LGPD, APIs e a extração de dados

LGPD

LGPD ou Lei Geral De Proteção De Dados Pessoais (Lei n. 13.709 de 14 de agosto de 2018), foi implementada no Brasil em setembro de 2020, tornando-o um dos mais de 100 países com leis específicas para a proteção de dados no espaço virtual.

Essa lei representa uma movimentação mundial em torno da cibersegurança. Com um grande número de tecnologias avançadas estarem em circulação, a segurança das redes vem sendo prejudicada, mas essa situação está encontrando seu contraponto. 

Com essa preocupação com a cibersegurança, muitas medidas vêm sendo tomadas, entre elas está a própria LGPD. Esse artigo entrará mais a fundo nas especificidades dessa lei e suas repercussões, dessa forma, apresentaremos os seguintes assuntos: 

LGPD: O que é? 

Essa lei tem o objetivo de proteger os direitos de liberdade, privacidade e desenvolvimento da personalidade das pessoas naturais, não se estendendo à pessoa jurídica, através da regulamentação do tratamento de dados dentro do país. Para isso, a lei dispõe de princípios, requisitos, regras, sanções e conceitos que serão aplicados na regulamentação. 

Para melhor entendimento, esses conceitos serão descritos a seguir: 

Dados Pessoais e Dados Pessoais Sensíveis

O dado pessoal é uma informação que permite identificar um indivíduo, diretamente ou indiretamente, que esteja vivo. Ou seja, qualquer informação sobre alguma pessoa é um dado pessoal. 

Os dados pessoais sensíveis são mais específicos, se tratando de informações referentes à: origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico. Esses dados só podem ser tratados em casos especiais e serão mais fortemente guardados. 

O Titular dos Dados Pessoais 

O titular dos dados se refere à própria pessoa à qual pertence os dados em questão. São esses titulares que a lei garante os direitos fundamentais de liberdade, de intimidade e de privacidade.

O Tratamento de Dados

O tratamento é entendido como qualquer operação realizada com os dados pessoais. Assim, o tratamento se refere à: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, tratamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

O Controlador de Dados

É quem o titular confia seus dados, ou seja, é aquele que toma as decisões sobre os tratamentos dos dados efetivamente. Sendo a porta de entrada desses dados, ele decidirá o que será feito com essas informações.

O Operador de Dados

É aquele que realiza o processo de tratamento propriamente dito em nome do Controlador. Esses operadores são contratados para realizar os serviços complementares. 

O Encarregado

É uma pessoa indicada pelo Controlador e pelo Operador. Ele atua como uma ponte de comunicação entre o Controlador, os Titulares e a Autoridade Nacional de Proteção de Dados (ANPD – Órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional). 

Os Direitos dos Titulares

Direitos e a LGPD
Direitos e a LGPD

A LGPD prevê em seus artigos vários direitos dos titulares dos dados pessoais, como:

  • acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva;
  • confirmação da existência de tratamento;
  • acesso aos dados;
  • correção de dados incompletos, inexatos ou desatualizados;
  • anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
  • portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
  • eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da LGPD;
  • informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
  • informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
  • revogação do consentimento, mediante manifestação expressa do titular, por procedimento gratuito e facilitado;
  • peticionamento em relação aos seus dados contra o controlador, perante a ANPD e perante os organismos de defesa do consumidor;
  • oposição a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto na LGPD;
  • solicitação de revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade; e
  • fornecimento, mediante solicitação, de informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.

As repercussões da LGPD 

Com a chegada da LGPD, o tratamento de dados passa a necessitar de um amparo legal para ser executado, se tornando limitado ao que a lei propõe como motivo de tratamento e como conseguir os dados. A lei impõe as seguintes bases legais: 

  • Mediante o fornecimento de consentimento pelo titular;
  • Para o cumprimento de obrigação legal ou regulatória pelo controlador;
  • Para a execução de políticas públicas, pela administração pública;
  • Para a realização de estudos por órgão de pesquisa;
  • Para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
  • Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
  • Para a proteção da vida ou da incolumidade física do titular ou de terceiro;
  • Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
  • Para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecer em direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; e
  • Para a proteção do crédito.

Assim, a lei empodera o titular, dando-lhe direitos e obrigando um estabelecimento de uma política de tratamento de dados na qual o titular tem um dizer sobre suas próprias informações. Agora, o tratamento dos dados não pode ser realizado sem uma base legal e sem o conhecimento de seu titular. 

Isso muda todo o processo de extração e utilização de dados, que já não funciona mais na mesma lógica de antes. 

Como isso afeta os serviços de extração de dados? 

Os serviços de extração de dados ainda existem, porém agora adaptados para garantir que a coleta esteja em conformidade com a lei. A LGPD prevê sanções e fiscalizações para os maus usos dos dados através da ANPD. Entre as medidas corretivas estão: bloqueio/eliminação de dados pessoais irregulares, suspensão parcial do banco de dados e proibição da atividade de tratamento. 

A lei tem uma regulamentação híbrida, e não restringe o tratamento de dados aos órgãos públicos. Entidades particulares podem tratar dados, assim os serviços de extração não são ilegais, porém esse processo deve contar com a transparência e prestação de contas legais. 

Como posso estar de acordo com a LGPD? 

Para aplicar a LGPD na sua empresa não tem segredo, sempre preste contas com os poderes públicos e os titulares dos dados. Agora, esse processo pode ser realizado de diversas formas. 

Uma forma mais comum e rápida é a contratação de um serviço terceirizado que irá garantir o comprimento das leis. Algumas atividades que podem ser tomadas por esses serviços terceirizados, como: 

  • Garantir um canal de comunicação com os titulares, prestar esclarecimentos e adotar providências
  • Prestar contas com as forças públicas
  • Consultoria e orientação dos funcionários para que as práticas necessarias sejam compridas 
  • Executar as atribuições determinadas pelo controlador ou estabelecidas em normas complementares

Porém, esse serviço não precisa ser necessariamente terceirizado, você mesmo pode aplicar esse processo dentro da sua empresa. Todavia, é indispensável um grande cuidado e comprometimento em construir um setor que leve o assunto a sério. É fundamental que os papéis básicos sejam distribuídos (controlador, operador e encarregado), que os titulares sejam cientes dos procedimentos e que tenham um canal de comunicação direto e a transparência por parte da empresa. 

Qual a relação entre os Web services e APIs com a LGPD

Os Web Services e as APIs são tecnologias fundamentais para a troca de informações, mas é crucial garantir que sejam implementados e operados de acordo com os princípios e diretrizes da LGPD para assegurar a proteção dos dados pessoais dos usuários e clientes.

Como explicado anteriormente, a LGPD não proíbe a troca de informações e o tratamento de dados, apenas regulariza a forma que esses dados devem ser manipulados e o porquê. 

Portanto, levando em consideração que os Web services e as APIs são conhecidas como ferramentas que permitem a comunicação entre sistemas, para compartilhar dados, deve-se garantir que esses dados estejam seguros durante o processo, que as aplicações tenham os devidos dispositivos de segurança cibernética e que as pessoas responsáveis por esses dados sejam profissionais qualificados. 

Seguindo esses passos, você pode implementar os Web services e as APIs no seu espaço de trabalho, com segurança e sem medo de faltar com a lei.

Compartilhe nas mídias:

Obtenha Acesso Imediato a todos WebServices!

Tenha acessos a todos os dados e API de WS.

Destaques: