http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
O que é a Lei Geral de Proteção de Dados (LGPD)?
A Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018 alterada pela Lei nº 13.853/2019), chamada de LGPD, regulamenta o uso de dados pessoais no Brasil e estabelece regras sobre o tratamento desses dados, inclusive nos meios digitais, por pessoa natural (qualquer cidadão) ou por pessoa jurídica (empresa) de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade das pessoas.
Quem está sujeito à LGPD?
As novas regras afetarão todos os setores da economia, inclusive as relações entre clientes e fornecedores de produtos e serviços, empregado e empregador e outras relações nas quais dados pessoais sejam coletados, tanto no ambiente digital quanto fora dele.
A partir de quando a lei estará vigente no Brasil?
A LGPD passa a valer a partir de agosto de 2020, fornecendo nesse meio tempo um período para que o mercado se adapte às novas exigências.
As demais legislações continuarão a ter validade com a entrada da LGPD?
Sim, as demais legislações continuam em vigência, a LGPD não revogou nenhuma legislação. Dessa forma, as legislações terão que conviver em harmonia e serão trabalhadas em conjunto. Inclusive na LPGD existe o artigo 64 que fala claramente que essas leis convivam entre si.
A Boa Vista está estruturada para atender à LGPD?
A estrutura e a governança da Boa Vista seguem os melhores padrões de segurança digital, similares aos adotados por instituições financeiras. Nós também conquistamos certificações globais, como o ISO 9001 (gestão da qualidade), o ISO 27001 (gestão da segurança da informação), e o Selo de Maturidade em Gestão, Governança e Qualidade de Dados do DAMA (Data Management Association).
A Lei se aplica somente aos dados digitais?
Não. Qualquer ação que envolva dados pessoais pode ser considerada tratamento, mesmo que seja um simples “bilhete”.
Quais conceitos da lei são importantes conhecer?
· Titular: o “dono” dos dados em questão. Por exemplo: você é o titular de dados como seu telefone, seu endereço, seu e-mail, etc.
· Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais
· Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador
· Agentes de tratamento: fala dessas duas figuras, o controlador e o operador. E uma mesma pessoa natural ou jurídica pode ser em um momento controlador e em outro operador em determinadas hipóteses
· Dado pessoal: informação relacionada à pessoa natural identificada ou identificável. Qualquer dado que possibilite identificar a pessoa é um dado pessoal
· Dado pessoal sensível: dado pessoal que traz origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico quando vinculado à uma pessoa natural. É aquela categoria de dados que vai numa esfera mais privada do titular de dados
· Tratamento: é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Quais são os princípios que o controlador deve seguir para que possa usar e tratar os dados pessoais do titular?
A lei traz 10 princípios que precisam obrigatoriamente ser observados para que os dados do titular possam ser utilizados e tratados: · Finalidade: para o tratamento dos dados do titular, é necessário que o titular saiba exatamente para quais finalidades seus dados serão tratados. Caso o controlador ou os agentes que usam os dados do titular alterarem o escopo de utilização, é necessário que o titular seja comunicado. O princípio da finalidade diz que a realização do tratamento tem que ser para propósitos legítimos, específicos, explícitos e informados ao titular
· Adequação: o uso dos dados tem que ser compatível com a finalidade informada de acordo com o contexto do tratamento
· Necessidade: só é permitida a coleta dos dados que sejam necessários para aquele tratamento
· Livre acesso: garante para os titulares a consulta facilitada e gratuita sobre a forma e duração do tratamento de dados, bem como a integralidade dos seus dados pessoais que estão sendo tratados
· Qualidade dos dados: garante ao titular a exatidão, clareza, relevância e a atualização dos dados que estão sendo tratados de acordo com a necessidade de cumprir aquela finalidade de tratamento que foi informada
· Segurança: é necessário assegurar ao titular dos dados que, tanto na forma física como lógica, será mantida a segurança e proteção dos seus dados
· Transparência: garante ao titular que as informações serão claras, precisas, facilmente acessíveis, e, sobre a realização do tratamento, quais são os agentes, observado o segredo industrial e comercial
· Prevenção: é necessário possuir e comprovar que existem meios que mitigam riscos para o titular dos dados, com atuação preventiva
· Não-discriminação: não é permitido o tratamento de dados para fins de discriminação ilícita ou abusiva
· Responsabilização e prestação de contas: os agentes de tratamento têm que demonstrar que adotaram medidas eficazes e capazes de comprovar que foram observadas e cumpridas as normas de proteção de dados pessoais.
Como funciona a hipótese do consentimento para tratamento de dados na LGPD?
A Lei Geral de Proteção de Dados determina 10 hipóteses que permitem o tratamento de dados. Uma delas é o consentimento inequívoco do titular. O que seria um consentimento inequívoco? É um conjunto de atos do titular de dados que demonstre que ele manifestou a sua vontade em consentir com a coleta e tratamento daquele dado pessoal que está sendo fornecido. Um exemplo de consentimento inequívoco é quando você entra num site e esse site informa que, para prosseguir com a navegação, é necessário consentir com os termos de uso e o titular continua com a navegação conhecendo que, com isso, estará aceitando os termos colocados.
Em que hipóteses o tratamento de dados é permitido, sem necessidade de consentimento do titular?
Além do consentimento inequívoco do titular, a lei traz mais 9 hipóteses igualmente importantes, que autorizam o tratamento de dados: · Quando o dado pessoal está sendo tratado para proteção ao crédito
· Quando o controlador ou terceiro têm interesse legítimo para o tratamento dos dados, que tenha uma base legal e relevância (exceto quando prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais)
· Quando o tratamento dos dados decorre de cumprimento de dever legal ou regulatória pelo controlador
· Quando necessário para execução de contrato ou procedimento preliminares relacionados a contrato do qual o titular seja parte, a pedido do titular
· Pela administração pública, relativo a execução de políticas públicas previstas em lei ou regulamento ou respaldado em contratos ou convênios
· Quando for exercício regular de direito em processo judicial, administrativo ou arbitral;
· Quando envolver estudos por órgão de pesquisa, garantida, sempre que possível a anonimização dos dados
· Para proteção da vida ou da incolumidade física do titular ou de terceiros
· Para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias.
Quais são os principais direitos do titular de dados?
· Ter acesso facilitado, de forma clara, adequada e ostensiva a seus dados pessoais · Ser informado da finalidade específica do tratamento, da forma da duração, observados os segredos comercial e industrial
· Identificar o controlador, com as informações de contato
· Ser informado sobre compartilhamento dos dados pelo controlador com outros agentes e a finalidade.
Quais são as obrigações do controlador?
· Confirmar ao titular a existência do tratamento dos dados · Dar ao titular acesso aos dados
· Dar ao titular a possibilidade de correção dos dados (incompletos, inexatos, desatualizados)
· Possibilitar anonimização, bloqueio ou eliminação dos dados que sejam desnecessários, excessivos ou tratados em desacordo com a LGPD
· Garantir a portabilidade dos dados, observados os segredos comercial e industrial;
· Eliminar os dados quando não mais necessários para o tratamento
· Informar os direitos ao titular
· Dar ao titular a possibilidade de negar consentimento e comunicar as consequências dessa negativa
· Possibilitar a revogação do consentimento.
Agentes de dados que descumprirem a LGPD estão sujeitos a sanções?
Sim. O descumprimento da LGPD pode acarretar à parte infratora sanções como: · Bloqueio do tratamento de dados a que se refere a infração até regularização
· Eliminação dos dados pessoais a que se refere à infração
· Multa de até 2% do faturamento do grupo no Brasil
· Multa diária com o teto de até 2% do faturamento do grupo no Brasil
· Advertência
· Publicização da Infração
Que papel os clientes da Boa Vista têm na LGPD?
O cliente Boa Vista pode ser um operador de dados pessoais segundo a LGPD quando, por exemplo, envia à Boa Vista informações de um consumidor inadimplente. Já nos casos em que o cliente, por exemplo, usar os dados da Boa Vista, ele pode ser considerado controlador sob a ótica da LGPD. Em ambos os casos, nossos parceiros de negócios têm importância fundamental na nossa jornada de adequação à lei e precisam andar lado a lado com a Boa Vista em cada passo.
O cliente da Boa Vista que acessa consultas por meio de “string de dados” precisa fazer alguma alteração de layout para se adequar à LGPD?
É possível que sim, nos casos em que precisemos garantir algum parâmetro de segurança nessa troca de dados. Recomendamos às empresas que se enquadrem nesse modo de consulta, que consultem seus respectivos Gerente de Conta da Boa Vista para receber informações mais detalhadas.