Tudo o que você precisa saber sobre LGPD e GDPR

Tempo de leitura: 6 minutos

No dia 14 de agosto de 2018, o projeto de lei PLC 53/2018 foi sancionado. A lei em questão é a Lei Geral de Proteção de Dados (LGPD) que tem por objetivo, devolver aos usuários o poder sobre os seus dados. A legislação tem como base o GDPR, que está em vigor desde maio de 2018 e tem como diretriz o empoderamento do usuário, para que este controle o que as empresas podem ou não fazer com as informações fornecidas.

Entretanto, é válido ressaltar que embora a LGPD tenha como inspiração o GDPR, as legislações têm pontos de divergência que variam, principalmente, pelo contexto da obtenção dos dados. Conheça agora algumas das semelhanças e diferenças entre ambas as leis.


Aplicação

O GDPR é válido para toda a UE. A lei se aplica tanto para dados coletados dentro do bloco, quanto para dados coletados em outros países, mas que se destinam a organizações pertencentes a ele. Também se aplica ao tratamento de dados de cidadãos da UE, para a oferta de produtos ou serviços e, ao monitoramento do comportamento dos indivíduos que estão em alguma localidade do bloco. Não são aplicações da lei: dados para saúde pública e dados para uso pessoal e/ou investigativo para instituições da UE.

A LGPD é um pouco mais restrita, se aplicando a coleta de dados pessoais de indivíduos localizados no Brasil, que são tratados aqui. Também se aplica na obtenção de dados para realizar ofertas de bens e serviços para os brasileiros e residentes  do Brasil. Não são respaldados pela lei os dados que vem ou vão para outro país, usando o território brasileiro apenas como um trajeto para seu destino final. Também não há respaldo caso os dados sejam utilizados para fins pessoais, acadêmicos, artísticos ou para casos de segurança pública.

Tratamento dos dados pessoais

Podemos considerar como dados pessoais toda informação que possa identificar diretamente um indivíduo tais como nome, sobrenome e números de telefone. Também entram nesta definição os dados de identificação indireta, ou seja, que não nomeiam diretamente um indivíduo específico, mas que podem identificar padrões de comportamento para direcionamento de conteúdos.

Os dados pessoais são tratados de forma similar em ambas as legislações. Em ambos os casos, os dados só podem ser tratados se:

    • Houver consentimento do titular;
    • Forem utilizados para executar contratos ou cumprir funções legais;
    • Forem necessários para processos jurídicos ou administrativos;
    • No caso de serem necessários por motivos de saúde, sob solicitação de profissionais da área ou agentes sanitários;
    • Para pesquisas e estudos realizados por órgãos especializados;
    • Caso sejam solicitados pela Autoridade Pública para execução de políticas e leis;
    • Para proteção de crédito do usuário.

Tratamento de dados sensíveis

Dados sensíveis, por definição, são aqueles que dizem respeito à origem étnica ou racial, opiniões políticas, crenças filosóficas ou religiosas, associação a sindicatos, dados biométricos e genéticos, informações sobre saúde e sexualidade. Segundo as diretrizes estabelecidas, esses tipo de dados poderão ser tratados nas seguintes situações:

Dados de crianças e adolescentes

Dentro de ambas as legislações há cláusulas específicas para a captação e processamento de dados de menores. Para o GDPR, os dados de menores de 16 anos só podem ser tratados caso tenha sido concedida permissão assistida. O responsável pelo processamento dos dados deve certificar-se de que os responsáveis do menor tenham consentido o uso. E, os dados de crianças não podem ser mantidos na base por legítimo interesse. Eles devem ser excluídos, se assim for solicitado pelos responsáveis do menor.

Já a LGPD, exige que as informações de consentimento sejam claras e específicas para a criança e que pelo menos um dos responsáveis pelo menor também consinta o uso dos dados.  Em uma exceção, no caso de não haver armazenamento ou compartilhamento de dados e com a finalidade de contatar os responsáveis, a coleta dos dados poderá ser feita sem consentimento dos mesmos. Por fim, é determinado que cabe ao agente responsável pelo tratamento dos dados, o dever de manter informações públicas sobre que tipos de dados estão sendo coletados.

 

Incidentes

No caso de haverem incidentes de vazamentos de dados, foram estabelecidas medidas para notificar o usuário sobre o ocorrido. Isso é uma forma não só de proteger o dono dos dados, mas também de garantir que as devidas medidas investigativas e punitivas sejam tomadas.

Requisitos para a divulgação segundo o GDPR:

    • Deve ser feito em até 72 horas após o ocorrido;
    • O evento pode causar riscos ou danos relevantes posteriormente;
    • Deve ser divulgado a natureza dos dados coletados;
    • O titular dos dados deve ser notificado;
    • Medidas técnicas mitigadoras devem ser repassadas;
    • Dados do Data Protection Officer (responsável por aconselhar e verificar se as normas do GDPR estão sendo cumpridas).

Requisitos para divulgação segundo o LGDP:

    • Deve ser feito em até 72 horas após o ocorrido;
    • O evento pode causar riscos ou danos relevantes posteriormente;
    • Deve ser divulgado a natureza dos dados coletados;
    • O titular dos dados deve ser notificado;
    • Medidas técnicas mitigadoras devem ser repassadas;
    • Ampla divulgação.

Mas afinal, quais são os direitos do usuário?

Este é outro ponto de convergência entre as legislações, elas garantem ao usuário direitos similares e bastante controle sobre seus dados. Com elas, o usuário pode escolher como os dados serão captados e autorizar ou não o seu uso.

Além de saber exatamente as informações que estão sendo captadas, para que estão sendo captadas e poder ter acesso às mesmas, podendo solicitar cópias ou migração para outros serviços. Também pode solicitar que sejam eliminadas do banco de dados, ou interrupção do processo de coleta de dados.

 

Boas práticas

A adequação às novas leis de proteção de dados vai muito além do âmbito jurídico. Ela exige uma mudança na cultura empresarial e na forma de lidar com estes ativos tão importantes, que são as informações de terceiros.

Um conceito que emergiu juntamente com a legislação, que pode ser considerado uma boa prática, é a Privacidade por Design. Ou seja, considerar a proteção dos dados como algo essencial, desde o início do projeto de um sistema. Podemos incluir como boas práticas:

    • Análise de bases legais de tratamento;
    • Readequação dos processos internos de tratamento de dados;
    • Revisar políticas de privacidade;
    • Revisar políticas de segurança da informação;
    • Implementação de registro de processamento de dados;

O ponto principal é devolver ao usuário, o controle pleno de seus dados, lhe dando o poder de escolha e recuperando sua privacidade. Para as empresas, isso significa uma mudança na cultura organizacional da empresa, contando com um Plano Diretor de TI que preveja as adaptações necessárias.