É a Lei que Regulamenta a forma como devemos tratar os dados pessoais, definindo de maneira clara os cuidados que devemos ter com os dados por nós armazenados e tratados
Fundamentos da LGPD:
I - o respeito à privacidade;
II - a autodeterminação informativa;
III - a liberdade de expressão, de informação, de comunicação e de opinião;
IV - a inviolabilidade da intimidade, da honra e da imagem;
V - o desenvolvimento econômico e tecnológico e a inovação;
VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
Quando será aplicada a Lei Geral de Proteção de Dados?
I - a operação de tratamento seja realizada no território nacional;
II - a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou (Redação dada pela Lei nº 13.853, de 2019) Vigência
III - os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
Das Definições da Lei Geral de Proteção de Dados
I - Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
II - Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III - Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
IV - Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
V - Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
VI - Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VII - Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
VIII - Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
IX - Agentes de Tratamento: o controlador e o operador;
X - Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
XI - Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
XII - Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
XIII - Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
XIV - Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
XV - Transferência Internacional de Dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
XVI - Uso Compartilhado de Dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
XVII - Relatório de Impacto à Proteção de Dados Pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
XVIII - Órgão de Pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico; e
XIX - Autoridade Nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.
Princípios do Tratamento de Dados
I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Princípios do Tratamento de Dados
Mediante o fornecimento de consentimento pelo titular;
Para o cumprimento de obrigação legal ou regulatória pelo controlador;
Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;
Para a proteção da vida ou da incolumidade física do titular ou de terceiro;
No caso do OLGA, toda a operação de tratamento de Dados, decorre da obrigação nossa atividade de desenvolver um software de comunicação entre restaurantes e seus clientes, ou de restaurantes que desejam obter maiores informações sobre seus próprios consumidores. Portanto, não utilizamos de forma própria os dados coletados, mas sim para os Restaurantes (Controladores), que buscam maior controle e gestão do estabelecimento, com métricas mais precisas sobre padrões de consumo e melhorias no atendimento dos clientes.
Como demonstramos o Consentimento do Usuário?
Primeiramente, o Consentimento deverá ser fornecido pelo restaurante, através de qualquer meio que demonstre a manifestação de vontade do titular, no momento da sua contratação ou e momento posterior, caso sua contratação ocorra antes da publicidade destas diretrizes
Observações Legais sobre o Consentimento:
§ 1º Caso o consentimento seja fornecido por escrito, esse deverá constar de cláusula destacada das demais cláusulas contratuais.
§ 2º Cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto nesta Lei.
§ 3º É vedado o tratamento de dados pessoais mediante vício de consentimento.
§ 4º O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas.
§ 5º O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação, nos termos do inciso VI do caput do art. 18 desta Lei.
§ 6º Em caso de alteração de informação referida nos incisos I, II, III ou V do art. 9º desta Lei, o controlador deverá informar ao titular, com destaque de forma específica do teor das alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração.
Quais são os Direitos de Acesso aos Dados, por parte do Titular?
O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso.
I - finalidade específica do tratamento;
II - forma e duração do tratamento, observados os segredos comercial e industrial;
III - identificação do controlador;
IV - informações de contato do controlador;
V - informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
VI - responsabilidades dos agentes que realizarão o tratamento; e
VII - direitos do titular, com menção explícita aos direitos contidos no art. 18 desta Lei.
O que é o Legítimo Interesse?
O legítimo interesse é uma das bases legais mais genéricas e flexíveis da LGPD. De acordo com a legislação, os dados pessoais podem ser tratados quando necessários para atender aos interesses legítimos do controlador ou de terceiros, desde que tal prática não exceda os direitos e liberdades fundamentais do titular.
Sobre os Dados Anonimizados
Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.
Quem é o Encarregado?
O encarregado pelo tratamento de dados pessoais, internacionalmente conhecido como Data Protection Officer (DPO), possui a função de atuar como canal de comunicação entre instituição, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Na OLGA, o Encarregado de Dados é a pessoa de Adrian Boaventura, cujo email para contato é lgpd@olga.tech
Quais cuidados devemos tomar no tratamento de dados?
Primeiramente, devemos destacar que somente podemos utilizar os dados estritamente para a finalidade informada ao usuário.
Em hipótese alguma, funcionários, sócios ou terceiros poderão utilizar para fins próprios os dados dos clientes cadastrados na base de dados dos estabelecimentos.
Portanto, sempre devemos nos atentar aos dados que estão sendo transferidos, e tomar as devidas precauções para evitar acesso indevido.
Ao utilizar computadores da empresa, sempre devemos utilizar senhas e registros de usuários, não compartilhar senhas com terceiros, bem como em hipótese alguma fornecer a pessoas não autorizadas dados ou acesso aos nossos sistemas.
Em caso de ficar em dúvida sobre qualquer transferência de dados, ou como podemos manipular determinada informação, nossos funcionários deverão imediatamente entrar em contato com seu superior, para verificar como estes dados poderão ser tratados;
Em caso de uma nova rotina ser disponibilizada, e esta nova rotina coletar novos dados dos usuários (titular de dados), o mapeamento de dados deverá ser atualizado, constando quais campos novos são coletados;
Em caso de alterações na forma como os dados são capturados, ou quais são coletados, a política de privacidade deverá ser atualizada, constando quais as mudanças na forma como os dados serão manipulados pela OLGA.
Ciclo de Vida do Tratamento de Dados Pessoais
O dado pessoal é coletado para atender a uma finalidade específica e pode, por exemplo, ser eliminado a pedido do titular dos dados (quando possível) ou ao término de seu tratamento (LGPD, art. 16).
Portanto, o Ciclo se inicia com a coleta e que determina a “vida” (existência) do dado pessoal durante um período, de acordo com certos critérios de eliminação.
Coleta: obtenção, recepção ou produção de dados pessoais independente do meio utilizado (documento em papel, documento eletrônico, sistema de informação, etc.).
Retenção: arquivamento ou armazenamento de dados pessoais independente do meio utilizado (documento em papel, documento eletrônico, banco de dados, arquivo de aço, etc.).
Processamento: qualquer operação que envolva classificação, utilização, reprodução, processamento, avaliação ou controle da informação, extração e modificação de dados pessoais.
Compartilhamento: qualquer operação que envolva transmissão, distribuição, comunicação, transferência, difusão e compartilhamento de dados pessoais.
Eliminação: qualquer operação que visa apagar ou eliminar dados pessoais. Esta fase também contempla descarte dos ativos organizacionais nos casos necessários ao negócio da instituição