LGPD (LEI GERAL DE PROTEÇÃO DE DADOS) E O PROGRAMA DE INTERCÂMBIO DE JOVENS DE ROTARY INTERNATIONAL–LINHAS GERAIS
I - O que é o direito à privacidade?
O direito à privacidade é um direito fundamental para a humanidade, correspondente a um conjunto de dados contidos na vida pessoal, profissional e social do ser humano que não podem fugir ao seu domínio. Por isso, são dados que não podem ser expostos além do necessário ao público.
A atenção das pessoas está voltada para a exposição da vida de outras. Uma pessoa famosa sendo exposta e tendo a sua privacidade relativizada e afastada, a princípio, sofrerá impacto pequeno, pois para quem está em evidência, os holofotes são vantajosos.
Diante da importância que o direito à privacidade tem na nossa sociedade atual, convidamos você a ler e entender os principais pontos que envolvem esse tema!
O Direito à Privacidade é um Direito Fundamental, previsto na Constituição Federal, artigo 5º, inciso X, XI e XII, associado a um conjunto de: dados, referências, fatos, pensamentos, hábitos e vida familiar e social das pessoas.
Assim, todos esses direitos são dimensões da própria privacidade, por decorrerem dela e estão relacionados à autodeterminação do ser humano.
Com a globalização, uma das revoluções mais contundentes pela qual passa o mundo é a Digital. Por meio da Internet, incontáveis pessoas se conectam, formam comunidades sociais e se relacionam, a partir das facilidades proporcionadas pelo mundo virtual.
A par disso, há várias Leis que disciplinam o uso da internet no Brasil. Temos por exemplo a Lei 12.965 de 2014 que disciplina direitos e deveres para o uso da internet no Brasil, a Lei 13.709 de 2018, que disciplina a proteção de dados pessoais.
Essas Leis têm a finalidade de tornar mais seguro o ambiente virtual, evitando a disseminação de discurso de ódio, de “fake News” e a polarização de ideias. Enfim, visam sobretudo, evitar que as pessoas sejam indiferentes à privacidade alheia.
II - ORIGENS DA LGPD e Proteção pelo mundo afora:
A Lei Geral de Proteção de Dados Pessoais (LGPD) estabelece diretrizes importantes e obrigatórias para a coleta, processamento e armazenamento de dados pessoais. Ela foi inspirada na GDPR (General Data Protection Regulation), que entrou em vigência em 2018 na União Europeia, trazendo grandes impactos para empresas e consumidores[1].
GDPR é a sigla para General Data Protection Regulation, traduzida como Regulamentação Geral de Proteção de Dados. Ela é uma legislação europeia criada com o objetivo de proteger informações pessoais dos cidadãos em plataformas de armazenamento de dados.
A LGPD foi criada a partir da GDPR, que entrou em vigor na Europa em 2018 e tem essencialmente o mesmo objetivo de proteger dados pessoais.
O combate à exposição de dados sensíveis e a necessidade de garantir o direito à privacidade tornou-se uma demanda urgente em razão da evolução da tecnologia e das plataformas digitais. O ambiente online estava se tornando perigoso e gerando efeitos significativos em diversas áreas, inclusive no campo da política.
Afinal, quem não se lembra do episódio envolvendo o vazamento de informações do Facebook durante as eleições presidenciais americanas?
No Brasil, a LGPD (Lei nº 13.709, de 14/8/2018) entrou em vigor em 18 de setembro de 2020, representando um passo importante para o Brasil. Com isso, passamos a fazer parte de um grupo de países que contam com uma legislação específica para a proteção de dados dos seus cidadãos. Diante dos atuais casos de uso indevido, comercialização e vazamento de dados, as novas regras garantem a privacidade dos brasileiros, além de evitar entraves comerciais com outros países.
A legislação se fundamenta em diversos valores e tem como principais objetivos:
- Assegurar o direito à privacidade e à proteção de dados pessoais dos usuários, por meio de práticas transparentes e seguras, garantindo direitos fundamentais.
- Estabelecer regras claras sobre o tratamento de dados pessoais.
- Fortalecer a segurança das relações jurídicas e a confiança do titular no tratamento de dados pessoais, garantindo a livre iniciativa, a livre concorrência e a defesa das relações comerciais e de consumo.
- Promover a concorrência e a livre atividade econômica, inclusive com portabilidade de dados.
III - CONSENTIMENTO FUNDAMENTAL
Nas duas normativas, o consentimento é aspecto essencial e imprescindível para que as organizações empresariais acessem e processem dados pessoais. Ou seja, sem autorização/consentimento, não é possível processar informações pessoais, sob pena de sanção legal.
Segundo a LGPD, a coleta de dados deve ser sempre autorizada pelo usuário. E isso não se restringe apenas à coleta, mas também ao armazenamento, reprodução, utilização, distribuição, processamento, arquivamento e qualquer outra forma de utilização desses registros.
A autorização do titular dos dados é imprescindível e, independentemente da situação, a empresa deve ter autorização para manter informações pessoais de clientes no seu banco de dados.
IV - Controle pessoal dos dados
Além da autorização, a empresa deve estar ciente que os titulares dos dados podem, a qualquer momento, solicitar a retificação ou exclusão das informações, cancelando a autorização de uso dos dados.
O que se conclui é que a LGPD veio para trazer mais controle ao consumidor acerca do uso e destinação que é dada aos seus dados pessoais, criando a possibilidade de punir os responsáveis por qualquer dano causado pelo uso inadequado das informações dos seus clientes.
V – O que são Dados sensíveis
São considerados dados sensíveis todas as informações que possam causar dano direto ao titular, por exemplo, religião, opinião política, informações de saúde, opção sexual, gênero, etnia, etc.
Com relação aos dados sensíveis, é necessário consentimento expresso, ou seja, o titular das informações deve concordar livremente com a coleta e utilização dos seus dados, sem que isso o impeça de acessar um serviço ou produto.
VI - Quem fiscaliza? ANPD
Para fiscalizar e aplicar penalidades pelos descumprimentos da LGPD, o Brasil contará com a Autoridade Nacional de Proteção de Dados Pessoais, a ANPD. A instituição também terá as tarefas de regular e de orientar, preventivamente, sobre como aplicar a lei. No entanto, não basta a ANPD e, é por isso que a LGPD também prevê a existência dos agentes de tratamento de dados e estipula suas funções, nas organizações, como: o controlador, que toma as decisões sobre o tratamento; o operador, que realiza o tratamento, em nome do controlador; e o encarregado, que interage com cidadãos e autoridade nacional.
Com relação à administração de riscos e falhas, o responsável por gerir dados pessoais também deve redigir normas de governança; adotar medidas preventivas de segurança; replicar boas práticas e certificações existentes no mercado; elaborar planos de contingência; fazer auditorias; resolver incidentes com agilidade, com o aviso imediato sobre violações à ANPD e aos indivíduos afetados. Como todos os agentes de tratamento estão sujeitos à lei, é importante ressaltar que as organizações e as subcontratadas para tratar dados respondem em conjunto por eventuais danos causados. As falhas de segurança podem gerar multas de até 2% do faturamento anual da organização no Brasil – limitado a R$ 50 milhões por infração. A autoridade nacional fixará níveis de penalidade segundo a gravidade da falha e enviará alertas e orientações antes de aplicar sanções às organizações.
A ANPD é um órgão independente e parte do Poder Executivo do Governo Federal criada com atribuições de fiscalizar e divulgar como toda a informação pessoal e dados pessoais que circulam e são utilizados pelas empresas devem ser tratados, ou seja, fazer cumprir a LGPD.
É composta por membros não remunerados, que formam um conselho diretor de cinco pessoas indicadas pelo Poder Executivo e aprovadas pelo Senado e também por outros servidores, divididos entre sociedade civil, instituições científicas, setor produtivo, Senado, Câmara dos deputados e Ministério Público, por empresários e trabalhadores.
VII – O Tratamento dos Dados Pessoais e o Programa de Intercâmbio de Jovens de Rotary International
Antes de falarmos sobre cuidados básicos que os envolvidos no Programa de Intercâmbio de Jovens devem ter com relação à LGPD (Brasil) vamos relembrar alguns conceitos importantes, conforme a lei brasileira:
O que a lei diz sobre a definição de dados pessoais:
Dado pessoal: informação relacionada a pessoa natural identificada ou identificável; Exemplos:
✓ Nome, CPF, RG, Endereço, Telefone, E-mail dos estudantes, Nome dos pais e irmãos do estudante, dados escolares, entre outros;
Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural; Exemplos:
✓ Laudo médicos ou atestados, carteira de vacinação, informações sobre a saúde do estudante, origem racial, religião.
Dado anonimizado: dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
Exemplo:
✓ Dados ocultados que não comprometam a identidade do titular tais como CPF 012.345.678-90 para 999.XXX.XXX-XX;
O que a lei diz sobre o tratamento de dados pessoais:
Vale relembrar que a LGPD estabelece diretrizes importantes e obrigatórias para a coleta, processamento e armazenamento de dados pessoais, ou para aquilo que é chamado de tratamento de dados pessoais.
O tratamento de dados pessoais não se limita a essas atividades, como podemos ver na figura abaixo.
O que a lei diz sobre os agentes e os envolvidos no tratamento de dados pessoais:
Abaixo estão os envolvidos no tratamento de dados pessoais:
Titular de Dados: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
Exemplos:
✓ Estudante “outbound”, estudante “inbound”, companheiros e companheiras da equipe PIJ do Distrito, Pais dos estudantes, Irmãos dos estudantes;
Controlador: pessoa natural ou jurídica de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais.
Operador: pessoa natural ou jurídica de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
DPO ou Encarregado de Dados Pessoais: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Práticas recomendadas quando fizer o tratamento dos dados pessoais:
- Quando coletar os dados pessoais dos estudantes e envolvidos (família), definir exatamente para que e porque os dados serão utilizados;
- Quando compartilhar os dados pessoais dos estudantes, com o distrito, com a equipe PIJ ou com os parceiros internacionais, tomar medidas necessárias para que, caso ocorra um vazamento indevido, as informações pessoais não sejam facilmente acessadas.
Exemplos:
✓ Envio do Application Form para o Chair do Host Club: sempre que enviar um arquivo em PDF por e-mail ou Whatsapp, colocar senha no arquivo. Além disso, se possível, classificar seu e-mail como confidencial;
- Obtenha consentimento específico e explícito dos pais e/ou dos responsáveis legais do estudante antes de compartilhar quaisquer dados de saúde com o distrito, clube, família anfitriã e a escola anfitriã;
- Limite o compartilhamento apenas aos dados de saúde estritamente necessários para garantir o bem-estar e a segurança do estudante durante o intercâmbio, garantindo que as informações compartilhadas sejam relevantes e pertinentes;
- Estabeleça controles de acesso rigorosos para garantir que apenas indivíduos autorizados, como médicos, membros da equipe de apoio do intercâmbio, as famílias hospedeiras e equipes de liderança da escola anfitriã tenham permissão para acessar os dados de saúde do estudante;
- Crie canais claros e transparentes de comunicação entre todas as partes envolvidas, incluindo o estudante, seus pais/responsáveis legais, o distrito, o clube, a família anfitriã e a escola anfitriã;
- Estabeleça uma diretiva ou documento sobre confidencialidade, sigilo e proteção dos dados de saúde do estudante, que deve ser comunicada e que tenha a anuência de todas as partes envolvidas;
- Sempre que oportuno, prefira usar dados dos estudantes de forma digital. Assim protegemos também o meio ambiente;
- Os dados pessoais tratados deverão ser descartados quando deixarem de ser úteis para os fins para os quais foram coletados.
Curitiba, 15 de abril de 2024.
Comissão ABIJ de LGPD
[1] Fonte: site SEBRAE.
