LGPD comentada: conheça as normas em uma linguagem clara

A LGPD comentada é uma iniciativa que busca tornar a linguagem dessa lei mais simples e acessível, fugindo do “juridiquês” complexo e, dessa forma, facilitando o seu entendimento.

Neste artigo, explicaremos 19 artigos da Lei Geral de Proteção de Dados Pessoais (Lei n° 13.709 de 14 de agosto de 2018), de maneira objetiva e com termos de fácil compreensão. 

Se gostou do nosso intuito, basta continuar a leitura!

Ao final, falaremos também o que é necessário para as empresas de tecnologia se adaptarem e inovarem para atender aos requisitos da LGPD, bem como tendências e desenvolvimentos no setor tecnológico relacionados à privacidade de dados. Confira!

O que a LGPD determina?

Para iniciarmos a LGPD comentada, primeiro é necessário destacarmos o que essa lei determina.

A Lei Geral de Proteção de Dados Pessoais define um conjunto de regras a serem seguidas por empresas públicas e privadas sobre a maneira correta de fazer a coleta, o tratamento, a utilização, o armazenamento e o compartilhamento de dados pessoais.

O principal objetivo dessa legislação é proteger os direitos básicos e fundamentais de privacidade e liberdade, bem como a livre formação da personalidade das pessoas.

A LGPD é vista como um marco na regulamentação de dados pessoais no nosso país. Vigorando desde setembro de 2020, ela abrange tanto meios digitais quanto físicos, e parte do princípio do consentimento do proprietário dos dados.

Isto é, eles só podem ser usados, tratados, armazenados e compartilhados se houver prévia autorização do titular, por meio de consentimento específico e livre, após conhecimento claro e bem definido de para quais fins os dados serão usados.

Durante a leitura da Lei Geral de Proteção de Dados comentada a seguir, você verá que essa legislação expressa diversos fundamentos, tais como:

1. respeito à privacidade dos dados pessoais;
2. liberdade de expressão, comunicação, opinião e informação;
3. inviolabilidade da honra, da imagem e da intimidade do indivíduo;
4. garantia dos direitos humanos e do livre progresso da personalidade das pessoas;
5. desenvolvimento econômico e tecnológico.

Dica de leitura para você: “Lei de Proteção de Dados (LGPD): como resguarda os clientes?“

LGPD comentada: entenda os principais artigos da lei

A Lei Geral de Proteção de Dados conta com 10 capítulos e 65 artigos. Ou seja, possui uma grande quantidade de normas.

Para que este texto fosse mais objetivo, optamos por explicar os 19 primeiros artigos. Fique agora com a LGPD comentada.

Artigo 1

O primeiro artigo atua como uma introdução da Lei Geral de Proteção de Dados, pois define os objetivos das normas.

O intuito é a preservação do direito constitucional à liberdade e à privacidade por meio da proteção de informações sensíveis.

A lei é válida em todo o território brasileiro e se sobrepõe às leis municipais e estaduais. Inclusive, tem validade tanto em meios digitais quanto analógicos, englobando desde páginas na internet até fichas em papel.

Confira também: Como usar o Big Data e Analytics para atendimento ao cliente? 

Artigo 2

A LGPD entende que os cidadãos devem ter controle sobre suas informações pessoais, por isso, precisam conhecer como e com quais fins seus dados são utilizados.

O intuito é preservar a imagem dos brasileiros, evitando que as informações sejam usadas com fins prejudiciais.

No entanto, destaca-se que não há a intenção de prejudicar empresas que utilizam o tratamento de dados.

Portanto, o tratamento é liberado, porém, deve ser feito com total transparência, pedindo consentimento aos cidadãos e informando como as informações serão usadas.

Artigo 3

A LGPD é válida para quaisquer tratamentos de dados ocorridos no Brasil, sejam parciais ou totais, ou que tenham fins comerciais, quando o tratamento é usado como parte das estratégias de venda de produtos e serviços.

Artigo 4

Este artigo é focado em estabelecer em quais casos a lei não se aplica. Para que as situações fiquem claras, listamo-as a seguir:

• fins jornalísticos, acadêmicos e artísticos: o direito constitucional à liberdade de imprensa, da arte e da ciência sobrevalece neste caso;
• fins particulares: quando o tratamento de dados ocorre entre pessoas físicas com propósitos particulares;
• segurança pública e defesa nacional: tratamentos de dados que tem como intuito garantir a segurança e defesa nacional são isentos da LGPD. Entretanto, apenas órgãos públicos, empresas públicas e empresas privadas sob tutela pública se enquadram;
• tratamentos de dados fora do Brasil: a LGPD não se aplica a informações tratadas fora de território brasileiro. Nesses casos, as leis do outro país têm validade.

Artigo 5

Este artigo é voltado para a explicação de todos os conceitos que são utilizados no texto da lei para facilitar o entendimento e evitar ambiguidades que deem margem para diferentes interpretações. Veja o significado dos conceitos principais:

• dados pessoais: informações que podem identificar uma pessoa física, como RG, nome completo e CPF;
• dados pessoais sensíveis: informações que podem ser usadas com fins discriminatórios e prejudiciais, como opção religiosa, raça, orientação sexual e posicionamento político;
• dados anonimizados: informações que deixam de identificar uma pessoa física. Isso é muito comum em pesquisas, porque os dados deixam de ser sobre um cidadão e passam a ser uma estatística geral;
• banco de dados: conjunto de dados pessoais, seja digital ou físico;
• titular: cidadão que possui soberania sobre os dados;
• controlador: responsável por todos os detalhes que envolvem o tratamento de dados, ou seja, quem determina porque serão coletados e para que fim serão usados;
• operador: responsável pelo tratamento de dados sob ordens do controlador;
• encarregado: responsável por intermediar a comunicação entre o titular, o controlador e a Autoridade Nacional de Proteção de Dados (órgão público que regula e fiscaliza a LGPD);
• agentes de tratamento: aqueles que têm envolvimento no processo de tratamento de dados. Tanto o controlador quanto o operador são agentes de tratamento;
• tratamento: compreende quaisquer ações realizadas com os dados pessoais;
• anonimização: processo usado para transformar dados pessoais em dados anonimizados, acabando com a relação que possuía com o titular;
• uso compartilhado de dados: os dados podem ser utilizados por mais de uma instituição. Órgãos públicos fazem isso para agilizar e facilitar o oferecimento de seus serviços. Já empresas privadas precisam especificar esse uso no documento de consentimento.

Artigo 6

O funcionamento das leis dependem totalmente daqueles a qual elas se aplicam. Portanto, é preciso que exista uma colaboração. Diante disso, o artigo 6 delimita alguns princípios que devem ser seguidos ao realizar tratamento de dados:

• finalidade: todo tratamento de dados precisa ter um propósito claro que deve ser explicado de maneira detalhada ao titular no momento do consentimento;
• necessidade: apenas os dados indispensáveis para o tratamento devem ser coletados, independentemente da finalidade;
• livre acesso: como diversos artigos determinam, o titular é soberano sobre seus dados, portanto, pode solicitar relatórios e informações sobre o tratamento de seus dados;
• segurança: os agente de tratamento devem tomar todas as medidas cabíveis para manter a segurança e integridade dos dados, evitando que sejam violados ou sofram com outras intervenções de má-fé;
• prevenção: as medidas de segurança devem ser principalmente preventivas. O ideal é que haja processos e tecnologias robustas para garantir a proteção e privacidade das informações;
• não discriminação: de forma alguma os dados devem ser usados com fins discriminatórios, impedindo os titulares de alguma ação por conta de seus dados pessoais sensíveis;
• prestação de contas: os agentes de tratamento devem comprovar a implementação das medidas de segurança e prevenção;
• responsabilização: os agentes de tratamento serão responsabilizados em casos de violação da segurança dos dados.

Dica de leitura: “O que é segurança da informação?“

Artigo 7

O consentimento do titular é parte essencial da LGPD. Contudo, não são todos os casos em que o controlador precisa do consentimento para tratar as informações. O artigo 7 define quais situações são essas:

• cumprimento de obrigações legais;
• realização de pesquisas;
• execução de contratos;
• proteção da vida do titular;
• tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias.

Artigo 8

Este artigo indica o formato que o consentimento deve seguir. O controlador deve separar as cláusulas de consentimento dos termos de uso, tornando o acesso mais fácil.

Além disso, a linguagem deve ser clara e direta para que o titular entenda perfeitamente como suas informações pessoais serão utilizadas.

E mais uma vez se ressalta a importância de que o tratamento de dados deve ter uma finalidade. O propósito deve ser detalhado no consentimento. Finalidades genéricas e mal explicadas infringem este artigo da LGPD.

Confira também: “Gestão de dados no atendimento: o papel estratégico, como fazer e porque se preocupar“

Artigo 9

O artigo descreve em detalhes o direito do titular em ser informado sobre o tratamento dos seus dados.

O titular pode solicitar informações sobre a finalidade, a duração e a forma de tratamento dos dados, bem como questionar se foram compartilhados com outras entidades. Além disso, o relatório deve ter linguagem clara e acessível.

Caso o controlador mude a finalidade do tratamento, obrigatoriamente deve ser enviado outro documento de consentimento explicando o novo propósito e solicitando uma nova aprovação. O titular pode recusar se desejar.

Artigo 10

Este artigo aborda o conceito de “legítimo interesse”, que pode ser considerado a norma mais flexível da LGPD.

De acordo com essa base legal, o controlador pode tratar os dados pessoais do titular sem consentimento quando é de seu legítimo interesse. Mas quais cenários se enquadram nesse caso? Quando os dados são utilizados para os seguintes fins:

• proteção dos direitos do titular;
• prestação de serviços que beneficiem o titular;
• apoio à realização das atividades do controlador.

Alguns exemplos de situações que se enquadram nesses propósitos são prevenção de golpes e análise do perfil dos clientes.

Esse conceito deve ser utilizado com muito cuidado, porque existe a abertura para diversas interpretações.

Artigo 11

O artigo 11 define os detalhes relacionados ao tratamento de dados pessoais sensíveis, que possuem informações como orientação sexual e opção religiosa.

Eles devem ser solicitados de maneira clara e acessível, com a finalidade e necessidade explícitas no documento de consentimento. No entanto, existem casos em que o consentimento não é necessário, que são os mesmos especificados no artigo 7:

• realização de pesquisas;
• execução de políticas públicas;
• cumprimento de obrigações legais;
• execução de contratos;
• proteção da vida do titular;
• tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias.

Artigo 12

Este artigo determina que dados anonimizados não são pessoais, logo, a LGPD não se aplica a eles. Contudo, as informações apenas são consideradas anonimizadas quando não é possível reverter as ações para encontrar o titular.

Artigo 13

O artigo 13 especifica como os dados pessoais devem ser usados para pesquisas de saúde pública. Nesse cenário, apenas o órgão pode ter acesso às informações, exclusivamente para a condução da pesquisa.

Inclusive, o ideal é que os dados sejam anonimizados ou pseudoanonimizados. Dados desse tipo podem ser revertidos para encontrar o titular, mas isso apenas é possível com acesso a outra informação, como uma chave criptografada.

Artigo 14

Este artigo determina as regras específicas à coleta e ao tratamento de dados de menores de 18 anos. Nesse caso, deve-se solicitar o consentimento dos pais ou do responsável legal pela criança ou adolescente.

O consentimento apenas não é obrigatório quando existe a necessidade de falar com os pais ou responsável legal, ou se o tratamento de dados tem a finalidade de proteger o menor.

Reforça-se mais uma vez que os dados coletados devem ser estritamente indispensáveis. 

Outro ponto é que, mesmo o consentimento sendo dado pelos pais ou responsáveis, deve-se redigir as cláusulas em uma linguagem adequada ao público para que o titular entenda o que será feito com suas informações.

Artigo 15

Há algumas situações em que o tratamento de dados devem parar:

• quando a finalidade for atingida;
• quando a Autoridade Nacional de Proteção de Dados constatar irregularidades no cumprimento da lei;
• quando chegar ao fim do período de tratamento acordado no consentimento;
• quando os dados não forem mais essenciais para a finalidade;
• quando o titular solicitar o fim do tratamento.

Este artigo também pode ser interessante para você: “Conheça os 4 tipos de análise de dados para criar estratégias certeiras“

Artigo 16

Após o fim do tratamento, os dados obrigatoriamente devem ser eliminados. Eles podem ser mantidos por mais um tempo apenas se forem necessários para o cumprimento de obrigações legais.

Este artigo não se aplica a instituições de pesquisa, mas o ideal é que façam a anonimização dos dados.

Aliás, caso o controlador opte por anonimizar os dados antes da eliminação, eles podem ser mantidos, uma vez que não possuem mais relação com o titular.

Artigo 17

Dados pessoais são individuais e intransferíveis, mantendo-se sob posse dos titulares independentemente dos cenários ou das cláusulas presentes no consentimento.

Artigo 18

O artigo 18 reforça os direitos que os titulares possuem sobre seus dados. A qualquer momento, as seguintes solicitações podem ser feitas:

• relatórios indicando qual tratamento é realizado e quem tem acesso;
• correção ou atualização das informações;
• anonimização, exclusão ou interrupção do tratamento de dados não essenciais para a finalidade determinada no consentimento;
• transferir as informações para outro prestador do mesmo serviço. Por exemplo, de um banco para outro;
• questionar sobre quais serviços serão prejudicados sem o consentimento.

Caso o controlador não consiga esclarecer algumas das solicitações, deve-se explicar os motivos. E se as informações tiverem sido compartilhadas com outro controlador, o mesmo deve ser comunicado para fornecer as solicitações.

Sugestão de leitura: “O que é análise e interpretação de dados + a importância nos negócios!“

Artigo 19

Assim que o titular solicitar informações sobre os seus dados, o controlador deve entregar um relatório simples imediatamente ou fornecer um relatório completo e detalhado em até 15 dias.

No entanto, esses prazos podem ser variáveis de acordo com setores específicos, uma vez que empresas de portes distintos podem ter níveis de dificuldade diferentes para entregar os relatórios. Essa é uma medida que a LGPD toma para garantir os direitos do titular sem prejudicar os controladores.

Além disso, recomenda-se que o controlador leve em consideração a acessibilidade às informações no momento em que for decidir a forma de armazenamento. Assim, pode-se avaliar um modelo que permita fornecer os detalhes ao titular com mais agilidade.

O que achou da LGPD comentada?

Esperamos que tenha gostado da nossa LGPD comentada, e que ela ajude você a entender o que essa legislação determina.

Afinal, nosso objetivo aqui era simplificar a compreensão de uma lei muito importante tanto para pessoas físicas quanto jurídicas.

Agora, com os insights da LGPD comentada em mente, fica mais fácil entender como adaptar sua empresa a essa lei, e quais tendências e tecnologias podem ser usadas para garantir a privacidade de dados dos seus clientes e parceiros de negócio.

Antes, anota aí! Temos outro artigo que também ajudará você, confira! “Quais são os 3 pilares da lei geral de proteção de dados?“

O que mudou desde a implementação da LGPD?

Uma reportagem do portal Olhar Digital conversou com especialistas, a fim de levantar os principais impactos da Lei Geral de Proteção de Dados Pessoais desde que entrou em vigor em 2020.

Os principais pontos destacados foram:

• aumento da conscientização no que se refere aos direitos e à privacidade de dados dos titulares;
• intensificação da necessidade de transparência das empresas sobre esse tema, bem como de suas responsabilidades;
• adoção de novas práticas e tecnologias para adequação dos negócios à LGPD;
• aumento do controle dos titulares de como seus dados serão usados e tratados, e para quais finalidades;
• crescimento da sensação de segurança no processo de compartilhamento de dados.

Como as empresas de tecnologia podem se manter adequadas à LGPD?

Para as empresas de tecnologia se manterem adequadas à Lei Geral de Proteção de Dados Pessoais, é preciso adotar algumas medidas, e entre as que não podem ficar de fora estão:

1. realizar periodicamente um diagnóstico de como os dados estão sendo coletados e manipulados, para identificar pontos de falhas e oportunidades de melhoria;
2. estar por dentro das bases legais, como consultando uma LGPD comentada em caso de dúvidas sobre o que pode e o que não pode ser feito;
3. ter responsáveis bem definidos por garantir o atendimento dessa lei, se possível, criando um departamento próprio para essa atividade;
4. manter a transparência com os clientes, a partir de informações claras, diretas e na linguagem ideal do que será feito com os dados coletados;
5. adotar as tecnologias certas para garantir a privacidade dos dados.

Sobre esse último tópico, leia: “Tendências da privacidade de dados: 4 tendências + dicas“

De que maneira garantir a privacidade de dados no seu negócio?

Agora que você conheceu a LGPD comentada, e viu que uma das medidas para manter sua empresa adequada a ela é usar a tecnologia para assegurar a privacidade dos dados, que tal uma dica de qual solução usar para isso?

A Zendesk tem um complemento voltado para privacidade e proteção de dados avançada que fornece experiências mais seguras e confiáveis aos seus clientes.

Essa solução conta com:

• opções de criptografia BYOK;
• definição de acesso a dados;
• monitoramento de usuários;
• ocultação de informações;
• e muito mais.

Esse complemento é elegível para clientes da Zendesk nos planos Suite e Support Enterprise, ou superiores

Caso ainda não conheça essas ferramentas, comece uma avaliação gratuita agora mesmo e confira.