O acesso à informação e a proteção dos dados pessoais se tornaram temas de extrema importância com a ascensão das plataformas digitais. No Brasil, a Lei de Acesso à Informação (LAI) e a Lei Geral de Proteção de Dados (LGPD) são marcos regulatórios que tratam dessas questões.
No entanto, a relação entre essas duas leis pode gerar dúvidas e incertezas, uma vez que seus objetivos e abordagens podem parecer conflitantes à primeira vista. Neste artigo, vamos explorar a conexão entre a LAI e a LGPD, esclarecendo as semelhanças e as diferenças entre elas e mostrando como podem coexistir harmoniosamente na prática. Confira:
- o que é a Lei de Acesso à Informação (LAI)?
- o que é a Lei Geral de Proteção de Dados (LGPD)?
- existe conflito entre a LAI e a LGPD?
- como adequar uma organização a essas duas leis?
O que é a Lei de Acesso à Informação (LAI)?
A Lei de Acesso à Informação foi promulgada em 2011 e tem como principal objetivo garantir o direito fundamental de acesso à informação pública. Ela estabelece que qualquer cidadão pode solicitar e receber informações de órgãos públicos, sejam eles federais, estaduais ou municipais.
O objetivo é promover a transparência governamental, permitindo que a sociedade fiscalize as ações do Estado e participe ativamente do processo de tomada de decisão. Para isso, a legislação estabelece prazos e procedimentos para a disponibilização das informações solicitadas.
Além disso, ela estipula as exceções legais em que determinadas informações podem ser sigilosas. Esse é o caso de dados pessoais sensíveis ou informações que comprometam a segurança do Estado. É importante ressaltar que a LAI se aplica apenas a órgãos públicos e não abrange empresas privadas.
O que é a Lei Geral de Proteção de Dados (LGPD)?
A Lei Geral de Proteção de Dados foi aprovada em 2018 e entrou em vigor em 2020. Seu objetivo principal é proteger os dados pessoais dos cidadãos brasileiros por meio de diretrizes e regras para coleta, armazenamento, tratamento e compartilhamento de informações por entidades públicas e privadas.
A LGPD é inspirada em leis similares adotadas em outros países, como o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia.
Segundo a LGPD, dados pessoais são qualquer informação relacionada a uma pessoa natural identificada ou identificável, como:
- nome;
- endereço;
- e-mail;
- número de CPF;
- entre outros.
A lei garante que as pessoas tenham controle sobre esses dados e estabelece princípios como:
- a necessidade de consentimento prévio e informado para o tratamento dessas informações;
- a finalidade específica e legítima para a coleta dos dados;
- a transparência no uso dessas informações;
- a responsabilidade das entidades que as tratam.
Existe conflito entre a LAI e a LGPD?
Como a Lei de Acesso à Informação visa promover a transparência e garantir o acesso às informações, enquanto a Lei Geral de Proteção de Dados busca garantir o direito à privacidade de dados pessoais e dados pessoais sensíveis, essas legislações podem parecer entram em conflito em determinadas situações, como quando uma informação solicitada envolve o tratamento de dados pessoais.
Caso um cidadão peça documentos que contenham informações de terceiros, surge então a questão de como conciliar essa divulgação com as restrições da LGPD. Contudo, é importante ter em mente que ambas as leis possuem diretrizes voltadas ao tratamento de dados pessoais com foco na confidencialidade, integridade e disponibilidade.
A LAI permite que as instituições públicas neguem o acesso a certas informações com base no interesse público, enquanto a LGPD protege os direitos dos titulares. Apesar das diferenças, as duas contribuem para a proteção dos dados pessoais.
Vale lembrar ainda que a LGPD prevê algumas exceções que permitem o tratamento de dados pessoais para fins de acesso à informação, as quais são baseadas no interesse público e na observância dos seguintes princípios:
- finalidade;
- adequação;
- necessidade;
- livre acesso;
- segurança dos dados.
Leia também: Privacy by Design: 7 princípios para aplicar a LGPD
Como adequar uma organização a essas duas leis?
Para que uma organização esteja em conformidade tanto com a Lei de Acesso à Informação quanto com a Lei Geral de Proteção de Dados, é necessário adotar algumas medidas e boas práticas. Abaixo estão algumas orientações importantes:
Conscientização e treinamento
É essencial que todos os colaboradores da empresa estejam cientes das obrigações e diretrizes estabelecidas pela LAI e pela LGPD. Antes de começar a desenvolver os treinamentos, é importante compreender as implicações dessas leis para a organização. Isso permitirá determinar os tópicos mais relevantes.
Considere também os diferentes níveis de conhecimento e as áreas específicas que precisam ser abordadas. O departamento de recursos humanos pode ter necessidades bem distintas da área de TI, por exemplo. Se necessário, envolva especialistas jurídicos ou profissionais de proteção de dados para fornecer insights valiosos e responder a perguntas específicas dos colaboradores.
Mapeamento de dados
Realize um inventário detalhado de todos os dados coletados, armazenados e tratados pela organização. Esse processo, também conhecido como data mapping, exige a revisão de sistemas, bancos de dados, formulários, registros físicos e qualquer outra fonte.
Esses dados devem ser classificados de acordo com as categorias estabelecidas pela LGPD para que seja possível determinar medidas de segurança e procedimentos apropriados para cada caso.
Segurança dos dados
Considere a implementação de métodos para prevenir e responder rapidamente a incidentes de dados, como:
- criptografia de dados;
- gestão de acesso e identidade;
- pseudonimização e anonimização;
- políticas de retenção de dados;
- sistemas de backup e recuperação de dados.
Políticas de privacidade e transparência
Todos os pontos abordados anteriormente dependem de políticas de privacidade alinhadas às diretrizes da Lei Geral de Proteção de Dados (e da Lei de Acesso à Informação, no caso de órgãos públicos). No momento de elaborá-las, há alguns requisitos indispensáveis:
- escreva de forma clara e acessível, evitando termos técnicos complexos;
- especifique os tipos de dados pessoais coletados e o propósito da coleta;
- explique como os dados serão usados, se serão compartilhados com terceiros e quais medidas são tomadas para protegê-los;
- informe sobre os direitos dos usuários, como acesso, retificação e exclusão de dados;
- indique como os usuários podem entrar em contato para ter mais informações ou exercer seus direitos.
Dada a complexidade desse trabalho, algumas empresas recorrem a softwares que prometem torná-lo mais ágil utilizando como base um texto genérico. Mas será que vale a pena investir neles?
Para entender melhor, confira nosso artigo sobre os geradores de políticas de privacidade e entenda os riscos associados a esse tipo de ferramenta.
