.jpg)
O tema de Proteção de Dados vai muito além da LGPD, e está mais presente nas nossas vidas do que imaginamos. Antes de destrincharmos a legislação propriamente dita, precisamos refletir como os dados impactam nosso cotidiano.
Quando pensamos em dados, logo nos vêm na cabeça às redes sociais, e elas são ótimos exemplos para iniciarmos a reflexão sobre a relevância do assunto.
Você já parou para pensar como essas empresas, o grupo Facebook, por exemplo, construíram impérios a partir de serviços gratuitos? Os dados pessoais de seus usuários são a resposta.
Seja através de publicidades ou seja através de estudos realizados a partir do perfil de cada usuário das redes sociais, os dados são um dos maiores ativos das empresas atualmente.
“Dados são o novo petróleo”. (Autoria do matemático Clive Humby).
“Quando você não paga pelo serviço ou produto, o produto é você” (seus dados). (Autoria do jornalista americano Andrew Lewis)
Hoje praticamente tudo gira em torno do consumidor e na forma como ele pode ser atraído, conquistado e retido naquela empresa, e não mais pela necessidade, mas principalmente pela comodidade que determinado produto ou serviço lhe proporciona.
Com isso, podemos perceber que as empresas estão mais preocupadas em proporcionar experiências aos seus usuários, abandonando as velhas técnicas de vendas “fria/direta“, aquelas chamadas de outbound marketing(1).
E para melhorar essas experiências, é necessário entender o comportamento do consumidor, pois, se você entende o perfil de consumo das pessoas que quer atingir, poderá descobrir até mesmo necessidades que elas próprias não imaginavam existir.
Como exemplo, podemos listar a própria internet, o computador, os telefones celulares. Todos esses itens criaram um marco na história, se tornando indispensáveis em escala global.
Esse é um dos motivos que confirmam a citação anterior, ou seja, de que “os dados são o novo petróleo”. E essa afirmação se aplica tanto às grandes empresas que trabalham com tecnologia, inteligência artificial, por exemplo, quanto às pequenas e médias empresas, seja qual for seu ramo de atuação.
Às pequenas e médias empresas, que ainda ofereçam serviços e/ou produtos tradicionais, conseguem adotar estratégias de marketing e práticas de desenvolvimento e inovação para acompanhar a evolução dos hábitos de seus consumidores, utilizando-se dos dados para tanto.
Feita essa pequena reflexão, aproximando você mais à realidade da importância e influência dos dados ao nosso cotidiano, pode-se perceber a necessidade de proteger ainda mais os dados, o que motivou a criação de uma legislação específica para tratar sobre o assunto no nosso país.
A LGPD é uma legislação que foi sancionada em agosto de 2018 e tem como finalidade regular a atividade de tratamento de dados pessoais no Brasil.
Podemos dizer que seu objetivo principal é garantir a autodeterminação dos indivíduos em relação aos seus dados, protegendo os direitos fundamentais de liberdade e de privacidade, e o livre desenvolvimento da personalidade da pessoa natural.
Antes de caminharmos nessa exposição, é preciso saber:
Entrou em vigor no dia 18 de setembro de 2020.
As sanções administrativas foram postergadas para agosto de 2021, contudo, isso não impede que os titulares(3) exerçam seus direitos, tampouco que o judiciário seja acionado caso haja qualquer infração.
Ainda, existem outros órgãos públicos e privados que atuam ativamente pela proteção desses direitos, como o PROCON, Ministério Público, órgãos de classe, dentre outros.
Inicialmente, segundo a lei, tratamento de dados(4) seria, dentre outros, a coleta, armazenamento, transferência, exclusão e tudo que pode ser feito com o dado desde a sua entrada (cadastro) até a saída(descarte/exclusão).
Basicamente, QUALQUER coisa que você faça com um dado pessoal de terceiro é considerado tratamento de dados. Por isso, essa lei impacta todos os setores da economia, e nós já vamos falar mais sobre esse impacto.
Para não deixar dúvidas, é importante saber que a LGPD adotou o que é chamada de Teoria Expansionista quando disciplinou o tratamento de dados pessoais. O que significa que dado pessoal é qualquer informação que identifique ou possa identificar um indivíduo (pessoa natural – pessoa FÍSICA)(5).
Para entender melhor, vejam os exemplo abaixo:
Perceba que os dados IDENTIFICÁVEIS o próprio nome já é autoexplicativo, ou seja, são dados que, por si só, são possíveis de associar à determinada pessoa. É a informação pessoalmente identificável.
Já os dados que podem vir a ser identificáveis se tratam daquelas informações que, sozinhas, não conseguem identificar diretamente alguém, contudo, se associadas a outras informações, podem vir a identificar a pessoa.
Para ficara inda mais claro, pense nisso como um jogo de quebra-cabeça.
Vejam essas informações, por exemplo:
Examinando separadamente as informações ficaria mais difícil saber de quem estamos falando, principalmente se analisados os dados fora de qualquer contexto. Contudo, devido à popularidade da pessoa descrita, e analisando todas as informações, torna possível concluirmos que estamos falando do jogador Neymar Junior.
Portanto, nenhum dos dados, sozinho, tem o poder de identificar diretamente, mas a partir da reunião deles, poderão facilmente identificar a pessoa.
Existe ainda outra subdivisão dos dados pessoais, que são os dados denominados como sensíveis:
Estes estão sujeitos a condições específicas devido à natureza das informações e possíveis consequências do tratamento. São informações que podem ensejar situações de discriminação aos indivíduos.
Vamos analisar o seguinte exemplo:
É importante saber distinguir um dado comum de um dado sensível, pois nesse último, as bases legais (hipóteses de tratamento) são reduzidas e possuem requisitos mais rigorosos.
Não, a LGPD protege somente os dados de pessoas físicas, mas impõe o cumprimento dela a todas as pessoas naturais (físicas) ou jurídicas que realizem tratamento de dados.
TODAS as pessoas, físicas ou jurídicas, que realizarem o tratamento de dados pessoais.
Os requisitos trazidos pela lei, são:
A LGPD, em seu artigo 4º, prevê expressamente as hipóteses em que a lei não será aplicada, mesmo havendo tratamento de dados pessoais, sendo essas as hipóteses:
A hipótese que mais gera dúvidas na sua interpretação é nos casos em que o tratamento é realizado por pessoa natural para fins exclusivamente particulares e não econômicos.
Antes de achar que a LGPD não se aplica a você na condição de pessoa física, para ilustrar melhor em que situação essa hipótese se enquadraria, vamos analisar mais um exemplo a seguir.
Joana não precisará observar a LGPD para tratar dados nesse caso.
Essas, portanto, são as situações que estão expressamente descritas na LGPD como dispensáveis a aplicação da legislação e devem ser interpretadas com cautela.
Não, pois a LGPD se aplica tanto aos dados pessoais tratados em meios eletrônicos como os dados tratados em meios físicos, como livros, arquivos, atas, agendas, entre outros.
A LGPD define como banco de dados o local ou um conjunto estruturado onde há o armazenamento dos dados pessoais, em suporte eletrônico (softwares, por exemplo) ou físico (fichários, livros de registro, documentos impressos, entre outros).
Tratando dados pessoais, você poderá ocupar duas posições, as quais podem ser alteradas em cada tratamento específico realizado nos dados.
A LGPD traz os conceitos de CONTROLADOR e OPERADOR para intitular quem realiza o tratamento de dados pessoais, e é essencial conseguir identificar qual posição você ocupa em cada tratamento realizado.
Essa “posição” é definida de acordo com CADA tratamento realizado, não sendo algo definitivo. Dependendo do dado, da pessoa e da finalidade.
Infelizmente a definição trazida pela Lei é um conceito bem aberto, o que dificulta o enquadramento em cada posição, especialmente porque isso depende exclusivamente da realidade prática do tratamento dos dados.
No entanto, podemos dizer que:
A figura do OPERADOR se sustenta pela obediência/cumprimento de orientações repassadas pelo CONTROLADOR no que diz respeito ao tratamento dos dados.
Para melhor compreender esses conceitos, vamos mais uma vez analisar um caso prático hipotético.
Nesse exemplo, a Pédemoça figura como controladora dos dados (que coletou os dados e decidiu repassar para um terceiro, a agência), a Publilegal é a operadora nessa situação, tendo em vista que fará o tratamento dos dados (cadastro para envio dos e-mails) a pedido (contratação) da empresa de sapatos.
Então a agência Publilegal SEMPRE será somente Operadora dos dados?
NÃO. A Publilegal é operadora nesse contexto, para essa prestação de serviço que deverá ser muito bem delimitada.
Ainda, será CONTROLADORA no tratamento dos dados de seus funcionários, por exemplo. Caso a agência possua funcionários CLT ou prestadores de serviços autônomos, realizará o tratamento dos dados na posição de CONTROLADORA.
Mas porque essas definições são tão importantes?
Em primeiro lugar, porque a responsabilidade (legal/jurídica) muda de acordo com a posição do agente de tratamento.
No entanto, ainda que haja o que chamamos de responsabilidade solidária (compartilhada) caso ocorra qualquer incidente, ainda que por “culpa” do Operador, cabe ao Controlador dos dados fiscalizar se o contratado está em conformidade com a LGPD.
Em segundo lugar, deverá haver um contrato entre o controlador e o operador, a fim de definir os termos e condições que serão aplicados ao tratamento dos dados (limitações para o compartilhamento com terceiros, por exemplo), bem como para resguardar as duas partes.
Portanto, esse enquadramento dos agentes só é possível delimitar a partir de uma análise profunda sobre os parâmetros utilizados para o tratamento, pois para cada dado tratado (cada informação), um agente pode figurar em posições diferentes.
É a pessoa indicada pelo controlador e operador para atuar como canal de comunicação junto aos titulares dos dados e a ANPD (Autoridade Nacional de Proteção de Dados)(9).
Não precisa ser uma pessoa natural, abrindo espaço, desta forma, para a possibilidade de indicação de pessoas jurídicas, comitês ou grupos de trabalho, que podem exercer tais funções.
Ainda, a lei deixa clara a possibilidade de terceirização de tal serviço, e não impõe limitações para que esta pessoa, ou time, estar em território nacional, desde que preenchidos os requisitos para se qualificar como um encarregado.
E quais são as principais responsabilidades atribuídas ao Encarregado de Dados?
Até o presente momento, a LGPD determina que TODOS que realizam tratamento de dados indiquem um DPO/Encarregado, ou seja, desde a multinacional até a padaria do seu Zé, que tem em toda esquina.
Essa determinação irrestrita é desproporcional, e foi facultado a ANPD delimitar essa obrigatoriedade, podendo isentar micro e pequenas empresas. Isso é apenas uma tendência, mas ainda não há nenhuma dispensa oficial.
O titular dos dados pessoais tem direitos diversos junto ao controlador em relação aos seus dados, sendo assim, a qualquer momento e mediante requisição poderá solicitar:
Por isso, a adequação deverá ser realizada para além da precaução a eventuais fiscalizações ou gerenciamento de acidentes de privacidade, mas também para atender a todas as eventuais demandas advindas dos titulares.
No entanto, esses direitos não são absolutos, devendo o próprio Controlador analisar a possibilidade de cumprir as solicitações. Por exemplo, caso haja alguma obrigação legal de armazenamento de dados, não será possível realizar a sua exclusão, a pedido do titular, por isso é primordial conhecer bem o seu negócio e todas as legislações/regulamentações aplicáveis.
Essa com certeza é uma das questões relevantes para tratar no instrumento contratual entre Operador e Controlador, determinando os meios de comunicação desses pedidos, prazos e responsabilidades.
Quem está cumprindo esse papel é a Autoridade Nacional de Proteção de Dados - ANPD.
Órgão da administração pública federal que é responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo território nacional.
Para conferir legalidade ao procedimento, a LGPD prevê 10 hipóteses legais que deverão fundamentar cada dado pessoal submetido a tratamento. É preciso identificar, de acordo com a finalidade, qual a base legal mais adequada para cada dado tratado.
O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
É importante saber que não há uma hierarquia entre as previsões legais, sendo que a maior parte dos estudiosos da legislação entende que não é possível cumular bases legais para justificar um tratamento.
Ainda, para cada hipótese de tratamento há uma especificidade, o que pode influenciar bastante na hora de realizar o enquadramento mais adequado/viável para o controlador.
Aqui, deve-se prezar pelo CONSENTIMENTO do titular, realizando-se uma consulta prévia a fim de obter o aceite fornecido pela pessoa. Caso não seja possível, aqui há a delimitação de somente outras sete hipóteses que justificam o tratamento dos dados sensíveis, quais sejam:
Ao analisar as Bases Legais quando estamos falando de dados sensíveis, verificamos que não existe mais Legítimo Interesse, Proteção ao crédito e Execução de Contrato (expressamente).
Em contrapartida, surge uma nova base legal: Proteção à Fraude.
Proteção à fraude: Justifica a utilização de dados biométricos para proteger o titular de alguma fraude, como por exemplo, a biometria em bancos.
Com isso, podemos perceber que o interesse do titular deve ser o guia na tomada de decisão sobre o tratamento de determinado dado sensível, merecendo ainda mais atenção quando seu aceite não for solicitado.
Está previsto na LGPD e trata-se de relatório com registro dos tratamentos avaliando os impactos possíveis aos direitos e liberdades individuais dos titulares, especialmente em relação aos dados sensíveis e quando utilizada a base legal do Legítimo Interesse.
"Em outras palavras, o relatório de impacto à proteção de dados pessoais é um processo que visa estabelecer mecanismos de mitigação de risco e demonstrar a conformidade com a regulamentação, através de um documento". (DATA PRIVACY IMPACT ASSESSMENT (DPIA) ou Relatório de Impacto à Proteção de Dados, Autores: Luanna Rodrigues Peporini e Raphael Dutra da C. Campos)
Basicamente, quando for tratar dados sensíveis ou utilizar o fundamento legítimo interesse, o relatório irá descrever: quais dados são utilizados (tipologia), qual a finalidade (princípios), como são coletados, como são armazenados (ciclo de vida), se o titular sabe desse tratamento (prova de ciência/transparência), qual é a justificativa para isso (por que o meu interesse é legítimo?).
A documentação produzida durante o processo de adequação à lei geral de proteção de dados tem grande importância, sendo que podemos indicar dois dos pontos mais relevantes a serem destacados.
O primeiro seria o auxílio na tomada de decisões dentro da empresa Controladora, já que às respostas a tais questionamentos traz mais clareza no processo de análise quanto ao tratamento dos dados em si.
O segundo ponto seria a sua utilidade na comprovação das boas práticas adotadas pela empresa, seja para demonstrar em eventual fiscalização ou até mesmo servir de prova em ação judicial.
A legislação prevê as seguintes sanções administrativas em caso de descumprimento:
Essas são apenas as sanções administrativas previstas na LGPD, contudo, o descumprimento da lei pode trazer inúmeras repercussões negativas, seja com prejuízos financeiros (multas e indenizações), seja com prejuízos reputacionais (valor imensurável), em caso de vazamento de dados, por exemplo, onde há um quebra de confiança entre os titulares dos dados e a empresa.
Ainda, é importante estar ciente que essas penalidades não impedem o ajuizamento de ação individual ou coletiva de titulares que tiverem seus direitos violados e sofrerem qualquer tipo de prejuízo com isso (âmbito cível, trabalhista e/ou criminal).
Inicialmente, entendendo a Lei, se conscientizando e informando seus colaboradores sobre acultura de proteção de dados que deverá ser adotada.
Além disso, garanta que todos os seus parceiros/prestadores de serviços/terceirizados estejam em conformidade com a legislação.
Portanto, é importante saber que a LGPD se trata de uma lei principiológica. O que significa que sua essência e seus artigos são totalmente baseados em princípios, por isso, a lei não traz um passo a passo de adequação, ela não determina como deve se dar a implementação da LGPD.
É essencial entender o que a legislação espera dos agentes de tratamento, para isso, é necessário saber quais são os princípios que devem ser observados e respeitados, o que facilita muito a compreensão para analisar as hipóteses de tratamento dos dados, sendo eles:
Superada essa fase de compreensão da legislação, é possível iniciar um plano de ação personalizado para o seu tipo de negócio e porte da empresa, considerando a quantidade de dados e a finalidade do tratamento realizado.
Esse plano poderá iniciar com um mapeamento dos sistemas ou dos locais de armazenamento de dados.
Analisar os pontos mais críticos dentro da empresa. Quantos sistemas utilizam ou onde armazenam os dados.
Essa etapa é essencial para registrar tudo que é feito. Devemos levar como máxima a frase “não basta ser, precisa parecer ser”.
Se for solicitado pela Autoridade ou precisar produzir alguma prova, será preciso provar, de alguma forma, que há um registro do que é feito com os dados na empresa.
Além de adequar o tratamento fundamentando cada dado pessoal em uma das bases legais previstas na LGPD, outras adequações deverão ser feitas, como por exemplo o aditamento/reformulação de contratos, Políticas de Privacidade, Termos de Uso, entre outros.
Isso vale tanto para organizar a própria casa como para adequar todo o entorno também, sabendo a trilha dos dados, por todas “as mãos” e lugares onde eles passam.
Para validar essa trilha, deve-se exigir que seus parceiros também estejam adequados à legislação, regulando tudo isso através de aditivos ou cláusulas específicas nos contratos firmados.
Quando falamos em segurança jurídica não podemos esquecer que o Contrato é tudo nas relações privadas.
Usar modelos de internet ou cair na cilada de apenas replicar cláusulas padrões para todas as operações pode gerar o efeito contrário do esperado, já que a realidade fática prevalece ao que está escrito no instrumento, sendo que entender muito bem cada cláusula do contrato e sua função é essencial, valendo a mesma premissa para as relações entre Controlador e Operador de dados.
Atentar-se a segurança da informação, investindo em sistemas, drives, monitoramento de acesso, entre outros, caso seja necessário.
Vale ressaltar que Proteção de dados NÃO é somente LGPD, e Privacidade e Segurança da Informação também são coisas distintas. Além de observar a LGPD, existem as leis que são aplicáveis a cada tipo de negócio, e isso é essencial saber para que não seja utilizada uma norma em detrimento de outra apenas por desconhecimento.
O tema de proteção de dados é bastante extenso e até mesmo complexo, isso pelo fato de ser um assunto considerado ainda novo no Brasil, que é um país que possuí pouca cultura de proteção de dados, o que causa ainda mais incertezas.
Importante salientar que o tema de proteção de dados não se limita à LGPD(10), e pelo fato de que utilização dos dados cada vez mais presente em nossas vidas, cabendo à legislação servir como um guia para, além de regular, nortear quem trata dados pessoais, e trazer mais segurança a todos nós, que temos nossos dados tratados o tempo todo.
Portanto, esse artigo teve como objetivo expor, mas não esgotar, os principais temas tratados na LGPD, com uma abordagem mais prática, a fim de auxiliar, de fato, o empresário ou o empreendedor que precisa adequar seu negócio e ainda não conseguiu entender o que a nova legislação impõe, nesse momento, a quem queira tratar dados pessoais.
REFERÊNCIAS E CITAÇÕES:
1. O Outbound Marketing, ou “marketing tradicional”, por sua vez tem como principal objetivo trazer clientes oferecendo serviços ou produtos. A ideia é ir atrás do cliente ativamente e não necessariamente gerar o interesse genuíno desse possível cliente na sua empresa. (Trecho extraído do Post originalmente publicado em novembro de 2018 e atualizado em maio de 2020 com informações da Resultados Digitais e da agência parceira LayerUp).
2. LGPD, Art. 3º,incisos I, II, III, e §1º.
3. LGPD, Art. 5º, V -titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
4. LGPD, Art. 5º, X -tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
5. LGPD, Art. 5º, I -dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
6. LGPD, Art. 5º, inciso II.
7. LGPD, Art. 5º, VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
8. LGPD, Art. 5º, VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
9. LGPD, Art. 5º, inciso VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
10. Lei Geral de Proteção de Dados/LGPD -Lei nº 13.709/2018
