A publicação da Lei nº 13.709/2018, a Lei Geral de Proteção de Dados, ou LGPD, trouxe inúmeras mudanças à forma com que as organizações realizam o tratamento de dados, estabelecendo diretrizes para essa atividade.
Em suma, a lei dispõe sobre o tratamento de dados pessoais realizado por pessoas naturais e jurídicas, de direito público ou privado. O objetivo principal é a proteção dos direitos de liberdade e privacidade dos seus titulares.
O que é tratamento de dados?
O tratamento de dados é definido no art. 5º, inciso X da LGPD como: toda operação realizada com dados pessoais, como as que se referem a:
- coleta;
- produção;
- recepção;
- classificação;
- utilização;
- acesso;
- reprodução;
- transmissão;
- distribuição;
- processamento;
- arquivamento;
- armazenamento;
- eliminação;
- avaliação ou controle da informação;
- modificação;
- comunicação;
- transferência;
- difusão;
- extração.
A LGPD acompanha um movimento internacional em direção a proteção e privacidade de dados dos cidadãos, chamados de titulares. A lei teve como inspiração a lei europeia, o General Data Protection Regulation (GDPR).
Dessa forma, tanto a lei brasileira como a europeia buscam atribuir deveres e responsabilidades às empresas que realizam o tratamento de dados, bem como agir em prol dos interesses dos titulares.
Exemplo disso é o direito do titular ao consentimento para o tratamento dos seus dados ou ainda à solicitação da eliminação dos seus dados do banco de pessoas ou empresas que estejam em posse dele.
Às organizações cabe, por exemplo, manter registro das operações de tratamento de dados, descrever quais são os tipos de dados coletados, a metodologia de coleta e ainda garantir salvaguardas e mecanismos de mitigação de riscos no tratamento de dados.
As bases legais LGPD são claras: onde há o tratamento de dados, há a necessidade da observância de seus dispositivos, sob a pena de sanções e multas em caso de descumprimento.
Portanto, é de suma importância que todas as empresas que realizam o tratamento de dados pessoais entendam as implicações dessa atividade e se adequem à legislação vigente.
Como deve ser realizado o tratamento de acordo com a LGPD?
A LGPD chama de agentes de tratamento todas as pessoas naturais ou jurídicas que sejam responsáveis pelas decisões referentes ao tratamento ou que realizem, efetivamente, o tratamento dos dados pessoais. Ou seja, o controlador e o operador dos dados.
De acordo, ainda, com a lei brasileira, as atividades de tratamento devem observar os seguintes princípios.
- Finalidade
- Adequação
- Necessidade
- Livre acesso
- Qualidade dos dados
- Transparência
- Segurança
- Prevenção
- Não-discriminação
- Responsabilização e prestação de contas
Finalidade
O princípio de finalidade determina que, no momento da coleta do dado, os agentes de tratamento deverão indicar ao titular, de forma clara e explícita, a finalidade que justifica o sua coleta.
Adequação
Já o princípio de adequação diz que o tratamento realizado deve ser adequado às finalidades apresentadas ao titular, sem possibilidade de tratamento posterior de forma incompatível com as finalidades anteriormente apontadas.
Necessidade
Quanto à necessidade, a coleta de dados deve se dar de maneira restritiva.
Ou seja, o agente de tratamento deve prezar apenas pelos dados pertinentes e proporcionais; o mínimo necessário para o atendimento das finalidades pretendidas, evitando, assim, a coleta excessiva.
Livre acesso
O princípio de livre acesso determina que o titular deve ter acesso para consultar, de forma facilitada e gratuita, a metodologia e a duração do tratamento, bem como verificar a integralidade dos seus dados.
Qualidade dos dados
A qualidade dos dados garante ao titular a exatidão, clareza, relevância e atualização dos dados conforme for a necessidade e para o cumprimento da finalidade a que se deve o seu tratamento.
Transparência
O princípio de transparência garante ao titular informações claras, precisas, acessíveis e de fácil entendimento sobre a realização das atividades de tratamento, bem como sobre os respectivos agentes de tratamento.
São observados aqui os segredos comercial e industrial.
Segurança
Os dados pessoais também deverão ser tratados de maneira que garanta a confidencialidade, integridade e disponibilidade.
Ou seja, esse princípio diz respeito a utilização de medidas técnicas e administrativas aptas para a proteção dos dados de acessos não autorizados e ainda de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
Prevenção
Já o princípio de prevenção está relacionado à adoção de medidas que devem ser utilizadas para prevenir incidentes relacionados a dados pessoais em virtude das atividades do tratamento de dados.
Essas medidas incluem, por exemplo, o investimento em tecnologia e desenvolvimento de Políticas de Segurança da Informação.
Não-discriminação
O tratamento não deve, ainda, ser realizado com finalidades discriminatórias, ilícitas ou abusivas.
Responsabilização e prestação de contas
Por fim, a responsabilização e prestação de contas diz respeito à necessidade de que os agentes de tratamento demonstrem todas as medidas capazes de comprovar a observância e o cumprimento das normas da LGPD, bem como a eficácia dessas medidas.
Isso quer dizer que tanto o controlador como o operador têm a responsabilidade de prestar contas à autoridade nacional, comprovando que os objetivos propostos foram devidamente cumpridos, de acordo com a legislação.
Quais são os requisitos para o tratamento de dados pessoais?
Além dos princípios que devem ser observados pelas organizações nas atividades de tratamento, a lei ainda determina alguns requisitos para o tratamento de dados.
Ou seja, o tratamento só poderá, de fato, ser realizado nas seguintes hipóteses.
- Mediante o fornecimento do consentimento explícito do titular. Isto é, no casos em que o titular tiver conhecimento da finalidade de tratamento e autorizar tal atividade;
- Para o cumprimento de uma obrigação legal ou regulatória pelo controlador;
- Com a finalidade de realização de estudos por órgão de pesquisa, garantindo, sempre que possível, a anonimização dos dados pessoais;
- Quando as informações pessoais forem necessárias para execução de contrato ou de procedimentos preliminares que tenham relação com contratos do qual o titular seja parte e em pedido do próprio titular;
- Em processo judicial, administrativo ou de arbitragem;
- A fim de proteger a vida ou a incolumidade física do titular ou de terceiro. Ou, ainda, para a tutela da saúde, exclusivamente em procedimento realizado por autoridade sanitária e profissionais e serviços de saúde;
- Quando necessário para atender o legítimo interesse do controlador ou de terceiro, exceto se prevalecerem os direitos e liberdades fundamentais do titular que exijam a proteção dos dados;
- Para a proteção do crédito.
O que é o legítimo interesse do controlador?
Aqui, cabe explicar no que consiste o legítimo interesse do controlador, uma vez que esse tem sido um dos pontos mais debatidos da lei.
De acordo com a LGPD, o legítimo interesse do controlador só poderá fundamentar o tratamento dos dados pessoais para finalidades legítimas, consideradas a partir de situações concretas.
Além disso, quando esse for o caso, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados, respeitando assim o princípio de necessidade.
Mas o que isso quer dizer na prática? Para exemplificar, podemos imaginar que uma empresa pretenda utilizar dados para aplicar informações convenientes em seu processo de vendas.
Assim, justificaria a necessidade do tratamento de dados para a finalidade que promovam sua atividade, ou seja, as vendas. Nesse caso a busca pelo lucro representa o legítimo interesse da empresa.
No entanto, como a lei determina que o princípio de necessidade deve ser respeitado, a empresa deve, portanto, utilizar-se apenas de dados estritamente necessários para o tratamento.
E os requisitos para o tratamento de dados pessoais sensíveis?
A lei ainda traz a definição de dados pessoais sensíveis e os requisitos para o seu tratamento.
É considerado dado pessoal sensível as informações sobre origem étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dado referente à saúde ou vida sexual e ainda informações genéticas ou biométricas, quando vinculado a uma pessoa natural.
Dentre as hipóteses de tratamento de dados está o consentimento expresso e destacado do titular ou do seu responsável legal — caso o titular seja menor de idade —, de forma que deve ficar explícita a finalidade determinada para tal.
Quando deve ocorrer o término do tratamento de dados?
Por fim, de acordo com a LGPD, deve ocorrer ainda o término do tratamento de dados na seguintes hipóteses:
- caso a finalidade tenha sido alcançada ou uma vez que os dados deixarem de ser necessários para o alcance da finalidade almejada;
- se requerido pelo titular, em exercício do seu direito de revogação do consentimento;
- se houver o fim do período de tratamento;
- em caso de determinação da autoridade nacional, quando houver violação ao disposto em lei.
Como adequar-se à LGPD?
Como vimos, a LGPD dispõe de inúmeras diretrizes para o tratamento de dados, submetendo as empresas à multas e sanções em caso de descumprimento que podem incluir até mesmo a suspensão de suas atividades de tratamento.
Isso quer dizer que os agentes de tratamento devem possuir pleno conhecimento dos seus dispositivos, aplicando-os à organização e evitando, assim, suas penalidades.
No entanto, nem sempre a simples leitura do texto é suficiente. Muitas vezes uma mentoria é mais eficaz, uma vez que facilita a aplicabilidade da lei no dia a dia da organização.
Portanto, para conhecer a LGPD com mais precisão, o mais indicado é a realização de um curso simples e prático para adquirir conhecimento sobre a organização da proteção de dados pessoais e as regras e regulamentos da lei, como o Privacy & Data Protection Essentials (PDPE).
Confira nossos cursos e esteja preparado para realizar o tratamento de dados pessoais de acordo com a legislação.