Na mesma linha do regulamento europeu, a LGPD irá mudar a forma de funcionamento e operação das organizações ao estabelecer regras claras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo um padrão mais elevado de proteção e penalidades significativas para o não cumprimento da norma.
A lei entende por “dados pessoais” qualquer informação relacionada à pessoa natural identificada ou identificável, e por “tratamento de dados” toda operação realizada com dados pessoais, como as que se referem à coleta, classificação, utilização, acesso, reprodução, processamento, armazenamento, eliminação, controle da informação, entre outros.
A coleta e processamento de dados deverá atentar às bases legais impostas pela lei. O novo texto prevê nove hipóteses que tornam lícitos os tratamentos de dados, com destaque a duas principais: fornecimento de consentimento e o legítimo interesse.
É necessária a obtenção de consentimento explícito pelo titular dos dados, ou seja, este deve ser informado e dado livremente, para que os consumidores optem ativamente por engajar ou não.
Outra hipótese que autoriza o uso dos dados é o legítimo interesse do controlador, que poderá promover o tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas.
A lei elenca dez princípios que as organizações devem obedecer quanto ao tratamento de dados, com destaque para o princípio da finalidade, da adequação, da necessidade e da transparência.
Em atenção a estes princípios, as organizações públicas e privadas que possuem a cultura de acumular dados antes mesmo de saber o que farão com isso, passarão por uma mudança de mindset.
A LGPD vai contra esse hábito ao defender que a coleta de dados deve se restringir àquilo que é diretamente útil para sua interação imediata com os consumidores. Portanto, a colheita de dados deve ser adequada, relevante e limitada ao mínimo necessário em relação às finalidades para as quais são processados.
A lei detalha os papéis de quatro diferentes agentes: o titular, o controlador, o operador e o encarregado.
O titular: é a pessoa física a quem se referem os dados pessoais.
O controlador: é a empresa ou pessoa física que coleta dados pessoais e toma todas as decisões em relação a forma e finalidade do tratamento dos dados. O controlador é responsável por como os dados são coletados, para que estão sendo utilizados e por quanto tempo serão armazenados.
O operador: é a empresa ou pessoa física que realiza o tratamento e processamento de dados pessoais sob as ordens do controlador.
O encarregado: é a pessoa física indicada pelo controlador e que atua como canal de comunicação entre as partes (controlador, os titulares e a autoridade nacional), além de orientar os funcionários do controlador sobre práticas de tratamento de dados.