I — Introdução
O presente texto tem a intenção de contribuir, de forma didática, sobre os possíveis passos que uma empresa precisa dar para iniciar o movimento de conformidade com a Lei Geral de Proteção de Dados, assim como trazer alguns esclarecimentos básicos sobre a LGPD.
II — Definições
Antes de se adentrar no intuito do presente texto, algumas definições legais precisam ser feitas. São elas:
Dados pessoais
São as informações relacionadas a uma pessoa natural identificada ou identificável, ou seja, qualquer informação que identifique ou possa identificar uma pessoa, tais como nomes, números, códigos de identificação, endereços.
Dados pessoais sensíveis
É o dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião pública, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico quando vinculado a uma pessoa natural.
Tratamento
É toda a operação realizada com o dado pessoal. Por exemplo: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle da informação, comunicação, transferência, difusão ou extração.
Controlador
É a pessoa que tem competência para tomar decisões referentes ao tratamento de dados pessoais. Essa pessoa pode ser natural ou jurídica, de direito público ou privado.
Operador
É a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Agentes de tratamento
São o controlador e o operador.
III — Em quais as situações a LGPD é aplicável?
Regula o tratamento de dados relacionados a pessoas físicas apenas.
Aplica-se independentemente do meio e/ou forma de tratamento dos dados; ou seja, impõe regras ao tratamento de dados realizado dentro ou fora da internet, utilizando ou não meios digitais.
Aplica-se a operações de tratamento que ocorrem no território brasileiro, mas também a operações de tratamento que ocorrem fora do país, quando:
(i) os dados pessoais forem coletados no Brasil;
(ii) os dados sejam relacionados a indivíduos localizados no território brasileiro;
(iii) tiver por objetivo a oferta de produtos e/ou serviços ao público brasileiro.
A LGPD aplica-se a qualquer operação de tratamento realizada no território nacional, ou mesmo fora do território nacional, independentemente de onde os agentes de tratamento estão sediados ou os dados estão localizados, desde que:
(i) a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços no território brasileiro;
(ii) a atividade de tratamento tenha por objetivo o tratamento de dados de indivíduos localizados no território brasileiro;
(iii) os dados pessoais objeto do tratamento tenham sido coletados no território brasileiro.
IV — Em quais situações a LGPD não é aplicável?
A LGPD não se aplica ao tratamento de dados pessoais:
(i) Realizado por pessoa natural para fins exclusivamente particulares e não econômicos;
(ii) Realizado para fins exclusivamente jornalísticos, artísticos, acadêmicos;
(iii) Realizado para fins exclusivos de segurança pública, de defesa nacional, de segurança do Estado;
(iv) Em atividades de investigação e repressão de infrações penais;
(v) Provenientes e destinados a outros países, que apenas transitem pelo território nacional, sem que aqui seja realizada qualquer operação de tratamento.
Quais são os princípios embasadores da LGPD?
V — Princípios da LGPD
• Finalidade;
O tratamento de dados pessoais deve ser realizado para propósitos legítimos, específicos, explícitos e informados ao titular, observadas as finalidades originárias.
• Adequação;
O tratamento de dados pessoais deve ser compatível com as finalidades informadas ao titular, de acordo com o contexto do tratamento.
• Necessidade;
O tratamento de dados pessoais deve ser limitado ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.
• Livre acesso;
É garantida aos titulares a consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.
• Qualidade dos dados;
É garantido aos titulares que seus dados sejam exatos, claros, relevantes e atualizados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.
• Transparência;
É garantido aos titulares o direito a informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial.
• Segurança;
Devem ser utilizadas medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
• Prevenção;
Devem ser adotadas medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.
• Não discriminação; e
Impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos.
• Responsabilização e prestação de contas.
Demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
É importante que adotemos medidas efetivas (e que sejam demonstráveis) para que as operações de tratamento estejam aderentes aos princípios previstos da LGPD.
Como estar em conformidade com a LGPD?
VI — Quais providências devem ser tomadas?
Revisar e adequar as políticas (internas e em relação a terceiros), contratos, procedimentos e demais atividades que envolvam tratamento de dados pessoais (tanto de clientes quanto de empregados) aos princípios estabelecidos na LGPD.
Além disso, manter registros, preferencialmente por escrito, que demonstrem a adoção de medidas para adequação das operações de tratamento aos princípios estabelecidos na LGPD, independentemente do tamanho da base de dados existente.
VII — Em quais situações o tratamento de dados pessoais é considerado legal?
A LGPD estabelece dez hipóteses para o tratamento de dados, incluindo, além do consentimento, o interesse legítimo do controlador ou de terceiro, a necessidade de cumprimento de contrato ou de obrigação legal ou regulatória.
Afora a hipótese de consentimento, as hipóteses para o tratamento de dados pessoais sensíveis são mais restritas e não permitem o tratamento com base no legítimo interesse e na proteção do crédito, por exemplo.
A LGPD estabelece regras específicas para a obtenção do consentimento, que poderá ser nulo caso se trate de uma autorização genérica ou se baseado em informações com conteúdo enganoso ou abusivo.
Existem regras específicas para o tratamento de dados pessoais de crianças e adolescentes.
O tratamento de dados pessoais considerados como “públicos” deve considerar a finalidade originária, a boa-fé e o interesse público que justificaram a disponibilização de tais dados.
Quais providências tomar?
Quando o tratamento de dados pessoais for baseado no consentimento, o controlador deve manter documentação comprobatória da sua obtenção em conformidade com a legislação.
Quando o tratamento de dados pessoais for baseado no interesse legítimo, o controlador deve adotar medidas para garantir a transparência de tal tratamento, que poderá sempre ser revisto pela autoridade nacional de proteção de dados à luz do caso concreto.
Manter registro e fundamentação das operações de tratamento de dados pessoais, especialmente quando baseado no interesse legítimo.
Consentimento:
A LGPD estabelece que o consentimento é uma manifestação livre, informada e inequívoca que autoriza o tratamento de dados pessoais para uma finalidade determinada. Autorizações genéricas, isto é, autorizações que não têm como escopo uma finalidade específica, explícita e informada serão nulas.
O consentimento deverá ser fornecido por escrito em cláusula destacada ou por qualquer outra ação afirmativa que demonstre a vontade do titular dos dados. Não se admite em hipótese alguma o consentimento implícito.
O consentimento será sempre considerado uma autorização temporária porque pode ser revogado a qualquer momento pelo titular dos dados pessoais, por procedimento gratuito e facilitado.
Caso haja mudança na finalidade para o tratamento de dados pessoais para a qual o consentimento do titular foi obtido e desde que essa mudança não seja compatível com o consentimento originalmente dado, o controlador deverá informar previamente o titular sobre tal mudança.
Em caso de dados tornados manifestamente públicos pelo próprio titular dos dados, o agente fica desobrigado de obter o consentimento para tratamento de dados, observada a finalidade originária do tratamento, de modo que permanecem vigentes os demais direitos do titular e princípios estabelecidos na LGPD.
Interesse legítimo:
O tratamento de dados pessoais necessário para atender ao interesse legítimo do controlador ou de terceiro é permitido pela LGPD, desde que tal tratamento não viole os direitos e liberdades fundamentais do titular dos dados e que medidas para garantir a transparência de tal tratamento sejam adotadas.
O interesse legítimo deverá ser verificado a partir da análise da situação concreta e com base nos princípios da LGPD e poderá ser revisto pela autoridade nacional de proteção de dados. A título de exemplo, a LGPD estabelece um rol de finalidades que podem vir a justificar o interesse legítimo do controlador ou de terceiro, a depender da situação concreta:
Apoio e promoção de atividades do controlador;
Proteção, em relação ao titular dos dados, do exercício regular dos direitos ou prestação de serviços que beneficiem o titular, desde que respeitadas as legítimas expectativas do titular dos dados.
No caso de tratamento de dados pessoais com fundamento no interesse legítimo do controlador, somente os dados estritamente necessários, considerando a finalidade pretendida, poderão ser utilizados.
Tratamento de Dados Pessoais Sensíveis:
Considerando a natureza de dados pessoais sensíveis, a LGPD se preocupou em diminuir as hipóteses para tratamento desses dados e impor um consentimento mais rigoroso.
O consentimento para o tratamento de dados pessoais sensíveis deve ser fornecido de forma específica e destacada. Isto é, o agente de tratamento responsável por obter o consentimento deve se preocupar em obter uma autorização especial para o tratamento de dados pessoais sensíveis.
Além disso, a LGPD não permite o tratamento de dados pessoais sensíveis para atender ao interesse legítimo do controlador ou de terceiros ou proteção do crédito. Por outro lado, permanece a possibilidade de tratar os dados pessoais sensíveis quando for indispensável para o cumprimento de obrigação legal ou regulatória pelo controlador dos dados, para o exercício regular de direitos em processo judicial, administrativo ou arbitral ou necessário para a execução de contrato.
Tratamento de Dados Pessoais de Crianças e de Adolescentes:
O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse. O tratamento de dados pessoais de crianças deve ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal. Os controladores deverão realizar todos os esforços razoáveis para verificar que o consentimento foi realmente fornecido pelo responsável pela criança.
A única hipótese em que a LGPD permite a coleta de dados pessoais sem o consentimento de pais ou responsável legal é no caso da coleta necessária para realizar contato com os pais ou responsável legal. Neste caso, os dados pessoais coletados sem o consentimento somente poderão ser utilizados uma vez e não poderão ser armazenados em hipótese alguma, dado que sua única finalidade é a realização do referido contato.
Término do tratamento:
O término do tratamento de dados pessoais ocorrerá quando:
(i) For verificado que a finalidade para a qual o consentimento foi obtido foi alcançada ou que os dados pessoais coletados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
(ii) Decorrer o fim do período de tratamento;
(iii) Ocorrer uma manifestação do titular dos dados pessoais nesse sentido;
(iv) Houver uma determinação legal.
Nos casos de término de tratamento de dados pessoais, os dados pessoais devem ser eliminados, salvo se de outra forma a sua guarda for autorizada pela LGPD, tal como o emprego de anonimização.