A Lei Geral de Proteção de Dados (LGPD) é uma lei brasileira que regulamenta a coleta, armazenamento, uso e compartilhamento de dados pessoais. A lei foi aprovada em 2018 e entrou em vigor em setembro de 2020, com o objetivo de proteger os direitos fundamentais de privacidade e liberdade de escolha dos indivíduos em relação aos seus dados pessoais.
A LGPD se aplica a todas as empresas e organizações, incluindo públicas e privadas, que tratam dados pessoais de indivíduos no território brasileiro. Isso inclui dados pessoais de clientes, funcionários, parceiros comerciais e outros indivíduos.
A LGPD estabelece vários princípios para garantir a proteção de dados pessoais, incluindo:
Finalidade: as empresas só podem coletar, armazenar e usar dados pessoais para finalidades específicas, legítimas e explícitas, e devem informar os indivíduos sobre essas finalidades antes de coletar seus dados.
Livre e específico consentimento: os indivíduos devem dar o seu consentimento livre e específico para a coleta, armazenamento e uso de seus dados pessoais.
Transparência: as empresas devem fornecer informações claras e precisas sobre como seus dados pessoais serão tratados e quais medidas de segurança serão adotadas para protegê-los.
Minimização de dados: as empresas devem coletar apenas os dados pessoais necessários para cumprir as finalidades específicas e devem excluir dados pessoais que não são mais necessários.
Integridade e confidencialidade: as empresas devem adotar medidas de segurança para garantir a integridade e confidencialidade dos dados pessoais e protegê-los contra acesso não autorizado ou vazamento.
Direito à informação: os indivíduos têm o direito de solicitar informações sobre os dados pessoais que as empresas possuem sobre eles e exigir a correção ou exclusão de dados incorretos.
Responsabilidade: as empresas são responsáveis por garantir que as suas práticas de tratamento de dados sejam de acordo com a LGPD e podem ser responsabilizadas por violações da lei.
Além dos princípios mencionados anteriormente, a LGPD também estabelece outras obrigações para as empresas, incluindo:
Nomeação de um Encarregado de Proteção de Dados (DPO): as empresas devem nomear um DPO para ser o ponto de contato com a autoridade reguladora e com os indivíduos em relação às questões de proteção de dados.
Registro de atividades de tratamento de dados: as empresas devem manter registros detalhados das suas atividades de tratamento de dados, incluindo informações sobre as finalidades do tratamento, os dados coletados e as medidas de segurança adotadas.
Notificação de violações de segurança: as empresas devem notificar imediatamente a autoridade reguladora e os indivíduos afetados em caso de violações de segurança que possam causar risco para os direitos e liberdades dos indivíduos.
Realização de avaliações de impacto na proteção de dados (DPIA): as empresas devem realizar DPIA para identificar os riscos para a proteção de dados e adotar medidas para mitigá-los antes de iniciar atividades de tratamento de dados que possam causar risco elevado para os indivíduos.
Cooperação com a autoridade reguladora: as empresas devem cooperar com a autoridade reguladora e fornecer informações e documentação solicitada para garantir a conformidade com a LGPD.
É importante notar que as empresas que não cumprem com as obrigações estabelecidas pela LGPD estão sujeitas a sanções administrativas, como multas e ordens de cessação de atividades, além de responsabilidade civil e criminal. A LGPD também prevê a criação de uma autoridade reguladora, o Autoridade Nacional de Proteção de Dados (ANPD), que será responsável por fiscalizar a conformidade com a lei e tomar medidas para garantir a proteção dos direitos dos indivíduos.