Conceitos da LGPD que você precisa saber
PROTESTE apresenta alguns conceitos importantes trazidos pela Lei Geral de Proteção de Dados
Falar em Lei Geral de Proteção de Dados não é falar sobre proibir o compartilhamento das informações e a troca de dados. Mas, garantir a utilização de medidas técnicas e administrativas capazes de gerenciar o seu uso e ciclo de vida, classificá-los – sensíveis ou não -, entender o seu fluxo e garantir a segurança da informação. Alguns conceitos são recorrentes quando se fala em LGPD, por isso, a PROTESTE preparou esse artigo com um glossário básico.
- Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
- Dado anonimizado: dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
- Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
Quando os dados são anonimizados eles não podem ser relacionados a uma determinada pessoa, por isso mesmo, não são contemplados na LGPD, que legisla sobre os dados pessoais. Técnicas e processos de tratamento dos dados fazem com que não seja possível identificar o seu titular. Esse processo de anonimização deve ser irreversível, mas esta garantia é controversa, uma vez que diversos estudos mostram que existe sim, um risco de transmudação aos dados pessoais.
O artigo 13 da LGPD traz também o conceito de pseudoanonimização: “o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.” Em casos de estudos em saúde pública, por exemplo, órgãos de pesquisa podem ter acesso a bases de dados pessoais, que deverá ser regulamentado pelas autoridades públicas, independentemente do consentimento do titular. O Ministério da Saúde, a princípio, poderia compartilhar essas informações de forma estatística, mantendo os dados, anônimos ou pseudônimos, com a utilização de criptografia, tokenização e aplicação de outros algoritmos.
No caso dos dados pessoais, a proteção de dados traz à tona dois conceitos importantes, oriundos da lei europeia GDPR, que salvaguardam a privacidade dos consumidores desde a concepção do produto ou serviço:
- Privacy by Design: a privacidade deve estar incorporada a todas as etapas do processo de desenvolvimento de um produto ou serviço de uma empresa. A ideia é que empresas que apliquem Privacy by Design tenham seus projetos internos, desenvolvimentos de software, departamento de TI e planejamento estratégico alinhados com a ideia de privacidade, e não como algo à parte.
- Privacy by Default: um produto ou serviço, ao ser lançado no mercado, deve ter as configurações de privacidade no modo mais restrito possível por padrão. Cabe ao usuário liberar a coleta de mais informações (quantidade, tempo de armazenamento, abrangência de acesso) caso julgue necessário. Atualmente, acontece o contrário: fornecemos os nossos dados por padrão e temos que desativar a autorização caso discordemos.
Esses Princípios não estão expostos na LGPD desta forma. Mas, o princípio da FINALIDADE e a necessidade de obtenção do CONSENTIMENTO, que já surgem com o Marco Civil da Internet – Lei Número 12.965/14 que regulamenta a utilização da internet – já se aproximam do “Privacy by Design”, da GDPR. No caso da LGPD, isso se torna mais latente com Princípios expostos no artigo 6º: transparência, segurança e prevenção, legalidade, adequação e necessidade, segundo os quais os tratamentos devem ser adequados, relevantes e limitados à sua necessidade.
Marco Civil da Internet: você sabia…?
O Marco Civil da Internet, ou Lei n° 12.965/2014, é a lei que regula o uso da Internet no Brasil, definindo os direitos e garantias dos usuários e determinando as diretrizes para a atuação do Estado. São 32 artigos, divididos em cinco capítulos, que asseguram direitos como a inviolabilidade da intimidade e da vida privada e do fluxo de suas comunicações pela internet; além do não fornecimento a terceiros de dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei. Temas que se intercambiam com os da LGPD.