A LGPD determina de que forma deve ocorrer o tratamento de dados pessoais nos meios físicos e digitais. Ela protege os direitos fundamentais de liberdade e de privacidade dos indivíduos.
inspirada pelos seguintes instrumentos legais:
A Declaração Universal dos Direitos Humanos (DUDH) é um documento marco na história dos direitos humanos.Ela estabelece, pela primeira vez, a proteção universal dos direitos humanos. Desde sua adoção, em 1948, a DUDH foi traduzida em diversos países do mundo e inspirou as constituições de muitos Estados e democracias recente, como o Brasil. O GDPR - General Data Protection Regulation (Regulamento Geral sobre a Proteção de Dados), da União Europeia 679/2016, é um regulamento europeu sobre privacidade e proteção de dados pessoais, aplicável a todos os indivíduos na União Europeia e Espaço Econômico Europeu, em cujo documento também o Brasil se inspirou para a elaboração da LGPD - Lei Geral de Proteção de Dados.
Seguem algumas referências bibliográficas complementares para aprofundamento de seus estudos no tema.
Material básico sobre Proteção de Dados com menção dos regulamentos principais da União Europeia, Canadá, USA e Brasil. Material básico sobre Proteção de Dados
ANDRADE, Renato Manzan de. Um roteiro para o ensino de qualidade de arquitetura de software guiado por requisitos não funcionais. Tese (Doutorado) - Escola Politécnica da Universidade de São Paulo. Departamento de Engenharia de Computação e Sistemas Digitais. Universidade de São Paulo: São Paulo, 2015.
ISO/IEC. ISO/IEC 10.746.
ISO/IEC 9.126
PRESSMAN, R.; MAXIM, B. Engenharia de software: uma abordagem profissional. 7.ed. tradução: Ariovaldo Grisei, Mario Moro Fecchio. Revisão técnica: Reginaldo Arakaki, Julio Arakaki, Renato Manzan de Andrade. Porto Alegre: AMGH, 2011.
PUTNAM, J. R. Architecting with RM-ODP. Upper Saddle River: Prentice Hall, 2001.
Principais Regras
A LGPD - Lei Geral de Proteção de Dados Pessoais regula as atividades de tratamento de dados pessoais (pessoa natural) identificada ou identificável.
LGPD - Lei Geral de Proteção de Dados não se aplica ao tratamento de dados pessoais realizado para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais.
Toda manipulação de dados pessoais é considerado tratamento pela LGPD - Lei Geral de Proteção de Dados: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
LGPD - Lei Geral de Proteção de Dados define a categoria especial de dados pessoais, são os dados pessoais sensíveis. Eles se referem a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Conforme dispõe o artigo 5º, da LGPD:
dado pessoal: informação relacionada a pessoa natural identificada ou identificável; dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural; dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento; banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico; titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento; controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador; encarregado: pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados; agentes de tratamento: o controlador e o operador; tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração; anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo; consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada; bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados; eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado; transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro; uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados; órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico; autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.
princípios fazem parte da LGPD - Lei Geral de Proteção de Dados: a boa-fé, a legalidade, a finalidade, a adequação e a necessidade, entre outros.
Conforme dispõe a LGPD - Lei Geral de Proteção de Dados, o consentimento deve ser específico, destacado e mediante as finalidades declaradas.
A LGPD – Lei Geral de Proteção de Dados classifica como dados sensíveis: todo dado sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
A LGPD - Lei Geral de Proteção de Dados define que o titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: confirmação da existência de tratamento; acesso aos dados; correção de dados incompletos, inexatos ou desatualizados; anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD; portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa; portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa; eliminação dos dados pessoais tratados com o consentimento do titular, nos limites da lei; informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; revogação do consentimento.
No exercício de suas atividades, o controlador e o processador devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, conforme dispõe a LGPD - Lei Geral de Proteção de Dados.
De fato, para melhor visibilidade dos tipos de dados tratados pelo controlador ou processador, é importante efetuar o levantamento das condições da organização, o regime de funcionamento e os procedimentos para melhor adequação aos requisitos da LGPD – Lei Geral de Proteção de Dados. Assim, será possível a melhoria, a correção e a devida implementação dos requisitos da lei em todas as fases do produto ou serviço.
As medidas da LGPD deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.
A LGPD define diversas Boas Práticas e da Governança, entre elas, implementar programa de governança em privacidade. A LGPD define diversas Boas Práticas e da Governança, entre elas, o Relatório de Impacto de Proteção de Dados.
Segundo a LGPD, o Controlador deverá notificar a Autoridade Supersivora nos seguintes casos: descrição da natureza dos dados pessoais afetados e informações sobre os titulares; indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados; riscos relacionados ao incidente; motivos da demora, no caso de a comunicação não ter sido imediata; medidas adotadas para reverter ou mitigar os efeitos do prejuízo.
São consideradas finalidades legítimas do Controlador, no exercício de suas atividades a proteção do exercício regular de direitos do titular ou prestação de serviços que beneficiem o Controlador, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais.
A LGPD prevê sanções administrativas por descumprimento, entre elas, multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.
A LGPD prevê sanções administrativas por descumprimento, entre elas, advertência, com indicação de prazo para adoção de medidas corretivas.
A Responsabilidade Objetiva ocorre independentemente de culpa; nos casos legais previstos; por atividade normalmente desenvolvida ou sua natureza; riscos para o direito de outrem (outra parte).
Relatórios de Impacto de Proteção de Dados (RIPD) permitem à empresa visibilidade de seus processos internos, gerando melhorias, correções, adequações.
Relatórios de Impacto de Proteção de Dados (RIPD) permitem à empresa visibilidade de seus processos internos, gerando melhorias e proporcionando maior competitividade no mercado e ganhos financeiros.
Relatórios de Impacto de Proteção de Dados (RIPD) permitem à empresa visibilidade de seus processos internos, gerando melhoria do compliance da empresa e de aspectos relacionados à reputação.
a geração de trilhas para a auditoria, bem como de relatórios em conformidade com a LGPD são consideradas boas práticas para atendimento da lei.
as medidas corretivas e preparatórias para os novos sistemas, conforme os requisitos estabelecidos pela LGPD, são consideradas boas práticas para atendimento da lei, especialmente porque a lei define que os requisitos da LGPD deverão ser implementados desde a concepção.
a adequação dos contratos e políticas da empresa, de acordo com a LGPD, são consideradas boas práticas para atendimento da lei.
Os treinamentos das equipes envolvidas nos projetos (gestores, desenvolvedores, analistas, entre outros) devem ocorrer periodicamente, a fim de implementar os conceitos e trabalhar efetivamente as questões que surgirem para as equipes durante as operações de tratamento de dados.
A aplicação de questionários rápidos, periódicos e objetivos às equipes com verificação dos pontos e dúvidas operacionais relacionadas à aplicação da LGPD, de forma a orientar e a uniformizar os procedimentos, faz parte da cultura de Educação Digital na empresa e contribui para a melhoria dos processos internos dos agentes de tratamento.
A LGPD permite o uso de cookies de log. O cliente/o titular de dados deve estar esclarecido sobre isso. No entanto, somente as informações minimamente necessárias poderão ser coletadas.
Conforme o artigo 50, da LGPD: "Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais".
https://www.serpro.gov.br/lgpd/noticias/2019/elabora-politica-privacidade-aderente-lgpd-dados-pessoais https://www.gov.br/governodigital/pt-br/governanca-de-dados/GuiaInventario.pdf