Informativos
Conceitos, obrigações e responsabilidades trazidos pela Lei Geral de Proteção de Dados (LGPD)
A Lei Geral de Proteção de Dados (LGPD - lei 13.709/2018) veio para regular as atividades de tratamento de dados pessoais no Brasil, estabelecendo regras sobre coleta, armazenamento, tratamento e compartilhamento dos mesmos, impondo mais proteção, bem como penalidades para o não cumprimento de suas disposições.
Dentre as definições trazidas pelo novo regramento legal, temos o “controlador” que seria a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. Uma empresa que detenha um acervo de dados pessoais é exemplo de “controlador”.
Também temos o chamado “operador”, que se caracteriza pela pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. Ou seja, quem efetivamente manipula os dados possuídos pelo “controlador” (ex. prepostos do controlador ou empresas terceirizadas, subcontratadas).
Vale lembrar que, segundo a lei, “tratamento de dados” significa toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Quanto às obrigações, a lei impõe a guarda e a manutenção de registros das operações de tratamento de dados que realizarem; a elaboração de relatórios de impacto; a comunicação à ANPD (Autoridade Nacional de Proteção de Dados) e ao titular dos dados em caso de incidente de segurança que possa acarretar risco ou dano; a implementação de boas práticas e governança; dentre outras providências.
Já no tocante às responsabilizações, os agentes de tratamento (operador e controlador) respondem solidariamente (ou seja, ao mesmo tempo e na mesma proporção) quando causarem dano patrimonial, moral, individual ou coletivo, diante da violação à legislação de proteção de dados pessoais, inclusive, ficam obrigados à reparação. São responsabilizados também quando deixarem de adotar as medidas de segurança previstas na legislação, em casos de violação da segurança por terceiros (hackers, por exemplo), dando causa aos danos.
É certo, portanto, que empresas e organização precisarão se adequar a essa nova atmosfera de proteção de dados, sob pena de terem que suportar encargos consideráveis.