Decidimos reunir uma lista de termos e destaques para ajudar a entender melhor o que é a LGPD. O conteúdo é baseado em material feito por Marcos Sêmola, sócio da Ernst & Young para Cybersecurity.

Sobre a LGPD

A Lei se aplica a: Empresas estabelecidas no Brasil e empresas que ofereçam serviços a brasileiros.

A Lei não se aplica a: Dados corporativos e de negócio, dados para fins particulares e não econômicos e dados para fins jornalísticos, artísticos, acadêmicos, penais, investigativos, e de segurança pública.

Termos

Dado pessoal: Informação relacionada à uma pessoa natural identificada ou identificável;

Dado pessoal sensível: Raça e etnia, convicção religiosa, opinião política, filiação sindical, dados de saúde, opção sexual, genético-biométrico ou dados de crianças;

Dado anonimizado: Aquele cujo titular não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.

Uma vez anonimizado, o dado não é mais considerado pessoal salvo quando o processo de anonimização puder ser revertido;

Estado dos dados: Podem ser: em uso, em movimento, em nuvem, em repouso, estruturados e não estruturados;

Tratamento de dados pessoais: Se refere à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração dos dados;

Titular do dado: Pessoa natural que detém direitos estabelecidos pela LGPD sobre seus dados pessoais;

Controlador do dado: Pessoa física ou jurídica, de direito público ou privado, responsável pelas decisões referentes ao tratamento de dados pessoais;

Operador do dado: Pessoa física ou jurídica que realiza o tratamento de dados pessoais em nome do controlador.

Siglas:

ROPA (Record of Processing Activities) – Registro de operações: O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem desde a sua coleta até a sua exclusão, indicando quais dados serão coletados, sua base legal, finalidades, tempo de retenção, e as práticas de segurança;

DPIA (Data Protection Impact Assessment) – Relatório de impacto: Ferramenta para ajudar a identificar e minimizar os riscos na proteção de dados, que poderá ser requerida pela ANPD.

É a documentação com as atividades de tratamento de dados que podem gerar riscos aos titulares, bem como informações sobre a implementação de medidas de mitigação de danos;

ANPD (Autoridade Nacional de Proteção de Dados): É uma autoridade pública federal independente estabelecida para supervisionar e fiscalizar a execução da Lei Geral de Proteção de Dados (13.709/2018).

Deverá funcionar da mesma forma que outras agências reguladoras, podendo estabelecer diretrizes para a proteção de dados pessoais no Brasil.

Será composta por um Conselho Diretor, um Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, Corregedoria, Ouvidoria, um órgão de apoio jurídico e unidades especializadas para à aplicação da LGPD.

Enquanto a ANPD não estiver formada, o decreto que estrutura a ANPD ainda pode sofrer alterações. Até aqui, ele traz três eixos temáticos: normatização, educação e articulação institucional, e fiscalização e supervisão;

DPO (Data Protection Officer): Pessoa física ou jurídica nomeada pelo controlador, que atuará como um canal de comunicação entre o controlador, os titulares dos dados e a autoridade de proteção de dados (no caso do Brasil a ANPD).