I — Introdução

O presente texto tem a intenção de contribuir, de forma didática, sobre os possíveis passos que uma empresa precisa dar para iniciar o movimento de conformidade com a Lei Geral de Proteção de Dados, assim como trazer alguns esclarecimentos básicos sobre a LGPD.

II — Definições

Antes de se adentrar no intuito do presente texto, algumas definições legais precisam ser feitas. São elas:

Dados pessoais

São as informações relacionadas a uma pessoa natural identificada ou identificável, ou seja, qualquer informação que identifique ou possa identificar uma pessoa, tais como nomes, números, códigos de identificação, endereços.

Dados pessoais sensíveis

É o dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião pública, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico quando vinculado a uma pessoa natural.

Tratamento

É toda a operação realizada com o dado pessoal. Por exemplo: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle da informação, comunicação, transferência, difusão ou extração.

Controlador

É a pessoa que tem competência para tomar decisões referentes ao tratamento de dados pessoais. Essa pessoa pode ser natural ou jurídica, de direito público ou privado.

Operador

É a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

Agentes de tratamento

São o controlador e o operador.

III — Em quais as situações a LGPD é aplicável?

Regula o tratamento de dados relacionados a pessoas físicas apenas.

Aplica-se independentemente do meio e/ou forma de tratamento dos dados; ou seja, impõe regras ao tratamento de dados realizado dentro ou fora da internet, utilizando ou não meios digitais.

Aplica-se a operações de tratamento que ocorrem no território brasileiro, mas também a operações de tratamento que ocorrem fora do país, quando:

(i) os dados pessoais forem coletados no Brasil;

(ii) os dados sejam relacionados a indivíduos localizados no território brasileiro;

(iii) tiver por objetivo a oferta de produtos e/ou serviços ao público brasileiro.

A LGPD aplica-se a qualquer operação de tratamento realizada no território nacional, ou mesmo fora do território nacional, independentemente de onde os agentes de tratamento estão sediados ou os dados estão localizados, desde que:

(i) a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços no território brasileiro;

(ii) a atividade de tratamento tenha por objetivo o tratamento de dados de indivíduos localizados no território brasileiro;

(iii) os dados pessoais objeto do tratamento tenham sido coletados no território brasileiro.

IV — Em quais situações a LGPD não é aplicável?

A LGPD não se aplica ao tratamento de dados pessoais:

(i) Realizado por pessoa natural para fins exclusivamente particulares e não econômicos;

(ii) Realizado para fins exclusivamente jornalísticos, artísticos, acadêmicos;

(iii) Realizado para fins exclusivos de segurança pública, de defesa nacional, de segurança do Estado;

(iv) Em atividades de investigação e repressão de infrações penais;

(v) Provenientes e destinados a outros países, que apenas transitem pelo território nacional, sem que aqui seja realizada qualquer operação de tratamento.

Quais são os princípios embasadores da LGPD?

V — Princípios da LGPD

• Finalidade;

O tratamento de dados pessoais deve ser realizado para propósitos legítimos, específicos, explícitos e informados ao titular, observadas as finalidades originárias.

• Adequação;

O tratamento de dados pessoais deve ser compatível com as finalidades informadas ao titular, de acordo com o contexto do tratamento.

• Necessidade;

O tratamento de dados pessoais deve ser limitado ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.

• Livre acesso;

É garantida aos titulares a consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.

• Qualidade dos dados;

É garantido aos titulares que seus dados sejam exatos, claros, relevantes e atualizados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.

• Transparência;

É garantido aos titulares o direito a informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial.

• Segurança;

Devem ser utilizadas medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

• Prevenção;

Devem ser adotadas medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.

• Não discriminação; e

Impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos.

• Responsabilização e prestação de contas.

Demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

É importante que adotemos medidas efetivas (e que sejam demonstráveis) para que as operações de tratamento estejam aderentes aos princípios previstos da LGPD.

Como estar em conformidade com a LGPD?

VI — Quais providências devem ser tomadas?

Revisar e adequar as políticas (internas e em relação a terceiros), contratos, procedimentos e demais atividades que envolvam tratamento de dados pessoais (tanto de clientes quanto de empregados) aos princípios estabelecidos na LGPD.

Além disso, manter registros, preferencialmente por escrito, que demonstrem a adoção de medidas para adequação das operações de tratamento aos princípios estabelecidos na LGPD, independentemente do tamanho da base de dados existente.

VII — Em quais situações o tratamento de dados pessoais é considerado legal?

A LGPD estabelece dez hipóteses para o tratamento de dados, incluindo, além do consentimento, o interesse legítimo do controlador ou de terceiro, a necessidade de cumprimento de contrato ou de obrigação legal ou regulatória.

Afora a hipótese de consentimento, as hipóteses para o tratamento de dados pessoais sensíveis são mais restritas e não permitem o tratamento com base no legítimo interesse e na proteção do crédito, por exemplo.

A LGPD estabelece regras específicas para a obtenção do consentimento, que poderá ser nulo caso se trate de uma autorização genérica ou se baseado em informações com conteúdo enganoso ou abusivo.

Existem regras específicas para o tratamento de dados pessoais de crianças e adolescentes.

O tratamento de dados pessoais considerados como “públicos” deve considerar a finalidade originária, a boa-fé e o interesse público que justificaram a disponibilização de tais dados.

Quais providências tomar?

Quando o tratamento de dados pessoais for baseado no consentimento, o controlador deve manter documentação comprobatória da sua obtenção em conformidade com a legislação.

Quando o tratamento de dados pessoais for baseado no interesse legítimo, o controlador deve adotar medidas para garantir a transparência de tal tratamento, que poderá sempre ser revisto pela autoridade nacional de proteção de dados à luz do caso concreto.

Manter registro e fundamentação das operações de tratamento de dados pessoais, especialmente quando baseado no interesse legítimo.

Consentimento:

A LGPD estabelece que o consentimento é uma manifestação livre, informada e inequívoca que autoriza o tratamento de dados pessoais para uma finalidade determinada. Autorizações genéricas, isto é, autorizações que não têm como escopo uma finalidade específica, explícita e informada serão nulas.

O consentimento deverá ser fornecido por escrito em cláusula destacada ou por qualquer outra ação afirmativa que demonstre a vontade do titular dos dados. Não se admite em hipótese alguma o consentimento implícito.

O consentimento será sempre considerado uma autorização temporária porque pode ser revogado a qualquer momento pelo titular dos dados pessoais, por procedimento gratuito e facilitado.

Caso haja mudança na finalidade para o tratamento de dados pessoais para a qual o consentimento do titular foi obtido e desde que essa mudança não seja compatível com o consentimento originalmente dado, o controlador deverá informar previamente o titular sobre tal mudança.

Em caso de dados tornados manifestamente públicos pelo próprio titular dos dados, o agente fica desobrigado de obter o consentimento para tratamento de dados, observada a finalidade originária do tratamento, de modo que permanecem vigentes os demais direitos do titular e princípios estabelecidos na LGPD.

Interesse legítimo:

O tratamento de dados pessoais necessário para atender ao interesse legítimo do controlador ou de terceiro é permitido pela LGPD, desde que tal tratamento não viole os direitos e liberdades fundamentais do titular dos dados e que medidas para garantir a transparência de tal tratamento sejam adotadas.

O interesse legítimo deverá ser verificado a partir da análise da situação concreta e com base nos princípios da LGPD e poderá ser revisto pela autoridade nacional de proteção de dados. A título de exemplo, a LGPD estabelece um rol de finalidades que podem vir a justificar o interesse legítimo do controlador ou de terceiro, a depender da situação concreta:

Apoio e promoção de atividades do controlador;

Proteção, em relação ao titular dos dados, do exercício regular dos direitos ou prestação de serviços que beneficiem o titular, desde que respeitadas as legítimas expectativas do titular dos dados.

No caso de tratamento de dados pessoais com fundamento no interesse legítimo do controlador, somente os dados estritamente necessários, considerando a finalidade pretendida, poderão ser utilizados.

Tratamento de Dados Pessoais Sensíveis:

Considerando a natureza de dados pessoais sensíveis, a LGPD se preocupou em diminuir as hipóteses para tratamento desses dados e impor um consentimento mais rigoroso.

O consentimento para o tratamento de dados pessoais sensíveis deve ser fornecido de forma específica e destacada. Isto é, o agente de tratamento responsável por obter o consentimento deve se preocupar em obter uma autorização especial para o tratamento de dados pessoais sensíveis.

Além disso, a LGPD não permite o tratamento de dados pessoais sensíveis para atender ao interesse legítimo do controlador ou de terceiros ou proteção do crédito. Por outro lado, permanece a possibilidade de tratar os dados pessoais sensíveis quando for indispensável para o cumprimento de obrigação legal ou regulatória pelo controlador dos dados, para o exercício regular de direitos em processo judicial, administrativo ou arbitral ou necessário para a execução de contrato.

Tratamento de Dados Pessoais de Crianças e de Adolescentes:

O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse. O tratamento de dados pessoais de crianças deve ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal. Os controladores deverão realizar todos os esforços razoáveis para verificar que o consentimento foi realmente fornecido pelo responsável pela criança.

A única hipótese em que a LGPD permite a coleta de dados pessoais sem o consentimento de pais ou responsável legal é no caso da coleta necessária para realizar contato com os pais ou responsável legal. Neste caso, os dados pessoais coletados sem o consentimento somente poderão ser utilizados uma vez e não poderão ser armazenados em hipótese alguma, dado que sua única finalidade é a realização do referido contato.

Término do tratamento:

O término do tratamento de dados pessoais ocorrerá quando:

(i) For verificado que a finalidade para a qual o consentimento foi obtido foi alcançada ou que os dados pessoais coletados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;

(ii) Decorrer o fim do período de tratamento;

(iii) Ocorrer uma manifestação do titular dos dados pessoais nesse sentido;

(iv) Houver uma determinação legal.

Nos casos de término de tratamento de dados pessoais, os dados pessoais devem ser eliminados, salvo se de outra forma a sua guarda for autorizada pela LGPD, tal como o emprego de anonimização.