Para ter o entendimento completo de qualquer assunto, é importante saber qual é a real origem dele ou qual foi a sua inspiração. Então, antes de fazermos você entender sobre a Lei Geral de Proteção de Dados, explicaremos a GDPR. Lei estrangeira que deu origem a Lei Geral de Proteção de Dados.
Boa leitura!
GDPR
A General Data Protection Regulation entrou em vigor em maio de 2018. Ela veio para simplificar e harmonizar as leis de proteção e privacidade de dados dos cidadãos europeus. Ela chegou para substituir mais de 20 leis que tratavam sobre o tema por toda a Europa. Unindo em uma lei só, toda a regulamentação que abordava o assunto. Aqui, conhecida como Lei Geral de Proteção de Dados.
Então, para entender como funciona a GDPR, precisamos abordar alguns conceitos:
O que podemos considerar quanto ao tema “dados pessoais”, tanto na GDPR quanto na Lei Geral de Proteção de Dados?
Os dados pessoais são informações que tornam possível a identificação de uma pessoa natural. Pessoa capaz de direitos e obrigações na esfera civil. Todo ser humano recebe a denominação de pessoa – natural ou física – para ser denominada como sujeito do direito, ente único, do qual e para o qual decorrem normas.
Ou seja, o conceito representa qualquer dado que possa ser associado a um indivíduo. Fazendo com que a aplicação da norma concentre sobre o poder que a pessoa tenha sobre o seu próprio dado. A definição de dado pessoal pode influenciar o equilíbrio de poder entre o cidadão e aquele que coleta e utiliza seus dados.
O que é tratamento de dados?
O tratamento de dados baseia-se em operações efetuadas sobre os dados pessoais. Como: a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Seja por meio de mecanismos automatizados ou não automatizados.
Em que momento o tratamento de dados pessoais poderá ser realizado por empresas no geral?
O tratamento de dados pessoais poderá ser feito somente nos seguintes casos:
- Quando a pessoa física tiver conhecimento de como e por qual motivo os seus dados serão utilizados. Além do mais, ela deve autorizar o tratamento dos dados;
- Para o cumprimento de obrigação legal ou regulatória pela pessoa ou instituição responsável por controlar os dados. Assim como tomar as decisões sobre eles;
- Quando um contrato for feito e as informações pessoais forem necessárias à execução;
- Em processo administrativo, judicial ou de arbitragem;
- Para atender os interesses legítimos do controlador de dados ou de terceiros. Com exceção nos casos em que direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais prevalecerem.
Qual a maneira correta das empresas obterem autorização da pessoa física para tratamento de seus dados?
Como previsto na Lei Geral de Proteção de Dados nº 13.709/18, o consentimento deverá ser fornecido por escrito ou por qualquer outro meio que, de fato, demonstre que o titular está ciente do tratamento dos dados fornecidos.
Caso a autorização seja por escrito, a cláusula deverá estar destacada das demais cláusulas contratuais e com suas finalidades especificadas, inclusive quando as informações precisarem ser compartilhadas com terceiros. Autorizações genéricas não valerão e está proibido qualquer tipo de tratamento de dados pessoais com falhas no consentimento.
E se houver alguma alteração no tratamento dos dados? Então, a pessoa ou instituição responsável pelo tratamento de dados deverá acionar o titular. Comunicar sobre as alterações e atualizações, passando assim ser da vontade do titular que seus dados permaneçam ou não sendo manipulados nas novas condições.
De qualquer maneira, o titular dos dados poderá revogar a manipulação de seus dados e o controlador deverá oferecer tal procedimento de forma facilitada e gratuita. Cabe às empresas deixar claro para a pessoa física está ciente e de acordo com o tratamento de seus dados.
Quais informações o titular tem direito de saber sobre o tratamento de dados?
Como dissemos anteriormente, é importante deixar claro para o titular como e por que seus dados serão manipulados. Além disso, a empresa também é responsável por facilitar o acesso às informações sobre o tratamento dos dados, que deverão ser disponibilizadas de forma evidente sobre:
- A finalidade específica do tratamento;
- A forma e duração do tratamento;
- Identificação e informações de contato do controlador;
- Informações sobre o compartilhamento dos dados, caso exista;
- Responsabilidades e obrigações das pessoas que executarão o tratamento;
- Direitos que o titular possui.
Com a nova regulamentação, a União Europeia passa a considerar a proteção dos dados pessoais e seus cidadãos como um direito humano. Assim como a liberdade de ir e vir, por exemplo.
A GDPR terá como finalidade principal a proteção e fortalecimento da privacidade dos dados pessoais de seus cidadãos.
Mas afinal, se a GDPR é uma Lei da União Europeia, qual a importância dela para empresas brasileiras?
Ela é importante porque é aplicável a toda empresa que fizer tratamento de dados de cidadãos europeus. Independente de onde estiverem. Ou seja, se a sua empresa estiver localizada em território brasileiro ou território internacional (independentemente do país) e estiver lidando com os dados de cidadãos europeus, é importante que ela esteja de acordo com toda a regulamentação.
Quais as principais novidades que a Lei traz?
Uma das principais mudanças é justamente na ampliação da jurisdição, pois é aplicável a toda empresa que fizer o processamento de dados de cidadãos europeus. O que, de fato, pode ocorrer com mais frequência que imaginamos.
Outro ponto importante que a regulamentação aborda é sobre o consentimento. Exige-se que o consentimento para tratamento de dados aconteça para termos de fácil compreensão. Não serão mais permitidos textos prolixos e longos, porque estes dificultam ou podem dificultar a compreensão de quem está lendo.
Ainda em relação ao consentimento, é necessário que seja tão fácil de ser retirado quanto foi para ser inserido, então caso a pessoa não concorde mais com o tratamento dos seus dados, deve conseguir manifestar sua vontade de forma simples, ou seja, não deve ser uma funcionalidade escondida na plataforma.
Antes do indivíduo fornecer seu consentimento, deverá ser avisado de que forma será feito o processamento daquelas informações. Assim, a coleta e uso de dados pessoais só poderá ser feita com o consentimento explicito.
Novo direito de acesso:
Além da confirmação, a pessoa deverá ser informada sobre o lugar em que estão sendo processados os seus dados e a finalidade. A pessoa pode solicitar (e deve!) que o controlador atualize ou altere seus dados sempre que estiverem desatualizados ou incorretos.
O titular pode exigir também que suas informações sejam apagadas. Ação decorrente do “direito de ser esquecido”. O indivíduo pode solicitar que sejam interrompidas maiores disseminações e até que terceiros parem os processamentos de seus dados.
Direito de ser esquecido:
O direito de ser esquecido teve início de uma maneira um tanto quanto tenebrosa. O que você vai ver agora parece mais uma história baseada nas obras de Stephen King:
Era 1993, em Liverpool – Inglaterra. A câmera de segurança de um shopping gravou dois meninos, ambos com 10 anos de idade. Levavam uma criança de dois anos para dar uma volta. A mãe do menininho de 2 anos, após alguns minutos, percebeu a ausência de seu filho. Desesperada, aciona a polícia local e os seguranças do shopping.
A história, infelizmente, não teve um final feliz. Os meninos que raptaram a criança o executaram em uma ferrovia. Os dois rapazes torturaram a criança até a morte, deixando seu corpo nos trilhos. A vítima é o pequeno James Bulger.
O caso, como já era de se esperar, ficou muito conhecido na Inglaterra, veiculado intensamente pela mídia. O pai de James chegou a declarar publicamente que iria atrás dos dois meninos que assassinaram seu filho assim que fossem soltos.
Odiados não só por todo o país, mas também por toda a Europa, os jovens tiveram sua liberdade no ano de 2001. Com 18 aos de idade, após cumprirem 8 anos em instituições juvenis. A juíza do caso, já ciente que em algum momento a soltura dos jovens ocasionaria na supressão de suas vidas, proferiu uma decisão sem precedentes, assegurando aos assassinos uma proteção vitalícia ao anonimato.
Devido às inúmeras ameaças, a juíza ordenou a criação de novas identidades e proibiu a mídia de veicular a localização dos dois jovens, impedindo também a divulgação de quaisquer dados e imagens a eles relacionadas.
A decisão mencionada faz parte de um dos exemplos do que se convencionou a denominar direito ao esquecimento. Assunto polêmico que, em linhas gerais, corresponde ao direito de não ter a memória pessoal revirada a qualquer instante, seja quais forem as intenções.
Com origem histórica no segmento de condenações criminais, o direito ao esquecimento não é uma descoberta recente. Porém, por conta dos avanços tecnológicos, adquiriu novas direções.
Direito de portabilidade dos dados:
O direito de portabilidade é o direito da pessoa física titular dos dados de controlar, gerenciar e reutilizar seus dados pessoais.
Por exemplo: a Ana cedeu seus dados para a empresa X. Ela quer que seus dados sejam transferidos para a empresa Y. Mesmo essas duas empresas sendo concorrentes, a empresa X é obrigada a transferir os dados para a empresa Y de forma gratuita e, se for da vontade da Ana, a empresa X já não poderá mais deter seus dados.
Assim, dentro da Lei Geral de Proteção de Dados (e da GDPR), Ana não será mais vítima do lock in. O que acontece quando um consumidor fica preso a uma empresa prestadora de serviço por causa da dificuldade estrutural e dos custos elevados para trocar de prestadora de serviço e porque, trocando de empresa, simplesmente ocasionaria na perda de dados.
Para a portabilidade acontecer, é necessário que seja desenvolvido ou já exista um sistema integrado com compatibilidade entre o envio do pacote/banco de dados de uma pessoa natural e o recebimento desses dados. Este é um trabalho técnico de origem tecnológica que precisa acontecer para que o direito à portabilidade seja efetivo.
Por que é tão importante adequar-se a Lei Geral de Proteção de Dados?
Até agora não te convencemos sobre como é importante adequar-se as regras da GDPR ou da Lei Geral de Proteção de Dados? O que vamos mencionar, com certeza será um ótimo incentivo:
Penalidades:
As empresas podem ser multadas em até 4% do seu faturamento global anual ou até o teto de 20 milhões de euros (mais de 120 milhões de reais, atualmente). De acordo com um relatório da Ovum, 52% das empresas acreditam que serão multadas por não cumprimento da GDPR ou da Lei Geral de Proteção de Dados.
A penalidade é aplicada aos casos mais graves, como por exemplo: a comercialização de um bloco de dados sensíveis e a falta de consentimento dos indivíduos para o processamento dos dados.
São considerados dados sensíveis: opiniões políticas, religiosas ou até mesmo dados genéticos.
E se houver uma violação ao sistema de segurança da empresa?
A empresa deverá realizar uma notificação de violação. Essa notificação deve ocorrer em até 72 horas após o ocorrido. Ser notificada em todos os estados em que a violação possa resultar em riscos para os direitos e liberdades dos indivíduos.
Se a sua empresa realiza o tratamento de dados, uma das principais medidas a ser adotada é:
Elaborar o termo de uso e política de privacidade de forma completa. Bem redigidos, de forma clara e de fácil compreensão.
Em muitos casos, a melhor alternativa pode ser recorrer a consultorias especializadas, capazes de descomplicar as exigências e de sugerir os caminhos mais coerentes para a adequação.
A Lei Geral de Proteção de Dados (LGPD) já é uma realidade e você precisa preparar seu negócio o mais breve possível. Por isso, conte com gente!
Quer saber como podemos ajudar você e o seu negócio? Agende uma consultoria gratuita!
A Areco possui um documento didático sobre EPR ? Sem ser o KB.