contratos, plano de resposta a incidente, dentre várias outras etapas que envolvem tempo e trabalho para um resultado confiável e adequado à realidade da empresa. Não é algo que se faz “do dia pra noite”.

  8. A LGPD ENTRA EM VIGOR EM AGOSTO DE 2020 – MAS NÃO DEVEMOS CONTAR COM ESSA DATA COMO UMA CERTEZA ABSOLUTA

    Uma medida provisória publicada nos últimos dias do ano passado (a qual recebeu forte atenção por dispor a respeito da ANPD – Autoridade Nacional de Proteção de Dados) aumentou em 06 meses o prazo para a entrada em vigor da LGPD: de fevereiro de 2020, a data foi postergada para agosto de 2020. Observamos, porém, que ainda pode acontecer algum “plot twist”[1][1] termo utilizado para uma mudança radical na direção esperada ou prevista da narrativa de um filme.. nessa história; por isso, recomendamos que a adequação comece a ser realizada o quanto antes. Isso porque a Medida Provisória ainda não foi votada pelo Legislativo, e isso pode significar que a LGPD retorne à redação original). Portanto, o ideal é considerar fevereiro de 2020 como prazo para adequação (ou menor por enquanto).


  9. UMA LEI ESPECÍFICA DE PROTEÇÃO DE DADOS PESSOAIS SIGNIFICA UMA RELAÇÃO MAIS PRÓXIMA À UNIÃO EUROPEIA (E, POSSIVELMENTE, LIVRE-CIRCULAÇÃO DE DADOS!)

    A Comissão Europeia estabeleceu que as transferências internacionais de dados só podem ser feitas para países que ofereçam um nível adequado de proteção de dados. Até o presente momento, menos de 15 países estão na lista de livre-circulação de dados – dentre estes, os nossos vizinhos Argentina e Uruguai. Uma das exigências: legislação específica de proteção de dados. Ou seja, a LGPD beneficia as empresas brasileiras que desejam expandir seus negócios internacionalmente e traz maior credibilidade para elas.

Este é um texto desenvolvido com a assessoria jurídica do Escritório PG Advogados com o intuito de esclarecer as principais questões referentes a LGPD.

« | »
← Voltar para a listagem de notícias