Conheça os principais conceitos da LGPD – A nova lei brasileira de proteção de dados pessoais.
Publicada em agosto de 2018, a LGPD – Lei Geral de Proteção de Dados vai exigir a implantação de um conjunto de regras e processos dentro de empresas e entidades públicas. A lei que busca garantir a privacidade dos dados das pessoas localizadas em território brasileiro, é um documento complexo e seu cumprimento será obrigatório a partir de agosto de 2020. Veja abaixo os principais conceitos da LGPD:
Avaliações de Impacto da Privacidade: do inglês “Privacy Impact Assessments – PIA”, se refere ao conjunto de procedimentos periódicos e sistemáticos que permitem a organização identificar problemas, riscos e inconformidades com maior brevidade possível. Desta forma é possível reduzir os custos associados e danos à reputação que poderiam acompanhar uma violação das leis e regulamentos de proteção de dados;
Banco de dados: conjunto estruturado de dados, implementado em um ou em vários locais, geralmente em suporte eletrônico e raramente em suporte físico;
Base legal para tratamento de dados pessoais: situação prevista em lei que permite o tratamento dos dados pessoais. A LGPD prevê dez bases legais, entre elas algumas são o consentimento, a obrigação legal ou regulatória, a execução de políticas públicas, a tutela da saúde e o exercícios dos legítimos interesses do controlador;
Consentimento do titular dos dados: manifestação de vontade, livre, específica, informada e explicita, nos termos em que o titular dos dados aceita mediante ato positivo inequívoco que os seus dados pessoais sejam tratados;
Controlador: pessoa natural ou jurídica, de direito público ou privado, responsável pela tutela dos dados pessoais e a quem competem as decisões referentes ao seu tratamento;
Dado anonimizado: dado originado de dados pessoais e que recebeu tratamento específico para que se perca a possibilidade de associação, direta ou indireta, desse dado a um indivíduo;
Dado pessoal: qualquer informação relacionada a pessoa natural identificada ou passível de identificação. Dados estritamente relacionados à pessoas jurídicas não são considerados dados pessoais no âmbito da LGPD (ex: CNPJ e endereço da empresa);
Dado pessoal sensível: dado pessoal com maior potencial de ferir direitos humanos básicos. Para a LGPD são considerados dados pessoais sensíveis aqueles relativos a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico;
Encarregado: tradução da função internacionalmente conhecida como Data Protection Officer (DPO). Pessoa indicada pelo controlador envolvida em todos as questões relacionadas com a proteção de dados pessoais. Medida provisória 869/2018 permite terceirizar função do DPO para outra ente jurídico. Tem como funções principais: informar, aconselhar e monitorar a empresa sobre a conformidade e riscos da proteção de dados; e ser um canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados;
Incidentes de segurança: Evento com um efeito adverso real na segurança das redes e dos sistemas de informação, tal como um acesso não autorizado ao sistema de informação;
Limitação do Tratamento: interrupção do tratamento de dados, associada ou não à sua exclusão, realizada a pedido do titular dos dados devidamente esclarecido das consequências do não tratamento;
Minimização dos Dados: Processo de conformidade utilizado (Data Minimization) para reduzir ao máximo o volume de dados recolhidos, o volume de processamento e tempo de armazenamento, limitando a tutela às finalidades para as quais são tratados;
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
Órgão de pesquisa: órgão ou entidade da administração pública ou pessoa jurídica legalmente constituída e com sede e foro no País, que possua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada;
Portabilidade dos dados pessoais: envio dos dados pessoais a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, em formato legível e comum no segmento de atuação;
Privacidade desde a origem: tradução da expressão em inglês “Privacy by Design”, significa aplicar procedimentos técnicos e organizacionais adequados para que os aspectos de privacidade sejam respeitados desde o início da concepção do novo produto ou serviço;
Privacidade por padrão: tradução da expressão em inglês “(“Privacy by Default”), significa assegurar dentro de uma organização que mecanismos para garantir os princípios da privacidade são respeitados e aplicados sistematicamente para cada tarefa ou atividade;
Pseudo-anonimização: tratamento de dados pessoais de forma que os dados pessoais deixem de poder ser atribuídos a um titular de dados específico, mas que possam ser re-identificados por medidas técnicas e organizativas (ex. separação e armazenamento controlado das informações de identificação);
Relatório de impacto à proteção de dados pessoais: do inglês “Data Protection Impact Assessment – DPIA”,é a documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos aos direitos fundamentais, bem como medidas e salvaguardas de mitigação de risco;
Responsabilização e prestação de contas: expressão originada do termo em inglês Accountability, no qual a empresa não apenas é responsável pelo tratamento de dados, mas também deve ser capaz de demonstrar e publicizar aos agentes reguladores e sociedade civil o seu programa interno de conformidade;
Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
Tratamento de dados pessoais: qualquer operação ou conjunto de operações efetuados sobre dados pessoais, com ou sem meios automatizados, tais como a coleta, o registro, a organização, a conservação, a alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, por difusão ou por qualquer outra forma de disponibilização, a comparação ou interconexão, bem como a limitação, exclusão ou destruição;
Violação de dados pessoais: Violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso não autorizado, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.
Guilherme Sander
Médico, MBA, mestrado e doutorado pela UFRGS. Profissional de TI em Saúde certificado pela SBIS. CEO da SISQUALIS, especializada em interoperabilidade em saúde, privacidade e adequação à Lei Geral de Proteção de Dados Pessoais.