Blog Infonova

Informação para tomada de decisão

Resultado da pesquisa por: ""

Tudo sobre LGPD e GDPR

Por Juliana Gaidargi em 3/12/2019 em Gestão de TI

A Lei Geral de Proteção de Dados Pessoais (LGPD) entrará em vigor no Brasil a partir de agosto de 2020. Ela é importante porque afetará a maneira como o site do seu negócio tem permissão para rastrear usuários no Brasil. Essa lei baseia-se no Regulamento Geral de Proteção de Dados (GDPR) da UE. Portanto, é fundamental que CEOs, e não apenas CIOs, compreendam os impactos da LGPD no mercado. E não apenas no mercado nacional, mas também no internacional

GDPR LGPDConfira a seguir seus fundamentos e definições. Isso, além dos direitos aos quais os titulares de dados conferem poderes, o que constitui conformidade com a LGPD e como ela se compara à GDPR europeia.

Contexto nacional

O Brasil tem mais de 140 milhões de usuários de internet. Ou seja, é o maior mercado de internet da América Latina e o quarto maior do mundo em número de usuários. Portanto, o Brasil já possui mais de quarenta normas legais em nível federal. Estas, de várias maneiras, lidam com proteção de dados e privacidade, gerando uma estrutura legal cruzada.

Ebook Melhores Práticas em Gestão de TI

No entanto, são de natureza setorial. Ou seja, elas se relacionam separadamente e especificamente com bancos, imóveis, proteção ao consumidor e afins. Já a nova lei geral de proteção de dados do Brasil, a LGPD, visa substituir esse cenário legal fraturado por um quadro regulatório abrangente.

Dessa forma, irá viabilizar aos indivíduos acesso a um conjunto simplificado de direitos. Portanto, mais abrangente que a proteção parcial das leis setoriais em vigor hoje. Para isso, a LGPD se inspirou no Regulamento Geral de Proteção de Dados da União Europeia.

GDPR do Brasil?

Graças às suas similaridades, a LGPD tem sido tratada como “GDPR do Brasil” em alguns meios. Isso não deixa de ser verdade. Afinal, empresas que já estão em compliance com a GDPR, também atendem à boa parte das disposições da LGPD. Contudo, essas leis não são exatamente iguais.

Existem algumas diferenças significativas entre o LGPD e o RGPD, que serão detalhadas a seguir.

O que é a LGPD e quando será aplicada?

O nome oficial da nova lei do Brasil é Lei Geral de Proteção de Dados Pessoais. Sua abreviatura oficial é LGPDP. Entretanto, ela é mais conhecida como LGPD ou Lei Geral de Proteção de Dados.

Sua aprovação se deu em 14 de agosto de 2018. Ela foi, então, sancionada conclusivamente pelo presidente Bolsonaro em julho de 2019. Dessa forma, a data efetiva da aplicação da LGPD é 15 de agosto de 2020.

Ebook Dicionário do Outsourcing de TI

A Lei Geral de Proteção de Dados é modelada com base no GDPR europeu. Seu intuito é criar uma estrutura legal para a forma como os dados pessoais podem ser tratados no Brasil. No total, a LGPD conta com sessenta e cinco artigos.

Guia completo para contratação de empresas de TI

Essência da LGPD

A LGPD (Lei Geral de Proteção de Dados) confere poderes aos titulares de dados e define o que constitui os chamados dados pessoais. Além disso, cria dez bases legais para o processamento legal.

Ebook Dicionário de Redes e Servidores

Ela também atribui às empresas e organizações a nomeação de um Oficial de Proteção de Dados (DPO) e estabelece a Autoridade Nacional de Proteção de Dados (ANPD). A ANPD consiste em uma nova autoridade nacional de proteção de dados do Brasil. Ambos atores possuem poderes de supervisão, orientação e aplicação de sanções administrativas .

O que é um Titular de Dados?

A LGPD define um titular de dados como “uma pessoa natural a quem os dados pessoais que são objeto de processamento se referem”. Ou seja, um indivíduo cujos dados estão sendo coletados e / ou processados ​​é o titular dos dados.

Aplicações da LGPD

A aplicação da LGPD é “transversal” e “multissetorial”. Ou seja, ela se aplica aos setores público e privado, bem como online e offline.

Ela também possui “aplicação extraterritorial”. Isso significa que sites, empresas ou organizações que processam dados pessoais de indivíduos no Brasil estão obrigados a cumprir a LGPD. Isso, independentemente da parte do mundo na qual estejam sediados ou operando. 

No artigo 3.o, é definido que o LGPD se aplica a processamento de dados:

  • No território do Brasil;
  • De indivíduos que estão dentro do território brasileiro, independentemente de onde no mundo o processador de dados esteja localizado;
  • Coletados no Brasil.

A LGPD (Lei Geral de Proteção de Dados) regulará ainda todo o processamento de dados pessoais no território do Brasil.

Proteção ampliada

A LGPD do Brasil não apenas protege os brasileiros. Mas também todos os indivíduos cujos dados são coletados ou processados ​​enquanto estiverem em território nacional.

Ou seja, a LGPD se aplica a qualquer pessoa cujos dados foram coletados ou estão sendo processados durante sua estadia em território brasileiro. Portanto, não se aplica apenas a  cidadãos brasileiros.

LGPD e adequação da União Europeia

Não é segredo que a Lei Geral de Proteção de Dados (LGPD) foi baseada na RGPD. Afinal, sua intenção era a de facilitar ao Brasil o chamado acordo de adequação com a UE. Dessa forma, seria possível assegurar um fluxo livre de dados entre ambas as partes.

No entanto, algumas mudanças significativas foram feitas na lei em julho de 2019, quando foi sancionada pelo presidente Bolsonaro.

Ebook Como Vender TI para Diretoria

Vetos presidenciais

Isso inclui a remoção de uma disposição que obrigava empresas e organizações a revisarem decisões automatizadas por máquina. Além desta, houve ainda a remoção de requisitos de habilidades técnicas para os responsáveis ​​pela proteção de dados, bem como as alterações feitas no poder de imposição da autoridade de proteção de dados do Brasil (ANPD).

No rascunho original, a ANPD tinha a opção de restringir o acesso de um processador de dados aos bancos de dados. Dessa forma, seria possível proibi-lo de processar completamente os dados pessoais. Entretanto, isso foi descartado quando Bolsonaro sancionou a versão final da LGPD.

Repercussão

Os vigilantes da privacidade, assim como o primeiro comissário de proteção de dados do país, o consideraram uma diluição da LGPD. Afinal, esta poderia afetar a decisão de adequação da UE no Brasil.

Visão geral da LGPD

A LGPD (Lei Geral de Proteção de Dados) cria nove direitos para os titulares dos dados. Encontram-se no artigo 18 e conferem aos indivíduos o direito de:

Infográfico Modelos de Suporte Técnico Para Contratar

  1. Confirmação da existência do tratamento dos seus dados;
  2. Acessar seus dados;
  3. Corrigir dados incompletos, imprecisos ou desatualizados;
  4. Anonimizar, bloquear ou excluir dados ou dados desnecessários ou excessivos que não estejam sendo processados ​​em conformidade com o LGPD;
  5. Ter seus dados portáteis, ou seja, entregues a outro serviço ou processador, se solicitado;
  6. Ter seus dados excluídos;
  7. Informações sobre entidades públicas e privadas com as quais o controlador compartilhou dados;
  8. Informações sobre a possibilidade de negar o consentimento e as consequências;
  9. Revogar o consentimento.

Esses direitos foram modelados de acordo com os direitos que o GDPR concedidos aos cidadãos europeus. Além disso, têm implicações diretas para proprietários e operadores de sites em todo o mundo, que processam e / ou coletam dados no território do Brasil.

Isso significa que, se você tem um site e esse site tem visitantes do Brasil, ou se você oferece serviços a indivíduos no Brasil, ou coleta e processa dados no Brasil, você precisa estar em conformidade com a LGPD.

Visão geral sobre dados pessoais

A Lei Geral de Proteção de Dados (LGPD) define seus principais termos e conceitos em seu Artigo 5. Estes incluem dados pessoais, dados pessoais sensíveis, titular e processador dos dados, entre outros.

Dados pessoais na LGPD

Os dados pessoais são definidos amplamente na LGPD. Afinal, a lei simplesmente declara que dados pessoais são “informações relativas a uma pessoa física identificada ou identificável” (artigo 5, I).

Ou seja, eles podem compreender qualquer coisa. Desde nomes, números de identificação, dados de localização, identificadores online a fatos físicos, fisiológicos, genéticos, mentais, econômicos, culturais ou sociais, embora o LGPD não liste nenhum desses exemplos.

Dados pessoais sensíveis na LGPD

Dados pessoais sensíveis são definidos como uma subcategoria de dados pessoais. Eles se aplicam quando os dados processados ​​dizem respeito a “origem racial ou étnica, crença religiosa, opinião política, associação sindical ou religiosa, filosófica ou organização política, dados relativos à saúde ou vida sexual, genética ou dados biométricos” (Artigo 5, II).

A LGPD especifica no artigo 11 as situações limitadas em que é permitido o processamento de dados pessoais sensíveis.

Estes incluem “consentimento específico e distinto”, “da administração pública para execução de políticas públicas” e “estudos realizados por uma entidade de pesquisa”. Este último atrelado com a garantia de que os dados serão anonimizados sempre que possível.

Checklist Nível de Excelência em TI

Dados anonimizados na LGPD

Esta subcategoria refere-se a “dados relacionados a um titular de dados que não podem ser identificados” com os meios técnicos do momento do processamento. Se os dados anonimizados forem reversíveis de alguma forma, isto é, se puderem ser usados ​​para identificar ou usados ​​para criação de perfis comportamentais, não serão dados anonimizados.

Definições adicionais importantes para a LGPD (encontradas no artigo 5)

  • O processamento é definido pela LGPD como “qualquer operação realizada com dados pessoais”;
  • O consentimento é definido pela LGPD como “manifestação livre, informada e sem ambiguidade, segundo a qual o titular dos dados concorda com o processamento de dados pessoais para um determinado objetivo”;
  • O banco de dados é definido pela LGPD como um “conjunto estruturado de dados pessoais, mantidos em um ou vários locais, em suporte eletrônico ou físico”;
  • O controlador faz parte da DPGP definida como uma “pessoa física ou jurídica, de direito público ou privado, que tem competência para tomar decisões sobre o processamento de dados pessoais”;
  • O processador é definido pela LGPD como uma “pessoa física ou jurídica, de direito público ou privado, que processa dados pessoais em nome do controlador”;
  • O oficial é definido na LGPD como uma “pessoa singular, designada pelo responsável pelo tratamento, que atua como um canal de comunicação entre o responsável pelo tratamento e os titulares dos dados e a autoridade nacional” (ANPD).

Visão geral sobre consentimento e bases legais para processamento

Das dez bases legais para o processamento legal que a LGPD estabelece, o consentimento é o primeiro.

Isso é muito importante para o nosso nicho no campo da privacidade. Afinal, traz implicações diretas em como seu site pode definir cookies, processar dados de usuários e compartilhá-los com terceiros.

O artigo 8 da LGPD esclarece que o consentimento não pode ser obtido por meio de “autorização genérica”. Ou seja, deve se referir a fins específicos. Portanto, sites, empresas e organizações devem primeiro obter o consentimento específico e inequívoco do titular dos dados antes que qualquer processamento de dados pessoais seja permitido.

Contudo, o consentimento deve ser revogável a qualquer momento. Além disso, ele também deve ser fornecido pelo titular dos dados “por escrito ou por outros meios”. Ou seja, por meio de um banner de consentimento em um site, por exemplo.

Outro ponto diz respeito ao processamento de dados pessoais especificamente. Ao processar dados pessoais, um site, empresa ou organização deve apresentar uma base legal específica.

Bases jurídicas da LGPD para processamento

Confira a seguir as dez bases legais da LGPD (artigo 7) para o processamento legal de dados pessoais da LGPD:

  1. Ter o consentimento do titular dos dados;
  2. Cumprir uma obrigação legal ou regulamentar do controlador;
  3. Executar políticas públicas previstas em leis ou regulamentos ou com base em contratos, acordos ou instrumentos similares;
  4. Realizar estudos de entidades de pesquisa que garantam, sempre que possível, o anonimato dos dados pessoais;
  5. Executar um contrato ou procedimentos preliminares relacionados a um contrato do qual o titular dos dados é parte;
  6. Exercer direitos, procedimentos judiciais, administrativos ou de arbitragem;
  7. Proteger a vida ou a segurança física do titular dos dados ou de terceiros;’
  8. Proteger a saúde, em procedimento realizado por profissionais de saúde ou por entidades de saúde;
  9. Cumprir os interesses legítimos do responsável pelo tratamento ou de terceiros. Com exceção de situações nas quais prevaleçam os direitos e liberdades fundamentais do titular dos dados que exigem proteção de dados pessoais;
  10. Proteger o crédito.

Portanto, todo o processamento de dados pessoais ou confidenciais precisa ser documentado desde a coleta até o término. Além disso, é obrigatória uma descrição de que tipo de dados são coletados. Tal como o objetivo da coleta e processamento, seu tempo de retenção e com quem os dados podem ser compartilhados.

Vale ressaltar que controladores ou processadores podem ser solidariamente responsáveis ​​por violações de dados ou não conformidade.

Visão geral sobre autoridades de proteção de dados

A versão final da Lei Geral de Proteção de Dados (LGPD), sancionada pelo presidente brasileiro vigente em julho de 2019, estabelece uma autoridade nacional de proteção de dados (a ANPD). Não obstante, obriga empresas e organizações a nomear um oficial de proteção de dados.

Portanto, a Autoridade Nacional de Proteção de Dados (ANPD) consiste na nova autoridade de proteção de dados do Brasil. A princípio, ela constava no rascunho original da LGPD. Contudo, foi vetada pelo ex-presidente. Isso ocorreu devido a receios de que se tratasse de uma medida inconstitucional. Entretanto, a ANPD foi incluída novamente pelo Senado Federal em maio e sancionada pelo Gabinete do Presidente.

Entre os principais objetivos da ANPD destacam-se o estabelecimento de novas normas, novos padrões técnicos, supervisão e auditoria, educar sobre a lei e suas aplicações corretas, lidar com notificações de violações de dados e aplicar sanções.

É importante ressaltar que a ANPD estará diretamente vinculada ao escritório da presidência. Ela contará ainda com dois órgãos:

  1. Conselho de Administração: composto por cinco membros com experiência no campo da privacidade e proteção de dados;
  2. Conselho Nacional: conselho consultivo de 23 membros, com representação do governo, sociedade civil, instituições de pesquisa e setor privado.

Oficial de Proteção de Dados (DPO) e LGPD

De acordo com a versão final da LGPD (Lei Geral de Proteção de Dados), as empresas terão a responsabilidade de nomear um Diretor de Proteção de Dados (DPO). A essa entidade, caberá garantir a conformidade com a LGPD para o controlador de dados, que os nomeia.

No rascunho original, constava a necessidade de habilidades técnicas para que um indivíduo fosse nomeado um DPO. Contudo, essa necessidade foi excluída da versão final sancionada. Esse fator resultou em várias críticas de especialistas em privacidade em relação à LGPD.

Multas da LGPD

A LGPD (Lei Geral de Proteção de Dados) é bastante clara em relação às consequências do não cumprimento da lei. O sistema de penalidades varia de:

  • Advertências. Estas são emitidas em caso de violação e descumprimento da intenção de que a entidade adote medidas corretivas;
  • Multas diárias. Estas consistem em até 2% do faturamento anual no Brasil ou R$ 50 milhões por violação.

Quem aplicará as sanções?

A ANPD será a responsável por aplicar as sanções quando a LGPD entrar em vigor.

LGPD vs. GDPR

A Lei Geral de Proteção de Dados (LGPD) foi modelada com base no GDPR (Regulamento Geral de Proteção de Dados) da UE. Ambos têm jurisdição global. Afinal, uma vez que qualquer site em qualquer lugar que processe dados pessoais de indivíduos no Brasil é obrigado a cumpri-lo.

LGPD vs. GDPR – Direitos do titular dos dados

Existem distinções entre a forma de tratar a quantidade de direitos concedidos aos titulares de dados em cada lei. Entretanto, essas diferenças são bastante superficiais. Afinal, o GDPR fornece aos titulares de dados oito direitos fundamentais. Já a LGPD, por sua vez, concede nove direitos.

Isso ocorre devido ao fato da LGPD ter dividido o “direito de ser informado” em dois. Trata-se do “direito de ser informado das partes com quem o controlador compartilhou os dados” e o “direito de ser informado sobre a possibilidade de negando consentimento”. No GDPR, “o direito de ser informado” é mais genérico.

LGPD vs. GDPR – Bases legais para processamento de dados

A LGPD difere apenas um pouco do GDPR em relação à sua estrutura para o que constitui base legal para o processamento de dados. Afinal, tanto a LGPD quanto o GDPR encontram-se bastante alinhados. Contudo, onde o GDPR possui seis bases legais para processamento, a LGPD conta com dez.

Mais uma vez, o GDPR e a LGPD encontram-se alinhados, exceto pelo fato de que a LGPD especifica disposições mais abrangentes do GDPR.

Ou seja, na LGPD, a base legal do GDPR de “salvar a vida de alguém” foi dividida em:

  • “proteger a vida ou a segurança física”;
  • “proteger a saúde, em um procedimento realizado por profissionais de saúde ou por entidades de saúde”.

Outras cisões incluem o GDPR “necessário para executar uma tarefa de interesse público” no LGPD “para executar políticas públicas” e “para realizar estudos por entidades de pesquisa”. Não obstante, a LGPD inclui uma base legal que o RGPD não possui. Esta é a base da proteção de crédito.

LGPD vs. GDPR – Dados pessoais

Na LGPD, os dados pessoais têm uma definição mais ampla daquela descrita no GDPR. Segundo a LGPD, os dados pessoais consistem em qualquer coisa relacionada a uma pessoa singular identificável. Contudo, no GDPR, isso é especificado com exemplos como nomes, endereços e gênero.

Já os dados sensíveis, tal como no GDPR, constituem uma categoria separada dos dados pessoais. Ela inclui dados sobre raça, etnia, crenças religiosas, convicções políticas, saúde, sexualidade, genética e biometria. Portanto, as restrições para o processamento de dados confidenciais na LGPD são mais rígidas que no GDPR.

Além disso, a LGPD não fornece definições ou disposições sobre dados pseudonimizados. O mesmo ocorre no GDPR, exceto no contexto de pesquisas realizadas por organizações de saúde pública. Ou seja, onde o GDPR é muito específico em seus requisitos para o processamento de dados pessoais para fins de marketing, a LGPD não especifica nada.

LGPD vs. GDPR – DPO, DPIA e violações de dados

No GDPR, é instituída a chamada DPIA (Avaliação de Impacto na Proteção de Dados). Esta medida visa avaliar os riscos potenciais do processamento de dados. Além disso, também requer que os processadores notifiquem suas respectivas autoridades de proteção de dados caso sejam avaliados altos riscos associados ao processamento de dados.

Por outro lado, a LGPD também institui DPIAs. Entretanto, não especifica como eles devem ser utilizados. Tampouco estabelece requisitos para notificação de quaisquer autoridades de supervisão. Na verdade, o que a LGPD faz é tornar obrigatório que as empresas tenham um oficial de proteção de dados (DPO). Em paralelo, isso somente é exigido em determinadas circunstâncias no RGPD.

Outro ponto dissonante consiste nas limitações de tempo para a notificação de violações de dados. Afinal, estas são definidas nitidamente no GDPR como 72 horas. Contudo, a LGPD determina apenas que as violações de dados sejam relatadas às autoridades em “tempo razoável”.

LGPD vs. GDPR – Multas

Na prática, se comparada com o GDPR, a LGPD é muito menos severa em sua aplicação de multas e penalizações por violações e não conformidade. Afinal, as multas máximas por não conformidade no GDPR são fixadas em 20 milhões de euros ou 4% do faturamento global anual de uma empresa. Já a LGPD define suas multas máximas em 50 milhões de reais (aproximadamente 11 milhões de euros) ou 2% do faturamento anual de uma empresa no Brasil por violação.

LGPD vs. GDPR – Aplicações territoriais

Em relação à  transferência de dados pessoais internacionalmente, a LGPD e o GDPR atuam da mesma maneira. Ou seja, ambas avaliam se o país estrangeiro possui um nível adequado de leis de proteção de dados em vigor. Além disso, consideram o consentimento prévio, específico e expresso do titular dos dados.

Contudo, ao contrário do GDPR, a LGPD não determina que os dados sejam transmitidos pelo Brasil sem processamento adicional.

É claro que existem diversos outros aspectos da GDPR que merecem atenção. Entretanto, os que foram abordados acima são os mais pertinentes num primeiro momento. Afinal, a adequação total do mercado se dará aos poucos, podendo levantar novas dúvidas e perspectivas em relação à LGPD.