LGPD

A LGPD, lei sancionada em agosto de 2018 que entrou em vigor em setembro de 2020, estipula uma série de obrigações para empresas e organizações sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, tanto online quanto offline.

Com a LGPD, o Brasil entra para o rol de mais de 120 países que possuem lei específica para a proteção de dados pessoais. A lei prevê multas e penalidades consideráveis no caso de não cumprimento dos requisitos impostos na lei.

Uma das principais influências na criação da LGPD, é o GDPR (General Data Protection Regulation), lei de proteção de dados que regulamenta a questão para a União Européia. O GDPR é a mais significante legislação recente sobre proteção de dados, que passou a servir de modelo para muitos outros países adotarem disposições semelhantes ou reforçarem políticas pré-existentes.

A LGPD possui aplicação chamada extraterritorial. Isso significa que a LGPD se aplica independentemente da localização da sede, ou a localização em que os dados são processados.

Nesse caso, a lei é aplicável para empresas e organizações que processam dados pessoais de cidadãos brasileiros, independente da localização física da empresa (se os dados pertencem a indivíduos localizados em Brasil, ou se os dados foram coletados no Brasil – casos em que o titular dos dados estava no Brasil no momento da coleta).

Em um estudo diagnóstico da ABES (Associação Brasileira de Empresas de Software), 60% das empresas ainda não estão em conformidade com as exigências da lei. O Índice LGPD ABES também demonstra que 30% sofreram algum tipo de violação nos últimos 2 anos e 76% lidam com coleta de dados importantes.

O que é um dado pessoal ?

“Dado pessoal” é toda e qualquer informação que identifique ou que possa vir a identificar uma pessoa. O conceito de dado pessoal adotado pela LGPD é bastante amplo:
qualquer dado, isolado ou em conjunto com outros dados, que possa identificar uma pessoa, ou que possa sujeitar uma pessoa a determinado comportamento, pode vir a ser considerado um dado pessoal.

Isso mostra que a LGPD não resume o conceito de dados pessoais a informações básicas de uma pessoa, como nome, email, RG ou CPF. Por exemplo: se uma empresa realiza estratégias de remarketing através do uso de cookies, está utilizando dados de navegação de uma pessoa para impactá-la com publicidade digital.

A pergunta aqui é: um cookie pode ser considerado um dado pessoal? A resposta é sim. Isso porque também pode ser considerado dado pessoal um conjunto de informações que torne a pessoa identificável.

Digamos que um usuário visita com frequência o site da minha empresa. Eu posso não saber o seu nome, nem o seu email, mas, através do uso de cookies, posso inferir perfis comportamentais dele. Podemos identificar se o usuário gosta mais de viagens, livros ou filmes, só para citar alguns exemplos.

Esses dados são suficientes para que a empresa possa criar anúncios de publicidade online e impactar o usuário. Nesse caso, mesmo sem saber ao certo quem é o usuário, a empresa conseguiu impactá-lo com informações que possuía sobre ele. Portanto os cookies podem ser considerados dados pessoais.

Uma das categorias de dados presente na lei são os dados pessoais sensíveis. A LGPD indica uma lista dos dados pessoais considerados sensíveis:

aqueles sobre “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.