![LGPD LGPD](https://imagic.net.br/novidades/wp-content/uploads/2021/01/LGPD-Destaque-1.jpg)
LGPD
28 de janeiro de 2021Entendendo a LGPD – Lei Geral de Proteção de Dados
A LGPD, lei sancionada em agosto de 2018 que entrou em vigor em setembro de 2020, estipula uma série de obrigações para empresas e organizações sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, tanto online quanto offline.
Com a LGPD, o Brasil entra para o rol de mais de 120 países que possuem lei específica para a proteção de dados pessoais. A lei prevê multas e penalidades consideráveis no caso de não cumprimento dos requisitos impostos na lei.
Uma das principais influências na criação da LGPD, é o GDPR (General Data Protection Regulation), lei de proteção de dados que regulamenta a questão para a União Européia. O GDPR é a mais significante legislação recente sobre proteção de dados, que passou a servir de modelo para muitos outros países adotarem disposições semelhantes ou reforçarem políticas pré-existentes.
![](https://imagic.net.br/novidades/wp-content/uploads/2021/01/Protecao-de-Dados.jpg)
A quem a LGPD se aplica ?
![](https://imagic.net.br/novidades/wp-content/uploads/2021/01/ONDE-SER-APLICA-LGPD.png)
A LGPD possui aplicação chamada extraterritorial. Isso significa que a LGPD se aplica independentemente da localização da sede, ou a localização em que os dados são processados.
Nesse caso, a lei é aplicável para empresas e organizações que processam dados pessoais de cidadãos brasileiros, independente da localização física da empresa (se os dados pertencem a indivíduos localizados em Brasil, ou se os dados foram coletados no Brasil – casos em que o titular dos dados estava no Brasil no momento da coleta).
Em um estudo diagnóstico da ABES (Associação Brasileira de Empresas de Software), 60% das empresas ainda não estão em conformidade com as exigências da lei. O Índice LGPD ABES também demonstra que 30% sofreram algum tipo de violação nos últimos 2 anos e 76% lidam com coleta de dados importantes.
Quais os principais conceitos da LGPD ?
O que é um dado pessoal ?
“Dado pessoal” é toda e qualquer informação que identifique ou que possa vir a identificar uma pessoa. O conceito de dado pessoal adotado pela LGPD é bastante amplo:
qualquer dado, isolado ou em conjunto com outros dados, que possa identificar uma pessoa, ou que possa sujeitar uma pessoa a determinado comportamento, pode vir a ser considerado um dado pessoal.
Isso mostra que a LGPD não resume o conceito de dados pessoais a informações básicas de uma pessoa, como nome, email, RG ou CPF. Por exemplo: se uma empresa realiza estratégias de remarketing através do uso de cookies, está utilizando dados de navegação de uma pessoa para impactá-la com publicidade digital.
A pergunta aqui é: um cookie pode ser considerado um dado pessoal? A resposta é sim. Isso porque também pode ser considerado dado pessoal um conjunto de informações que torne a pessoa identificável.
Digamos que um usuário visita com frequência o site da minha empresa. Eu posso não saber o seu nome, nem o seu email, mas, através do uso de cookies, posso inferir perfis comportamentais dele. Podemos identificar se o usuário gosta mais de viagens, livros ou filmes, só para citar alguns exemplos.
Esses dados são suficientes para que a empresa possa criar anúncios de publicidade online e impactar o usuário. Nesse caso, mesmo sem saber ao certo quem é o usuário, a empresa conseguiu impactá-lo com informações que possuía sobre ele. Portanto os cookies podem ser considerados dados pessoais.
O que é um dado sensível ?
Uma das categorias de dados presente na lei são os dados pessoais sensíveis. A LGPD indica uma lista dos dados pessoais considerados sensíveis:
aqueles sobre “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.
O que pode ser considerado um tratamento de dados?
Tratamento é qualquer operação realizada com um dado, da coleta ao descarte. A LGPD estipula normas para qualquer ação de tratamento de dados pessoais: como a coleta, classificação, utilização, compartilhamento, reprodução, processamento, arquivamento, armazenamento etc.
Atores e papéis
Existem dois principais agentes, com papéis e responsabilidades específicas, de acordo com a LGPD: o controlador e o operador.
- Controlador: É a empresa/organização que toma as decisões em relação aos dados pessoais, que define quando e como os dados serão coletados, para quais finalidades serão utilizados, onde e por quanto tempo serão armazenados;
- Operador: É a empresa/organização que realiza o processamento de dados pessoais sob as ordens do controlador. O operador não toma decisões em relação ao uso dos dados.
Na prática, vamos supor que a sua empresa precise contratar um serviço de armazenamento em nuvem para armazenar os dados que possui. Nessa relação, a sua empresa é considerada controladora de dados, enquanto a empresa contratada para armazenar os dados pode ser considerada operadora.
A sua empresa é controladora, operadora ou, dependendo do contexto, ambos. É importante entender quais são esses papéis e quais responsabilidades eles trazem para a sua empresa em relação à LGPD.