LGPD - Lei Geral de Proteção de Dados

A Lei Geral de Proteção de Dados Pessoais (LGPD – Lei n°. 13.709, de 14 de agosto de 2018) foi promulgada para proteger os direitos fundamentais de liberdade e de privacidade e a livre formação da personalidade de cada indivíduo. Essa Lei versa sobre o tratamento de dados pessoais, dispostos em meio físico ou digital, feito por pessoa física ou jurídica de direito público ou privado e engloba um amplo conjunto de operações efetuadas em meios manuais ou digitais. 

Diante das características apresentadas pela LGPD é necessário também destacar seus principais atores: 

• No papel central, por sua importância, tem-se o titular, qualquer pessoa natural, protegida pelo princípio da autodeterminação informativa (inciso III do art. 2º da Lei Geral de Proteção de Dados); 

• A seguir, o controlador, pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais (inciso VI do art. 5º da Lei Geral de Proteção de Dados). O controlador pode exercer diretamente o tratamento dos dados. Mas pode, também, designar um operador; 

• O operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador (inciso VII do art. 5º da Lei Geral de Proteção de Dados). Ambos, controlador e operador, recebem a nomeação de “agentes de tratamento” (inciso IX do art. 5º da Lei Geral de Proteção de Dados); 

• O encarregado corresponde a uma pessoa natural inequivocamente investida nessa função (que, na legislação europeia, corresponde ao Data Protection Officer - DPO). Sua incumbência é de fazer a intermediação entre o titular e os agentes de tratamento, mas também entre estes agentes e a Autoridade Nacional de Proteção de Dados - ANPD - (inciso VII do art. 5º da Lei Geral de Proteção de Dados); 

• finalmente, a Autoridade Nacional de Proteção de Dados - ANPD tem a missão de regular o setor de tratamento de dados pessoais. Está autorizada, portanto, a agir em proteção aos princípios e fundamentos da Lei Geral de Proteção de Dados. 

Ainda na etapa de Construção e Execução do PGP-Programa de Governança em Privacidade, tem-se o desenvolvimento e/ou a atualização das diretrizes internas de proteção de dados pessoais, e deve ser verificado se não há tratamento excessivo de dados, se os controles de segurança são suficientes para os dados tratados, se é necessário a retenção de determinados dados tratados e se é necessário revisar contratos. Desse modo, torna-se fundamental o desenvolvimento de uma política de segurança e de privacidade de dados. Também é necessário a elaboração de uma Política de Privacidade pelo qual o prestador de serviço transparece ao usuário a forma como o serviço realiza o tratamento dos dados pessoais e como ele fornece privacidade ao usuário. A Política de Privacidade, que faz parte do Termo de Uso, origina-se da responsabilidade de os agentes de tratamento de dados serem transparentes com o titular de dados e informarem como as atividades de tratamento de dados atendem os princípios dispostos no artigo 6º LGPD.

 Portanto, o documento é, ao mesmo tempo, um dever do controlador e um direito do titular. Assim, de acordo com o Termo de Uso e Política de Privacidade, o serviço deve informar ao titular do dado como ele fornece a privacidade necessária para que a confidencialidade dos dados prestados pelos titulares dos dados seja garantida de forma eficiente e como os princípios abaixo são atendidos. 

● Finalidade: Obrigatoriedade de tratamento somente para fins legítimos, específicos, explícitos, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades (art. 6º, I); 

● Adequação: Compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento (art. 6º, II); 

● Necessidade: Limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados (art. 6º, III); 

● Livre acesso: Garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais (art. 6º, IV). 

● Qualidade dos dados: Critérios de qualidade dos dados, para garantir, aos titulares, a exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento (art. 6º, V). 

● Transparência: Critérios de transparência, para garantir, aos titulares, o fornecimento de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial (art. 6º, VI). 

● Segurança: Critérios de segurança, para que se utilize medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão (art. 6º, VII); 

● Prevenção: Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais (art. 6º, VIII); 

● Não discriminação: Critérios de não discriminação, para garantir que não se realize o tratamento de dados para fins discriminatórios ilícitos ou abusivos (art. 6º, IX). 

● Responsabilização e prestação de contas: para que, para cada tratamento de dados se possa demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas (art. 6º, X). 

Sugere-se que uma Política de Privacidade contenha os tópicos: 

1 – Controlador 

2 – Operador 

3 – Encarregado 

4 - Quais dados são tratados 

5 – Como os dados são coletados 

6 – Qual o tratamento realizado e para qual finalidade 

7 – Compartilhamento de dados 

8 – Segurança dos dados 

9 – Cookies 

10 – Tratamento posterior dos dados para outras finalidades 

11 – Transferência internacional de dados 

Adequação Cláusulas Contratuais 

Para adaptar os contratos e outros instrumentos que impliquem no tratamento de dados pessoais, mapeados pelo Inventário realizado na etapa de Iniciação e Planejamento, é importante rever os documentos vigentes e os dados já coletados. No âmbito dos contratos administrativos, pode ser necessário que a Empresa revisite as cláusulas contratuais econômicas firmadas. Pode ser preciso incluir novas cláusulas, conforme os princípios da LGPD, apresentados em seu art. 6º. Como um dos princípios listados é a transparência, torna-se essencial que o contrato apresente informações claras e objetivas, abordando, se pertinente: 

▪ Delimitações claras e objetivas das responsabilidades do controlador e operador; 

▪ A forma que é realizada a coleta e o tratamento de dados; 

▪ A existência da possibilidade de o titular acessar os seus dados coletados; 

▪ A forma que é realizada a correção, bloqueio ou eliminação de dados mediante solicitação do titular; 

▪ A existência da possibilidade de revogação do consentimento dado pelo titular; 

▪ O detalhamento de quem tem acesso aos dados, o responsável por seu uso e tratamento, a forma de armazenamento e as particularidades de possíveis auditorias; 

▪ As medidas de proteção e segurança dos dados coletados e armazenados pela contratada. 

O Termo de Uso

O Termo de Uso, como a Política de Privacidade, advém da consciência do controlador e operador ser transparente com o titular de dados pessoais e comunicar como as atividades de tratamento desses dados observam os princípios dispostos no artigo 6º da LGPD. Em cumprimento aos princípios da publicidade e da transparência, e a fim de assegurar aos cidadãos amplo acesso às informações, os termos devem ser regularmente atualizados a fim de refletir, de modo claro e preciso, as finalidades de coleta, uso, armazenamento, tratamento e proteção dos dados pessoais dos titulares, que comumente serão utilizados pelo órgão e entidade no exercício de suas competências legais ou execução de políticas públicas, devidamente previstas em lei, regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres. 

Os tópicos que devem constar no Termo de Uso:

1. Aceitação dos Termos e Políticas 

2. Definições 

3. Arcabouço Legal 

4. Descrição do serviço 

5. Direitos do usuário 

6. Responsabilidades do usuário e da Empresa 

7. Mudanças no Termo de Uso 

8. Informações para contato 

9. Foro