O Presidente da Repúplica sancionou em 14 de Agosto de 2018 a Lei Nº 13.709 baseada na GPDR (regulamentação europeia) com regras para a coleta e o tratamento de dados pessoais com objetivo econômico. As regras versam sobre dados, não só no meio digital, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade.
A Lei estabelece que:
- Dado pessoal: é o dado relacionado a uma pessoa identificada ou identificável ou seja, quaisquer dados relacionados a uma pessoa (titular) e que a ela possam ser relacionados diretamente ou a partir de tratamento dos dados em si. São exemplos de dados pessoais os números de RG, CPF, CNPJ, e-mail e telefone.
- Dados sensíveis: dado pessoal relacionado a etinia, raça, religião, opinião política, filiações sindicais, religiosas, políticas, ou dados de saúde ou vida sexual, assim como dados genéticos ou biométricos, quando esses dados estiverem vinculados a uma pessoa.
- Dado anonimizado: quando um dado não é considerado pessoal, ou seja, ele não pode ser vinculado diretamente ou após o seu tratamento a uma determinada pessoa.
Os dados protegidos pela Lei são aqueles coletado e/ou armazenados e tratados em território nacional, com objetivo da oferta ou fornecimento de bens e serviços. Para efeito de coleta em território nacional, essa é definida se o titular estiver em território nacional no momento da coleta.
Estão fora das obrigações definidas nela:
- Dados para fins exclusivamente particulares;
- Jornalísticos, artísticos e/ou acadêmicos;
- Com fins de segurança, como segurança pública, defesa nacional, atividades de investigação e repressão de infrações penais;
- Dados provenienetes de fora do território nacional, salvo alguns objetos de comunicação com agentes de tratamento brasileiros, com tratamento em lei específica.
A Lei garante direito aos titulares dos dados como: acesso, correção, eliminação, portabilidade e revogação do consentimento. Um ponto importante é relativo ao consentimento pelo titular para a utilização específica dos dados. Dessa forma, o titular dos dados deve autorizar a utilização daquele conjunto de dados para uma finalidade específica e autorizações genéricas são consideradas nulas, pela lei.
Outro conjunto de regras são relativas aos dados sensíveis, assim como dados sobre crianças e adolescentes, possuem regras específicas. Exemplos:
- Dados sensíveis: Não podem, pode exemplo, ser utilizados pelas operadoras de planos privados de saúde para cálculo de risco de contratação de seus palnos e exclusão de beneficiários;
- Crianças e adolescentes: O concentimento deve ser fornecido por um dos pais ou responsável legal e não podem ser hipotese alguma ser repassados a terceiros.
Há ainda uma seção específica para tratamento e
transferência internacional de dados, que nesse caso, só pode ser realizadia
para países ou organizações que proporcionem grau de proteção dos dados
pessoais adequados aos previstos na própria LGPD brasileira.
Outra seção importante na Lei é sobre a própria segurança e sigilo dos dados, e nesse sentido, o controlador dos dados (aquele com poder de desição sobre o tratamento dos dados) e o operador (aquele que execute o tratamento dos dados em nome do controlador) são responsáveis por adotar as medidas de segurança para proteger os dados, seja de situações acidentais ou ilícitas. No caso da ocorrência de qualquer incidente de segurança que possa acarretar algum dano, ou mesmo risco ao titular, deve ser comunicado tanto ao titular quanto a autoridade nacional.
Com a lei sancionada, há um período de adequação das empresas às novas exigências e deve entrar em vigor a partir de Agosto de 2020.
Implicações? Imaginemos por exemplo, uma aplicação atualmente em produção utilizando blockchain e que guarde no blockchain o nome e CPF de um cliente. Essa aplicação precisará passar por grandes mudanças, pois uma vez no chain os dados não podem ser apagados. Como essa aplicação pode se adequar ao direito de eliminação dos dados conforme Art 18 da Lei?
As empresas devem realizar um mapeamento completo dos dados e classificá-los dentro do ciclo de tratamento em: dados pessoais, dados sensíveis e dados anônimos. Além disso, mapear onde são coletados, armazanados e tratados, se no Brasil ou exterior, alám reavaliar todo os riscos e controles de acesso a esses dados. É ainda necessário avaliar questões de goverança e funcionalidades de aplicativos para toda a gestão de consentimento do titular, pais, revogação de utilização e ainda, estudo nos pontos de transformação dos dados de titulares e sensíveis em dados anônimos para processamento, garantindo que não possam de maneira reversa ser relacionados ao titular.
Bibliografia:
Lei Geral de Proteção de Dados Pessoais (LGPD).
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
LGPD: O que é, como vai funcionar e o que muda para sua empresa
https://www.senior.com.br/blog/lgpd-o-que-e-como-vai-funcionar-e-o-que-muda-para-sua-empresa
LGPD: o que muda na prática com a Lei 13.709/18
https://www.pwc.com.br/pt/sala-de-imprensa/artigos/lgpd-muda-pratica-plc-53.html
Outra seção importante na Lei é sobre a própria segurança e sigilo dos dados, e nesse sentido, o controlador dos dados (aquele com poder de desição sobre o tratamento dos dados) e o operador (aquele que execute o tratamento dos dados em nome do controlador) são responsáveis por adotar as medidas de segurança para proteger os dados, seja de situações acidentais ou ilícitas. No caso da ocorrência de qualquer incidente de segurança que possa acarretar algum dano, ou mesmo risco ao titular, deve ser comunicado tanto ao titular quanto a autoridade nacional.
Com a lei sancionada, há um período de adequação das empresas às novas exigências e deve entrar em vigor a partir de Agosto de 2020.
Implicações? Imaginemos por exemplo, uma aplicação atualmente em produção utilizando blockchain e que guarde no blockchain o nome e CPF de um cliente. Essa aplicação precisará passar por grandes mudanças, pois uma vez no chain os dados não podem ser apagados. Como essa aplicação pode se adequar ao direito de eliminação dos dados conforme Art 18 da Lei?
As empresas devem realizar um mapeamento completo dos dados e classificá-los dentro do ciclo de tratamento em: dados pessoais, dados sensíveis e dados anônimos. Além disso, mapear onde são coletados, armazanados e tratados, se no Brasil ou exterior, alám reavaliar todo os riscos e controles de acesso a esses dados. É ainda necessário avaliar questões de goverança e funcionalidades de aplicativos para toda a gestão de consentimento do titular, pais, revogação de utilização e ainda, estudo nos pontos de transformação dos dados de titulares e sensíveis em dados anônimos para processamento, garantindo que não possam de maneira reversa ser relacionados ao titular.
Bibliografia:
Lei Geral de Proteção de Dados Pessoais (LGPD).
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
LGPD: O que é, como vai funcionar e o que muda para sua empresa
https://www.senior.com.br/blog/lgpd-o-que-e-como-vai-funcionar-e-o-que-muda-para-sua-empresa
LGPD: o que muda na prática com a Lei 13.709/18
https://www.pwc.com.br/pt/sala-de-imprensa/artigos/lgpd-muda-pratica-plc-53.html
