CONCEITOS LGPD

Conheça os principais conceitos da Lei Geral de Proteção de Dados (LGPD, Lei 13.709/18)

Com o objetivo de reunir, em um único lugar, os principais conceitos que as empresas, profissionais e titulares de dados precisam saber sobre a Lei Geral de Proteção de Dados (LGPD), criamos a presente página. Você pode consultar acessar nossas notícias sobre temas relacionados à Privacidade e Proteção de Dados Pessoais clicando aqui: LGPDNEWS.COM

O que é LGPD (Lei Geral de Proteção de Dados)?

Em suma, a lei 13.709/18, também conhecida como Lei Geral de Proteção de Dados (LGPD), vigente desde setembro de 2020, dispõe sobre o tratamento de dados pessoais realizadas no território nacional. Esse artigo apresenta os principais conceitos da LGPD e, tem como objetivo auxiliar qualquer pessoa que tenha interesse em conhecer sobre o assunto.

A concepção da LGPD – Histórico das Legislações de Privacidade no Mundo

Mapa da proteção de dados no mundo

Diversos países possuem legislações que abordam o tema “Privacidade e Proteção de Dados”, a Serpro adaptou o Mapa da Proteção de Dados, publicado pela Comissão Nacional de Informática e Liberdade (CNIL/França). Veja abaixo:

Mapa de leis de privacidade no mundo. Fonte: SERPRO, adaptado de CNIL.fr

Proteção de dados na União Europeia

Na União Europeia, privacidade e proteção de dados pessoais é um tema relativamente antigo, uma vez que, apesar da General Data Protection Regulation (GDPR ou, em português, Regulação Geral de Proteção de Dados) ter entrado em vigor apenas em 28 de maio de 2018, o direito à privacidade já era abordado na Convenção Europeia dos Direitos do Homem, em 1948.

Em 1979, diversos países do bloco econômico aprovaram regulamentos que tratavam o direito a privacidade e, o tema se consolidou como direito fundamental dos cidadãos da União Europeia desde então.

Legislações de proteção de dados nos Estados Unidos

Apesar de, ainda hoje, não contar com uma legislação federal que aborde especificamente o tratamento de dados pessoais, nos Estados Unidos a Constituição Federal (de 1789), apesar de não garantir explicitamente o “direito à privacidade”, a Suprema Corte dos Estados Unidos, definiu que os artigos Primeiro, Terceiro, Quarto e Quinto, fundamentam o direito à preservação da vida privada.

Adicionalmente, nos Estados Unidos, há uma série de regulamentações que cobrem o direito à privacidade em industrias ou tratamentos específicos, como é o caso do HIPAA (Health Insurance Portability and Accountability Act, de 1996), que cobre o direito à privacidade no tratamento de dados médicos pela industria de seguro e saúde e o GLBA (Gramm-Leach-Bliley Act, de 1999), cujo objetivo é garantir o direito à privacidade para consumidores de instituições financeiras.

Mais modernas, no país há ainda as legislações California Consumer Privacy Act (CCPA, de 2018) e Consumer Data Protection Act (CDPA, de 2021), que garantem o direito à privacidade para consumidores dos estados da California e da Virgínia, respectivamente.

No Brasil, Lei Geral de Proteção de Dados

Aprovada em agosto de 2018 e vigente desde setembro de 2020, a Lei Geral de Proteção de Dados traz aos agentes de tratamentos de dados pessoais, uma série de requisitos e obrigações, semelhante ao que ocorre na União Europeia, por meio da GDPR.

Ambas as legislações têm por objetivo proteger os direitos do titular dos dados, que, como a lei define no art. 5°, é: “pessoa natural a quem se referem os dados pessoais que são objeto de tratamento“, em outras palavras, quaisquer pessoas que tenham seus dados pessoais tratados por uma entidade, pública ou privada.

O que são Dados Pessoais?

Definição da LGPD

Fonte: https://pixabay.com/

A LGPD separa dados pessoais em dois tipos: Dado pessoal e Dado pessoal sensível, sendo (conforme definição da Lei Geral de Proteção de DAdos):

  1. Dado pessoal: “informação relacionada a pessoa natural identificada ou identificável”. Em outras palavras, dado pessoal é todo dado que pode ser utilizado para identificar uma pessoa natural (pessoa física), como exemplo pode-se citar: Nome completo, CPF, RG, Número de telefone, endereço, e-mail, endereço IP, dentre outros.

Dado pessoal sensível: “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”. São dados que, dependendo da utilização, apresentam maior risco à vida íntima e à liberdade individual do titular.

A caracterização de dados pessoais deve considerar o contexto do tratamento, ou seja, um mesmo dado pode ser considerado dado pessoal em um contexto e, em outro, não, por exemplo:

  • Um banco de dados contendo uma lista com milhares de primeiros nomes com, por exemplo (João, Maria, José, etc.), por si só, pode não ser considerado como tratamento de dado pessoal, uma vez que esse dado, nesse contexto, sem dados adicionais, não é suficiente para que um titular seja identificado.
  • Contudo, o mesmo banco de dados, quando associado a outros dados pessoais, como endereço IP e cidade, por exemplo, pode caracterizar um tratamento de dados pessoal.

Dados anonimizados

Fonte: https://pixabay.com/

Por fim, a LGPD apresenta o conceito de dado anonimizado, que é definido como “dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento“.

Em outras palavras, um dado anonimizado não permite a identificação do seu titular, por exemplo: um dado criptografado com tecnologia que não permita a associação do dado com uma pessoa.

O que é tratamento de dados para a Lei Geral de Proteção de Dados?

A LGPD trouxe consigo o conceito de “Tratamento de Dados Pessoais”, que é definida no Art. 5°, X, como: “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.

Em síntese, praticamente qualquer atividade que envolva dado pessoal pode ser enquadrada como “operação de tratamento”, da consulta ao armazenamento do dado pessoal.

Em suma, a LGPD, no Art. 37, exige que toda atividade de tratamento (ou processo) que envolva dado pessoal, seja registrado por uma empresa. A esse registro da-se o nome de RoPA (Record of Processing Activities, como define a GDPR) ou Registro das operações de tratamento (como definido pela LGPD).

O que é RoPA (Registro das operações de tratamento)?

O RoPA (Record of Processing Activities, como definido pela GDPR no artigo 30), é um registro das operações de tratamento que as empresas devem manter, especialmente quando a base legal for fundamentada no Legitimo Interesse.

O que deve constar num RoPA (Registro das operações de tratamento)?

A Lei Geral de Proteção de Dados não estabelece os requisitos mínimos para o registro das atividades de tratamento, contudo, ao se observar os documentos publicados pelas autoridades de proteção de dados da União Europeia, pode-se identificar alguns itens minimos necessários para a construção do registro. Dentre os quais pode-se elencar (lista não exaustiva):

  1. Motivo da coleta dos dados;
  2. Responsáveis pela operação de tratamento;
  3. Definição de controlador e operador;
  4. Quais dados pessoais são tratados na operação;
  5. Período de retenção e descarte dos dados pessoais;
  6. Quem são os titulares envolvidos (colaboradores, clientes, fornecedores, etc.);
  7. Base legal (e sua justificativa) para a operação;
  8. Como são coletados os dados;
  9. Se há compartilhamento com terceiros;
  10. Se há compartilhamento internacional;
  11. Volume de titulares impactados na operação

Ou seja, é importante que o RoPA permita identificar os fluxos de dados pessoais para cada processo (ou atividade de tratamento) executado por uma empresa. Por fim, além do registro das operações de tratamento, alguns processos, por apresentar um nível elevado de risco às liberdades civís e aos direitos fundamentais dos titulares, podem exigir a criação de um RIPD.

O que é RIPD (Relatório de Impacto à Proteção de Dados)?

De antemão, é válido ressaltar que a necessidade de criação de um Relatório de Impacto à Proteção de Dados, ainda é tema de debate pela ANPD (Autoridade Nacional de Proteção de Dados). Recentemente, a autarquia realizou reuniões técnicas, a fim de debater o tema.

Na legislação de privacidade da União Europeia, a GDPR, o artigo 35 apresenta os conceitos e definições de um DPIA (Data Protection Impact Assessment, semelhante ao RIPD). Embora não seja certeza de que a ANPD exiga que a versão brasileira do documento tenha as mesmas características, especialistas em privacidade afirmam que o DPIA seja um bom ponto de partida para criação de um RIPD.

Quando criar um RIPD?

De acordo com a GDPR, quando uma atividade de tratamento utilizar tecnologias inovadoras, considerando a natureza, o escopo e o propósito do tratamento, é possível que esse tratamento resulte em um risco elevado aos direitos e liberdades individuais dos titulares e, portanto é necessário que seja realizado um DPIA.

Embora a necessidade de criação do documento não seja clara – inclusive na GDPR – o portal GDPR.eu elenca alguns exemplos práticos para se considerar quando estiver em dúvidas sobre quando criar um DPIA:

  • Se o tratamento de dados utilizar tecnologias inovadoras/disruptivas (com possíveis riscos desconhecidos);
  • Quando envolver rastreamento dos titulares ou mapeamento de comportamento;
  • Se envolver o monitoramento sistêmico de local acessível a público de larga escala;
  • No tratamento de dados sensíveis (conforme definição da Lei);
  • Para processos que envolvem decisões automatizadas que podem afetar legalmente o titular;
  • Quando há processamento de titulares vulneráveis como, por exemplo, crianças;
  • Por último, quando houver vazamento de dados que podem resultar em danos físicos aos titulares.

Sobre o Autor:

Marcos V. Nunes, profissional com mais de 10 anos em Segurança da Informação e Especialista em Privacidade e Proteção de Dados.