Perguntas e respostas sobre LGPD

A LGPD (Lei Geral de Proteção de Dados) entrou em vigor em setembro de 2020. Isso significa que, a partir de agora, empresas e órgãos públicos terão que deixar muito claro para os usuários de que forma será feita a coleta, o armazenamento, o uso de seus dados pessoais, entre outros aspectos.

As multas previstas para o descumprimento variam de 2% do faturamento bruto até R$ 50 milhões (por infração). As multas e punições previstas na LGPD começarão a ser aplicadas a partir de agosto de 2021.

A LGPD tem aplicação extraterritorial. Isso significa que a lei se aplica independentemente da localização da sede ou da localização onde os dados são processados. Se sua empresa empresa ou organização processa dados pessoais de cidadãos brasileiros, se os dados pertencem a indivíduos localizados em Brasil ou se os dados foram coletados no momento que o titular dos dados estava no Brasil, a LGPD se aplica.

Existem dois principais agentes de tratamento previstos pela LGPD: o Controlador e o Operador.

Controlador:

O Controlador é a empresa/organização que toma as decisões em relação aos dados pessoais. É o resonsável por definir quando e como os dados serão coletados, para quais finalidades serão utilizados, onde e por quanto tempo serão armazenados, etc.

Operador:

É a empresa/organização que realiza o processamento de dados pessoais sob as ordens do Controlador. O Operador não toma decisões em relação ao uso dos dados.

“Dado pessoal” é toda e qualquer informação que identifique, ou que possa vir a identificar uma pessoa. O conceito de dado pessoal adotado é bastante amplo: qualquer dado, isolado ou em conjunto com outros dados, que possa identificar uma pessoa, ou que possa sujeitar uma pessoa a determinado comportamento, pode vir a ser considerado um dado pessoal.

Uma das categorias de dados presente na lei são os dados pessoais sensíveis. A LGPD indica uma lista dos dados pessoais considerados sensíveis: aqueles sobre “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.

Tratamento é qualquer operação realizada com um dado — da coleta ao descarte. A LGPD estipula normas para qualquer ação de tratamento de dados pessoais. São exemplos: coleta, classificação, utilização, compartilhamento, reprodução, processamento, arquivamento, armazenamento, etc.

Consentimento é uma declaração clara e inequívoca de uma pessoa que concorda com o uso dos seus dados para as finalidades propostas pela empresa.

No entanto, o consentimento, como previsto na LGPD, precisa de alguns requisitos para que possa ser considerado válido:

- O consentimento precisa ser livre. A pessoa não pode ser forçada a fornecer consentimento — deve ser uma escolha. Se uma empresa insere um campo de consentimento em um formulário, mas exige que o preenchimento seja obrigatório, o contato não terá escolha sobre fornecer ou não o consentimento.

- O consentimento precisa ser informado. O usuário deve entender com o que está consentindo. As organizações devem certificar-se que explicam de forma clara sobre o que a pessoa está concordando. Incluir informações em uma política de privacidade densa ou ocultas em letras pequenas, difíceis de encontrar, difíceis de entender ou raramente lidas, não será suficiente para estabelecer o consentimento informado.

- O consentimento precisa ser inequívoco. Depende de manifestação por meio de um ato positivo do usuário. Em outras palavras, deve haver uma ação do usuário indicando sua aceitação, seja pelo envio de um email, assinatura eletrônica, ou até mesmo por um clique em um local determinado. Não pode haver dúvidas acerca de o consentimento ter sido fornecido ou não.

- O consentimento precisa ser fornecido para fins específicos e determinados. O consentimento deve ser fornecido para uma finalidade específica e determinada. Faz parte de toda a lógica da LGPD especificar o motivo pelo qual um dado pessoal é utilizado. A empresa não pode utilizar os dados para uma finalidade diferente daquela que o contato forneceu consentimento.

Outra base legal que autoriza o uso dos dados é o legítimo interesse. É a mais flexível das bases legais, porém, a sua aplicação não é simples.

O legítimo interesse permite o uso dos dados, sem a necessidade de obtenção de consentimento. Para isso, você precisa entender em quais casos o legítimo interesse realmente pode ser aplicado.

Uma dificuldade que empresas brasileiras encontram no processo de adequação à LGPD é a ausência de orientações e diretrizes específicas. Não existe um entendimento consolidado sobre os casos de uso do legítimo interesse para práticas de Marketing e Vendas, por exemplo. A ANPD – Autoridade Nacional de Proteção de Dados será o órgão responsável pela criação destas diretrizes.

Apesar das incertezas, se utilizada com responsabilidade, a base legal do legítimo interesse pode ser uma grande aliada no processo de adequação de empresas de uma sociedade movida a dados.

No caso da base legal de contratos, os dados de uma pessoa podem ser processados em dois casos: o primeiro é para que seja cumprida uma obrigação prevista em contrato, e o segundo quando o tratamento de dados serve para a validação e início de vigência de um acordo.

Para contratar os serviços da um novo colaborador, a Empresa X, você precisa fornecer de uma série de informações pessoais necessárias para formalizar o contrato (dados do contratante, dados para faturamento, etc.) que farão parte do futuro contrato de emprego do titular dos dados.

Obrigação Legal

Nesse caso, o tratamento de dados pessoais é justificado por exigências de outras leis. São os cenários onde uma empresa precisa utilizar ou armazenar dados pessoais para cumprir obrigações legais.

Execução de Políticas Públicas

Quando o tratamento de dados pessoais é resguardado pelo interesse público ou por necessidade de uma autoridade oficial, exercendo o papel de controlador daquele dado.

Estudos por órgãos de pesquisa

Dados pessoais podem ser tratados para fins de estudos de órgãos oficialmente credenciados como de pesquisa. Nesse caso, sempre que possível o dado deve ser anonimizado garantindo ao máximo a privacidade dos titulares.

Processo Judicial

Dados pessoais ainda podem ser tratados para exercício de direito em ações judiciais.

Proteção da Vida

É possível justificar o tratamento de dados pessoais quando o seu uso é de interesse vital seja do titular do dado ou ainda de outra pessoa.

Tutela da Saúde

Quando profissionais de saúde, serviços de saúde ou autoridade sanitária precisam tratar dados pessoais.

Proteção de Crédito

É possível que dados pessoais sejam consultados avaliando o perfil de pagador do cidadão para a aprovação de crédito e redução dos riscos da transação.

O princípio da finalidade busca acabar com a utilização de dados pessoais para finalidades genéricas ou indeterminadas. O tratamento de cada informação pessoal deve ser feito para fins específicos, legítimos, explícitos e informados. Ou seja, as empresas devem explicar ao usuário para quê usarão cada um dos dados pessoais.

Os dados devem ser tratados apenas para a finalidade que foi informada ao usuário.

Garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial.

A coleta e utilização de dados pessoais deve se restringir ao mínimo necessário para a realização das finalidades pretendidas pela empresa.

Livre Acesso

Empresas e organizações devem garantir aos usuários a consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.

Qualidade dos dados

Empresas devem garantir aos usuários que as informações que possuírem sobre eles sejam verdadeiras, precisas e atualizadas. Conforme visto na própria Lei Geral de Proteção de Dados, o titular dos dados tem o direito de correção de dados incompletos, inexatos ou desatualizados.

Segurança

Princípio que prevê que empresas adotem medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas.

Prevenção

Princípio que prevê a adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais. Além de reforçar a segurança através da tecnologia, é imprescindível revisar processos internos e promover a conscientização de pessoas de toda a organização.

Não discriminação

O tratamento de dados não pode ser realizado para fins discriminatórios ilícitos ou abusivos. Em alguns casos, o marketing tem o potencial de ter um efeito negativo significativo no indivíduo, dependendo de suas circunstâncias pessoais. Por exemplo, alguém conhecido ou com probabilidade de estar em dificuldades financeiras que é regularmente alvo de marketing para empréstimos com juros altos pode se inscrever nessas ofertas e potencialmente contrair dívidas adicionais.

Responsabilização e prestação de contas

O princípio da responsabilização e da prestação de contas determina que empresas devem ser capazes de demonstrar todas as medidas adotadas capazes de comprovar o cumprimento da LGPD. Em outras palavras, é o dever de prestar contas.

O titular de dados pode solicitar à empresa/organização o acesso a todos os dados pessoais que a empresa possui sobre ele.

O titular de dados tem o direito de solicitar a correção dos dados armazenados pela empresa de dados incompletos, inexatos ou desatualizados.

Direito de anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD.

Sim! Veja abaixo alguns deles:

Direito de portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;

Direito de eliminação dos dados pessoais tratados com o consentimento do titular;

Direito de informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

Direito de informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

Direito de revogação do consentimento.