Diversas informações pessoais são compartilhadas todos os dias entre pessoas, empresas e organizações públicas e privadas.
Pensando nisso, com o intuito de proteger os dados pessoais e assegurar os direitos de seus titulares, foi estabelecida a Lei nº 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (LGPD), a qual possivelmente você já deve ter ouvido ou lido sobre e questionado como ela se aplica a sua organização e a seu dia a dia. Porém, se isso ainda não ocorreu, então é um bom momento para se informar.
Neste artigo, traremos breves considerações sobre a LGPD, apresentando suas características gerais e pontos de atenção que o seu negócio precisa ter.
O que a LGPD regulamenta?
A LGPD é uma lei que regula as atividades de tratamento de dados pessoais pela iniciativa privada e pelo poder público, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, definindo regras claras sobre os processos de coleta, armazenamento e compartilhamento dos dados.
É importante deixar claro que a proteção de dados não surgiu necessariamente com a LGPD, sendo um fruto histórico da proteção à privacidade garantida pela Constituição Federal e em leis posteriores, como o Marco Civil da Internet e Lei Carolina Dieckmann.
O que é o tratamento de dados e quando ele pode ocorrer?
Em síntese, o tratamento de dados pessoais é toda a operação realizada com dados pessoais, tais como a coleta, recepção, produção, classificação, acesso, transmissão, processamento, armazenamento, modificação, difusão, transferência, arquivamento, distribuição, eliminação, reprodução e utilização.
De modo geral, o tratamento de dados pessoais, conforme a LGPD somente poderá ser realizado em duas hipóteses, sendo a primeira quando houver o consentimento explícito da pessoa e para um fim determinado e a segunda, sem o consentimento, porém, decorrer de previsão legal, ordem judicial, necessidade pública e/ou proteção à vida e a saúde da pessoa.
O que são os dados pessoais?
Dentre os conceitos de dados definidos na LGPD, destacou-se os seguintes:
a) dado pessoal: informação que torna uma pessoa identificada (nome, RG e CPF) ou identificável por meio de referências (profissão, idade, empresa, etc.).
b) dado sensível: informações relacionadas à pessoa que pode gerar qualquer tipo de discriminação (origem racial ou étnica, convicção religiosa, opinião política, dado referente à saúde, dado genético ou biométrico, etc.)
c) dado anonimizado: informação que quando utilizada não permita que, via meios técnicos e outros, se reconstrua o caminho para “descobrir” quem era a pessoa titular do dado.
Os dados podem estar em meios digitais ou físicos, como pastas e arquivos.
A quem aplica-se a LGPD?
A LGPD aplica-se a qualquer pessoa natural ou jurídica de direito público ou privada, que realize tratamento de dados pessoais, ou seja, exerça atividade em que se utilizem dados pessoais em meio digital e físico, desde que:
a) o tratamento de dados ocorra em território nacional;
b) o tratamento de dados tenha por objetivo a oferta ou o fornecimento de bens ou serviços no território brasileiro ou o tratamento de dados de indivíduos localizados no Brasil; e
c) os dados pessoais tenham sido coletados de indivíduos localizados no Brasil no momento da coleta.
Em qualquer das hipóteses acima é necessário consentimento expresso do titular para que seus dados possam passar por uma operação de tratamento de dados.
O que ocorre se houver violação de dados?
Os agentes que cometerem infrações contra as normas previstas na LGPD, ficam sujeitos às sanções administrativas aplicáveis, como advertência, multas que podem chegar até R$ 50 milhões, suspensão e/ou proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados, etc.
As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, levando em consideração os determinados parâmetros como a gravidade da infração, a cooperação do infrator para o ocorrido, a adoção de medidas corretivas, entre outros.
Sempre que ocorrer alguma violação de dados, a empresa tem a obrigação de comunicar, em prazo razoável, à Autoridade Nacional de Proteção de Dados e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
O que de fato muda para quem trabalha com dados?
Importante frisar, a LGPD não impede o uso de dados nos negócios, mas sim, estabelece que a coleta seja precedida de transparência, para que o cliente saiba com quem seus dados são compartilhados e o que, de fato, é feito com eles.
De modo geral, os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na lei e demais normas regulamentares.
Uma importante recomendação está na finalidade do tratamento, as organizações devem tratar apenas os dados necessários para atingir a sua finalidade específica, além de especificar esses dados antes do início do seu tratamento e informar apropriadamente os titulares. Ou seja, nada de coletar, armazenar e tratar dados que não sejam importantes para o negócio.
Concluímos que o mais importante às organizações é que tenham clareza da forma como os dados são tratados internamente, deem ciência para os titulares do objetivo da coleta e armazenamento e oportunidade para que esses revoguem o acesso, defina o responsável pelos dados e adote sistemas de automatização no tratamento, de forma a facilitar o trato no dia a dia.