Dados básicos como nome, data de nascimento, endereço físico e eletrônico (e-mail)  e telefone; números de documentos como RG, CPF, CNPJ e título de eleitor; dados financeiros como número de contas, pontuação de crédito, salário, PIS, NIS, FGTS, imposto de renda e benefícios sociais, como o Bolsa Família; e outras informações como ocupação profissional, escolaridade, fotos do rosto, dados de geolocalização, reconhecimento facial e biométricos, endereços de perfis em redes sociais etc. são dados pessoais e você deve desconfiar quando tentarem obter alguma dessas informações sem sua autorização e/ou explicar a finalidade da coleta do dado.

Tratamento de dados é tudo aquilo que pode ser feito com qualquer uma das informações que citamos no tópico acima, desde o momento em que ela entra no seu banco de dados até ser excluída dele. Por exemplo: coletar, armazenar, transferir, formular, analisar, inserir em planilhas, realizar monitoramento ou publicidade a partir das informações etc. Tudo isso é tratamento de dados. Ou seja, na prática é praticamente impossível que uma instituição, seja qual for seu tamanho ou área de atuação, não faça tratamento de dados.

Outra possibilidade de tratamento é o compartilhamento de dados, que se refere à comunicação, difusão, transferência internacional ou tratamento compartilhado de bancos de dados pessoais, com autorização específica, entre entes públicos ou privados. Nesse caso, ambas as instituições devem se responsabilizar pelos direitos de titulares. Por exemplo, se você é usuário do SUS e vai fazer um exame em uma clínica privada, conveniada com a UBS da sua região, em que informações básicas serão enviadas da UBS para a clínica para realização do procedimento e os resultados, considerados dados de saúde, serão enviados da clínica para a UBS. Neste caso, as duas instituições estão compartilhando seus dados e são responsáveis pela segurança deles.

Direito à confirmação de que há tratamento de dados. Você pode solicitar a informação e deve receber retorno imediato, em formato simplificado.

Direito de acesso aos dados que são armazenados. É seu direito solicitar uma lista com os dados que possuem sobre você.

Direito de corrigir dados incompletos, inexatos ou desatualizados.

Direito de exercer a portabilidade dos dados pessoais que sua instituição armazena, podendo levá-los para outra instituição (dados financeiros, por exemplo), após realizar uma requisição ao encarregado de proteção de dados da instituição.

Direito de requisitar a eliminação de dados pessoais tratados com base no consentimento, o que pode ser feito a não ser que a instituição justifique a manutenção do tratamento por conta de cumprimento de uma obrigação legal. Neste caso, os dados devem ser anonimizados e ter seu acesso vedado a terceiros.

Direito de ser informado sobre o compartilhamento de seus dados com entidades públicas ou privadas, independente de solicitar ou não essa informação. Lembrando que o compartilhamento com terceiros é vedado no caso de tratamento de dados para uso exclusivo do controlador.

Direito de ser informado sobre a possibilidade e as consequências de não fornecer o consentimento no momento da solicitação de dados, quando esta for a base legal que justifica a coleta dos dados.

Direito de revogar o consentimento a qualquer momento.

São informações sobre aspectos da vida de alguém que podem gerar situações delicadas, como algum tipo de discriminação ou exposição. A partir da Lei, consideram-se sensíveis os seguintes dados: orientação sexual; orientação religiosa; filiação política ou partidária; raça; dados de saúde, genéticos e biométricos.

Destacamos que a lei não menciona explicitamente orientação sexual ou identidade de gênero como dado sensível, mas, devido ao potencial discriminatório dessas informações, recomendamos tratá-las como dados sensíveis, conferindo maior nível de proteção.

É um procedimento por meio do qual a ligação entre o titular de dados e as informações sobre ele é quebrada, impedindo sua identificação a partir dos dados retidos por uma instituição.

Na prática, se adequar à lei significa que qualquer empresa, organização ou mesmo órgãos do poder público que realizem coleta e tratamento de dados pessoais precisa fazer as mudanças de processos e de cultura organizacional necessárias para ficar em conformidade com a nova legislação. É lei, é obrigatório.

A adequação é, sobretudo, um compromisso com a privacidade e proteção de dados que, quando bem sucedida, pode evitar incidentes e, consequentemente, sanções judiciais ou regulatórias. A proatividade no processo de adequação à Lei, sem esperar que aconteçam incidentes e violações, é um ato de comprometimento, por parte de organizações e empresas, com os princípios gerais de privacidade e proteção de dados pessoais e que deve ser valorizado por consumidores e parceiros igualmente comprometidos com esse tema.

Não é possível generalizar, porque cada projeto de adequação é único. Mas, com base na nossa experiência, é possível pressupor que em micro e pequenas organizações – ou seja, em instituições com poucos/as colaboradores/as, com um volume relativamente pequeno de dados ou fluxos pouco intensos de tratamento – o processo de adequação pode durar aproximadamente 3 meses, dependendo do risco envolvido nas suas atividades de tratamento. Em instituições maiores, esse tempo pode chegar a 1 ano.

De forma geral, definimos o processo de adequação em 7 passos:

1. definir o principal objetivo da adequação
2. conscientizar e capacitar a equipe sobre a LGPD
3. contratar serviço de consultoria ou implementação
4. mapear fluxos dos dados
5. melhorar documentos e fluxos
6. redigir os documentos de proteção de dados
7. definir a pessoa encarregada de dados na instituição

Em relação aos dados que foram coletados anteriormente à Lei, as instituições precisam obter o consentimento dos titulares novamente, com base na legislação. Por exemplo, se você assinou um boletim informativo antes da entrada em vigor da LGPD, agora é preciso que a empresa/serviço envie nova comunicação para obter seu consentimento, de acordo com as novas bases legais de tratamento de dados.

Muitas instituições andam assombradas com a multa de até 2% sobre o faturamento prevista na LGPD. Porém, é importante saber que a legislação tem sanções gradativas e limitadas ao porte da instituição. Esse limite é fixado em relação ao faturamento da Pessoa Jurídica em questão – e, para se ter uma ideia, é de 2 mil reais no caso de microempresas com faturamento de até 100 mil reais por ano. O caso das organizações sem fins lucrativos não está especificado na lei e deve ser regulamentado posteriormente.

Além disso, a quebra das regras da LGPD não implica uma multa imediata. Antes, são aplicadas penalidades mais leves, como: advertência com indicação de prazo para adoção de medidas corretivas, publicização da infração após apuração do que ocorreu, bloqueio temporário dos dados pessoais envolvidos na infração ou determinação de sua eliminação. O início da aplicação das sanções previstas na lei para as empresas que desrespeitarem suas regras é 1º de agosto de 2021.

A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão da administração pública federal, integrante da Presidência da República, responsável por fiscalizar e regular a aplicação da LGPD. A ideia é que a entidade, enquanto representante do interesse público, faça a ponte entre a sociedade e o governo. A ANPD também terá o papel de orientar e apoiar outros órgãos do governo, organizações da sociedade civil e empresas em relação ao tratamento de dados.

Além da Autoridade, a LGPD determina a criação do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD), órgão consultivo e multissetorial que auxiliará a atuação da Autoridade. Após abertura de editais de convocação, organizações da sociedade civil, instituições científicas, tecnológicas e de inovação, confederações sindicais e entidades representativas do setor empresarial puderam participar indicando um nome para o Conselho. Agora, aguardamos que o Conselho Diretor da ANPD forme uma lista tríplice para cada vaga e, por fim, o ministro da Casa Civil analisará os nomes para nomeação final do presidente.

A maior preocupação de um consumidor que teve seus dados colocados em risco em vazamentos de dados pessoais é a possibilidade de ficar mais suscetível a fraudes, como utilização indevida do seu nome, envio de boletos falsos, além do aumento de ligações abusivas. Por exemplo:

• quando começam a ligar com mais frequência oferecendo serviços (que podem ser reais ou falsos, fique atento!);
• quando utilizam seus dados para algum cadastro em seu nome sem o seu consentimento;
• quando enviam boletos falsos, inclusive em nome de uma empresa conhecida, como operadores de internet (as técnicas estão cada vez mais elaboradas).

Seja qual for o tipo de vazamento, o primeiro passo é registrar um Boletim de Ocorrência (B.O.) online para se prevenir de fraudes. Veja o passo a passo para comunicar o vazamento e judicializar, caso tenha sido prejudicado pelo incidente.