A Lei Geral de Proteção de Dados, ou LGPD

A Lei Geral de Proteção de Dados, ou LGPD, ou ainda Lei nº 13.709 de 14 de agosto de 2018, se define como um conjunto de regras jurídicas para coleta, armazenamento e manipulação de dados de quaisquer organização, pessoa física ou Organizações de Estado Maior. A LGPD ainda não foi de forma efetiva colocada em pratica, esta, esta prevista para ter seu inicio em meados de agosto de 2020, porém, diversas pautas apontando e citando o projeto já foram discutidas, como por exemplo, no Marco Civil da Internet e no Código de Defesa do Consumidor, em decorrência do vazamento de dados da empresa Netshoes, gerando assim, um Termo de Ajustamento de Conduta, ou TAC.

No cenário europeu temos algo muito parecido, conhecido como GDPR, ou General Data Protection Regulation, que foi aplicado em 25 de maio de 2018. Ele legisla sobre o tratamento de dados relativos a pessoas físicas, empresas e Órgãos de Estado Maior em território da União Europeia, causando assim, um impacto não só no mercado europeu, mas também no mercado internacional, visto que empresas que mantém parcerias e negócios com empresas do velho continente, devem adotar estas regras para poderem continuar com suas parcerias, e, caso as regras não sejam respeitadas, corre-se o risco de não só a perda de clientela mas também de credibilidade no mercado internacional.

A LGPD, terá o maior impacto que qualquer legislação jamais alcançou em território nacional, visto que milhões de empresas, mesmo que de forma indireta, trabalha com dados pessoais dos clientes. Empresas como bancos, seguradoras e e-commerces, serão impactados de forma profunda por essa legislação, visto que essas lidam com dados pessoais e algumas vezes secretos dos clientes, entendendo-se assim, que a adoção da LGPD não se fara como opcional, mas como obrigatória.

Mas a pergunta que fica é: O que são violações de dados? Para responder essa pergunta devemos definir bem o conceito de dados. De acordo com o site da Comissão Europeia, “Dados (pessoais) são informações relativas a uma pessoa viva, identificada ou identificável. Também constituem dados (pessoais) o conjunto de informações distintas que podem levar à identificação de uma determinada pessoa (…)” entendendo então este conceito, podemos definir o que é uma violação de dados. Um exemplo recente e famoso de violação de dados foi o vazamento de informações de milhões de usuários da rede social Facebook para a empresa britânica Cambridge Analytica. Temos também exemplos em território nacional, como por exemplo o da Netshoes, já citado acima, o do Banco Inter e da empresa de crédito Boa Vista. De acordo com a GPDR, uma violação a dados pessoais se caracteriza por: “uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento”.

Podemos definir como dados pessoais: Nome e apelido, endereço e residência, endereço eletrônico, número de um cartão de identificação, Dados de localização, endereço IP, cookies, identificador de publicidade do telefone. Devemos nos atentar para não confundir dados pessoais e não pessoais, como por exemplo dados obtidos por um hospital ou médico, numero de registro de empresa, endereço eletrônico da empresa e dados anônimos. São abrangidos pela lei os dados pessoais sensíveis também, que se definem por dados passiveis de discriminação se expostos, ou seja, origem racial ou étnica, convicção religiosa, opinião politica, filiação a sindicato ou organização de caráter religioso, filosófico ou politico, referentes à saúde mental ou a vida sexual, genético ou biomédico.

Agora, como saber se seus dados estão realmente seguros? Empresas e corporações tem como dever proporcionar soluções de segurança para armazenamento de dados pessoais. Soluções como anonimização irreversível são bem adotadas e bem vistas pela sociedade, como por exemplo a criptografia e pseudominização. Mas, caso haja vazamento de algum dado, deve-se informar ao titular do dado, e, elaborar planos de contenção e minimização de riscos ao cliente.

Direcionando para uma parte técnica de manipulação e tratamento de dados, vemos 2 personagens como principais neste processo. O controlador e o operador.

O controlador se define como uma pessoa física ou jurídica, de direito publico ou privado que detém as informações, ou seja, uma instituição que possua os dados pessoais do indivíduo.

O operador se define como um agente de tratamento de dados em nome do controlador. Um subcontrolador pode ser definido como exemplo de operador, já que este está a serviço do controlador.

Estes dois personagens se veem como responsáveis pelas decisões referentes ao tratamento e manipulação dos dados. O controlador responsavel pelo tratamento e o operador responsável pelas operações.

...