Dando sequência aos nossos artigos sobre a LGPD, elaboramos um glossário com os principais termos trazidos pela Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/18), para facilitar sua aplicação e o entendimento de suas disposições.
Agentes de tratamento: segundo o texto da LGPD, os agentes de tratamento são o controlador e o operador.
ANPD: é a sigla de Autoridade Nacional de Proteção de Dados, órgão governamental responsável pela implementação e cumprimento da LGPD. De acordo com a lei, a ANPD terá poderes significativos para fazer cumprir o novo regramento, incluindo a capacidade de emitir multas substanciais, que podem ser estipuladas em até 50 milhões de reais.
Banco de dados: é caracterizado por ser um conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico.
Confira também: Como fazer uma gestão de benefícios eficiente?
Consentimento: é um dos pilares da LGPD e somente se caracterizará quando for obtido de maneira válida, com indicação livre e consciente do titular com relação à destinação que será dada aos seus dados pessoais. Deve ser fornecido por escrito (por declaração ou cláusula contratual específica) ou por outro meio que demonstre a manifestação de vontade do titular.
Deve, ainda, indicar a finalidade específica à qual o consentimento se aplica, de modo que será considerada nula qualquer autorização genérica.
Caso haja alterações na finalidade do tratamento do dado pessoal, para a qual o consentimento foi obtido, o controlador deverá informar tal alteração ao titular e obter nova autorização.
Controlador: é o agente (pessoa física ou jurídica, pública ou privada) responsável por determinar a finalidade e o meio de tratamento de dados pessoais que estão em seu poder. Empresas atuantes no mercado de consumo, em geral, se enquadram na condição de controladores, pois são as responsáveis por receber e gerenciar os dados pessoais de seus consumidores. Os dados de funcionários também devem ser bem gerenciados, dando-se a eles a destinação necessária para a informação obtida.
Além disso, o controlador também é responsável por indicar o encarregado (conforme definição adiante).
Em razão da relevância de sua atividade, o controlador poderá ser responsabilizado por eventuais danos materiais ou morais causados a um indivíduo, em razão do exercício da atividade de tratamento de dados pessoais. Essa responsabilidade pode ou não ser solidária com o operador.
Dados anonimizados: são informações que não permitem a identificação de uma determinada pessoa natural, utilizando-se os meios técnicos razoáveis e disponíveis no momento do tratamento.
Dados pessoais: são informações relativas a uma pessoa física identificada, de forma direta e imediata, ou identificável, por meio de um conjunto de dois ou mais dados que, conjugados, possam identificá-la.
Identificar um dado pessoal é tarefa bastante fácil em nossa atual realidade digital. Basta que determinada informação, física ou virtual, possa ser vinculada a uma pessoa determinada ou determinável, caracterizando-a de alguma forma.
Você também pode gostar de: Benefícios importam (e muito)
Alguns exemplos de dados pessoais são: nome, endereços residencial e de e-mail, idade, números de documentos de identificação (RG, CPF, CNH, título de eleitor), estado civil, informações relativas à localização geográfica, número de IP, dentre outros. São dados, portanto, atrelados à privacidade de uma pessoa natural.
Dados pessoais sensíveis: são uma espécie de dados pessoais, relacionados a aspectos sensíveis da vida humana, que mergulham na intimidade de um indivíduo e podem submetê-lo a situações de discriminação. Por esse motivo, são dados sujeitos a proteções adicionais.
São considerados dados pessoas sensíveis aqueles relacionados a origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, liberdades associativas, saúde, vida sexual, genética, biometria.
Dados públicos: a LGPD não traz o conceito de dados públicos. Porém, considera-se que são aqueles dados tornados públicos pelos próprios titulares (por exemplo, inseridos em redes sociais) ou que estão disponíveis ao público em razão de norma legal (por exemplo, certidões de distribuidores judiciais, documentos lavrados, registrados ou averbados em cartórios de título e documentos, de registro de imóveis, de registro de pessoa civil).
Mesmo os dados públicos merecem tratamento adequado, à luz das disposições da LGPD. Os dados de acesso público devem ser tratados de acordo com a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização. Os dados tornados públicos pelo próprio titular podem ser tratados, sem a necessidade de consentimento do titular, mas sempre respeitando os princípios da LGPD e os direitos do titular.
Encarregado: também conhecido como Data Protection Officer ou, simplesmente, DPO, o encarregado é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD (conforme definido adiante). Poderá ser uma pessoa natural ou jurídica para figurar como encarregado. Este agente será responsável por executar as atribuições determinada pela orientação de funcionários e contratados sobre as práticas de proteção de dados, pelo monitoramento do cumprimento da LGPD, pelo recebimento de comunicações da ANPD e de reclamações e comunicações dos titulares, prestando esclarecimentos e adotando providências.
LGPD: é a sigla de Lei Geral de Proteção de Dados Pessoais, norma que dispõe sobre o tratamento de dados pessoais de pessoas físicas obtidos em meio online ou offline, realizado por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Tratamento: o tratamento de dados pessoais deve ser subentendido como toda e qualquer operação realizada com dados pessoais, incluindo, mas não se limitando a, coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração. Trata-se de um rol não exaustivo trazido pela própria LGPD.
Comumente chamado de “processamento de dados”, o ato de tratar dados é extremamente amplo e, basicamente, abrange qualquer ato que envolva dados pessoais, o que torna a LGPD aplicável a qualquer empresa ou organização em território nacional.
Operador: é a pessoa natural ou jurídica designada pelo controlador para realizar o tratamento dos dados pessoais por ele obtidos, de acordo com as instruções passadas pelo controlador. O operador poderá ser responsabilizado pela violação da LGPD ou, ainda, se agir em violação às instruções do controlador.
Relatório de impacto à proteção de dados pessoais: é o documento emitido pelo controlador contendo a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
Por Mariana Amorim Arruda e Felipe Leoni Carteiro Leite Moreira, associados de Rayes & Fagundes Advogados Associados