COMO ENTENDER A LGPD

O que é tratamento de dado perante a lei, LGPD?

O tratamento de dados é praticamente qualquer ação feita com os dados do titular por um agente controlador, ou operador que são quem perante a lei podem manipular esses dados. Essas ações podem ser: armazenamento, arquivamento, avaliação, classificação, coleta, comunicação, controle, difusão, distribuição, eliminação, extração, modificação, processamento, produção, recepção, reprodução, transferência, transmissão.

Quem é o controlador?

O controlador dos dados é a pessoa ou empresa que é responsável pelo tratamento dos dados. A importância dele na LGPD é muito grande tanto que é o agente mais citado na lei.

No artigo 5 da Lei Geral de Proteção de Dados Pessoais está descrito assim:

VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

No caso dos dados pessoais serem tratados por uma empresa, mesmo se for com o trabalho de pessoas físicas a responsabilidade do tratamento dos dados é da pessoa jurídica.

O que é LGPD?

É uma lei que surgiu recentemente em 2018 entrando em vigor em agosto de 2020 e visa o tratamento de dados e privacidade de pessoas físicas por empresas ou outras pessoas.

O que é dado anonimizado?

Esse termo é muito usado na Lei Geral de Proteção de dados (LGPD), ele quer dizer que se um dado que antes era usado para identificar um titular do dado pode ser anonimizado, que é trocar caracteres, serializar ou usar outras técnicas para não identificar um individuo.

Na lei no art. 5º item III onde explica os termos usados, está descrita assim:

III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

 Outro local que essa técnica também é usada normalmente é no cadastro de cartões de crédito, quando a pessoa deixa a informação salva. Para confirmar se é o cartão certo é mostrado apenas  os 4 últimos dígitos os outros são apagados, ou preenchidos com X, ou asteriscos.

O que é privacidade de dados?

 Se tratando de meios digitais a privacidade é assegurada quando o usuário tem pleno controle sobre quais os seus dados são coletados e como serão usados. É a possibilidade de controlar a exposição e a disponibilidade de informações acerca de si mesmo, o que é chamado de regulação dos limites, a quantidade de controle de entrada e saída.

Tudo isso para a pessoa ter seu direito de liberdade garantido pelo anonimidade.

O que é ROPA da lgpd?

A sigla vem do GDPR então se refere a termos em inglês Record of Processing Activities, ou seja, registro de atividade de processamento. É um documento, gerado por um sistema ou não, onde se registra todas as atividades de processamento de dados pessoais. Este termo não existe exatamente na LGPD, mas tem sua equivalência.

Qual o equivalente ao ROPA na LGPD?

São exigências na lei nacional do art. 37 ao 40. Seria um registro elaborado pela controladora e o operador dos dados, para descrever todo o tratamento deles, desde seu registro até a exclusão.

Quais as vantagens do ROPA na LGPD?

Além de ser uma obrigação fazer esse registro ajuda a identificar a real necessidade de manter dados na base, prever possíveis vazamentos, prestar de informações à ANPD e identificar processos do tratamento de dados.

O que deve ter no ROPA?

Veja a lista abaixo e logo em seguida as explicações dos itens.
O ICO (Information Commissioner’s Office) diz que no ROPA deve ter pelo menos:

• Dado de contato dos responsáveis;
• Finalidade do processamento;
• Descrição das categorias;
• Categorias de destinatários;
• Prazo de retenção;
• Fundamentação legal para armazenamento;
• Descrição das medidas técnicas.

Quem são os responsáveis?

Controladores, operadores, sub operadores, DPO.

O que é finalidade de processamento?

O propósito a ser atingido com esse processamento de dados pessoais.

O que é descrição das categorias?

Descrição de quais tipos de dados pessoais serão coletados e qual a sua finalidade.

O que são categorias de destinatários?

São as categorias de destinatários a quem os dados pessoais foram ou serão divulgados, incluindo as transferências internacionais;

O que é prazo de retenção?

Tempo em que os dados serão mantidos no sistema, até sua exclusão ou total anonimização.

O que são descrição das medidas técnicas?

São os registros referente as medidas de segurança, técnicas usadas e organização para a proteção de dados.

O que diz na lei nacional?

Agora na LGPD tem algumas solicitação muito semelhantes do art. 37 ao 40:

Art. 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.

Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.

Parágrafo único. Observado o disposto no caput deste artigo, o relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.

Art. 39. O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria.

Art. 40. A autoridade nacional poderá dispor sobre padrões de interoperabilidade para fins de portabilidade, livre acesso aos dados e segurança, assim como sobre o tempo de guarda dos registros, tendo em vista especialmente a necessidade e a transparência.

Como deve ser armazenado?

Diferente da GDPR na LGPD não é informado como estes registros devem ser mantidos, mas podemos seguir a lei europeia, que determina que os registros devem ser efetuados por escrito e em formato eletrônico, até a ANPD fazer essa declaração oficialmente.

Quem deve manter o documento atualizado?

Como mostrado acima no art. 37 o controlador e o operador.

Veja mais em:

Como se adaptar a LGPD?

A ANPD já mostrou a que veio?

O que é GDPR?

O que mudou da LGPD depois da formação da ANPD?

Como fazer o ROPA da minha empresa?

Momento desciclopédia

Google sobre ropa lgpd

Você quis dizer: roupa lgpd

Obrigado Google, mas é isso mesmo ROPA LGPD e não roupa LGPD (risos).

O que seria uma roupa lgpd? Uma camisa ante furto de dados, talvez? De onde o Google tira essas sugestões? Ficam aí os questionamentos, se quiser comente.

De acordo com a LGPD quem é o operador?

De acordo com a Lei Geral de Proteção de dados Art.: 5º item VII:

VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

Ou seja são os funcionários das empresas, a própria empresa ou terceirizados.  Quem irá tratar os dados sob a responsabilidade do controlador.  Ele e o controlador são também chamados de agentes da informações são os únicos que podem tratar os dados.

Os sistemas e as softwares houses se enquadram aqui também.

O que faz a LGPD?

A finalidade da LGPD é regulamentar como as empresas irão tratar os dados coletados de pessoas físicas, assegurando o controle dessa informação para as pessoas.

O que significam os termos mais usados na LGPD?

Tratamento dos Dados

 É praticamente toda a ação feita com o dado, inserção, modificação, exclusão transferência, tudo é chamado de tratamento dos dados. 

Dados pessoais

Toda a informação que pode ser vinculada a uma pessoa. Os dados mais comuns vinculados são documentos como RG ou CPF, e-mail, telefone, informações de compra ligadas aos clientes... No caso do endereço um CEP ou cidade não é um dado pessoal, mas a rua e o número da casa sim. 

Dados sensíveis

São informações que podem gerar alguma descriminação basicamente, como opinião política, religiosa, registros ligados a saúde, identidade de gênero entre outras. 

Dados anonimizados

É a informação que foi tirado o vinculo com a pessoa, por técnicas que pode ser trocar caracteres para não ser possível identificar o nome de uma pessoa, cpf ou outro dado. Ou desvincular o registro das vendas do clientes e usar apenas informação estatística como quantas pessoas compraram em uma cidade.

Privacidade de dados

Quais os direitos dos titulares referentes a LGPD?

 A lei prevê que o titular tenha a autonomia para controlar os seu dados podendo assim garantir a veracidade e poder excluir quando desejar. Também é garantido o direito a liberdade, proteção de intimidade e privacidade.

Por sua vez o controlador dos dados deve fornecer uma relação de onde os dados do titular serão tratados. Essa relação deve ser de forma clara e objetiva para garantir o entendimento do titular.

Isso tudo é citado no capítulo III da Lei Geral de Proteção de Dados mais detalhadamente.

Quais os papeis descritos na LGPD?

Titular dos Dados;

Controlador do dados;

Operador dos dados;

Agentes da Informação;

Encarregado;

Autoridade Nacional (ANPD);

Qual a base da LGPD?

A lei é baseada na GDPR (Regulamento Geral de Proteção de Dados da União Europeia) que é a versão europeia vigente a anos. Ou seja existe um movimento mundial em relação a proteção dos dados, e essa lei já tem suas versões em várias partes do mundo o que garante maior probabilidade de negócios, por aumentar os critérios de confiança. 

Ela visa estabelecer boas práticas de como empresas e outras pessoas tratam o cadastro de pessoas físicas. A lei trata apenas de dados de pessoas físicas para Pessoas jurídicas não se aplica. Ela serve para garantir a privacidade dos dados das pessoas pessoas físicas, garantindo a possibilidade de anonimidade caso assim deseje.

Visa também analisar qual o objetivo daqueles dados serem coletados pelas empresas, qual a real necessidade, se o titular dos dados deu consentimento para uso deles, se o uso dos dados pode gerar alguma descriminação, se a empresa tem responsabilidade e garante segurança no uso da informação… 

Impedir que empresas compartilhem dados pessoais pessoais sem notificar e o titular dos dados dar consentimento. A lei não proíbe o uso de dados para compartilhar informação, mas exige que a pessoa tenha dado autorização específica para cada uso dela.

Por que se adequar a lgpd?

Penalidades ou sanções administrativas pesadas

Multas previstas de 2% do faturamento até 50 milhões por infração.

Antes terá advertência e depois também pode ter multas diárias até a regulamentação e bloqueio dos dados em questão até que seja regularizado, eliminação dos mesmos, bloqueio da base por até 6 meses. 

Isso não será feito de uma hora para outra a lei estipulas notificações e tempo para adequação. 

Maior credibilidade no tratamento de dados

Esses são alguns dos motivos que considero muito importante para que a lei seja bem trabalhada. Pois a multa é alta e se aplicarmos as medidas necessárias podemos usar para mostrar aos clientes a seriedade e comprometimento que tratamos seus dados.

De acordo com a LGPD quem é o titular?

titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento; 

É a pessoa proprietária dos dados, seja ela um cliente, usuário, funcionário, qualquer pessoa física, ou seja são todos as pessoas que tem seus dados sendo tratados pelas empresas ou outras pessoas. 

Para empresas essa lei não se aplica, mas se for cadastrado os dadospessoais de um funcionário, de um fornecedor, ou cliente sim.