A Lei Geral de Proteção de Dados (LGPD)[i] dispõe sobre a proteção de dados pessoais e logo em seu art. 1º deixa evidente uma proteção envolvendo o tratamento de dados pessoais por qualquer meio, e não apenas os meios digitais. De acordo com art. 5º, inciso X da referida lei, tratamento de dados é:
toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Por sua vez, em seu inciso I o art. 5º define dado pessoal como a informação relacionada à pessoa natural identificada ou identificável, ou seja, informações que permitem ou possam permitir saber coisas sobre uma pessoa específica.
O respeito à privacidade é um dos fundamentos da LGPD e a segurança um dos seus princípios e devem ser observados pelas empresas seja qual for a forma de tratamento de dados que ela utilize. Diante dessa breve exposição, faz-se necessário mencionar a possibilidade da ocorrência de incidente de segurança resultando em vazamento de dados pessoais. De maneira simples para essa reflexão, sobre o vazamento significa dizer, o acesso, o conhecimento de informações sobre determinadas pessoas, por indivíduos estranhos à relação contratual regular do tratamento dos dados.
Em micro e pequenas empresas é muito comum o recebimento e arquivamento de currículos para possíveis processos de contratação de pessoal. Nesses currículos, inclusive os recebidos de forma impressa, existem dados pessoais, e cuida-se de efetiva ação de tratamento de dados, aplicando-se sobre essa atividade, as normas da LGPD quando da sua vigência. Observa-se, portanto, um exemplo evidente de tratamento de dados operado fora do ambiente digital, uma vez que, chegam até a empresa, já impressos e serão armazenados em pastas físicas.
Em fevereiro de 2020, o portal UOL[ii] publicou a notícia sobre uma Loja de um shopping de Porto Velho que utilizou currículos para embrulhar a mercadoria de uma cliente. A mensagem postada na internet, pela cliente que fotografou os currículos, foi de solidariedade com as pessoas desempregadas ali representadas, entretanto, trata-se de flagrante incidente de segurança no tratamento de dados pessoais. O proprietário se pronunciou na reportagem afirmando que uma funcionária pegou os currículos em uma pilha de papel que não era para estar no lugar que estava, infelizmente, na perspectiva da LGPD, essa informação não seria justificativa, mas sim um sério complicador.
O caso narrado é um exemplo para o debate de mudanças culturais que as empresas precisam observar para sua adequação à LGPD, em relação às medidas de segurança, transparência e respeito às pessoas naturais das quais tratam dados. O incidente relatado efetivamente maculou a expectativa de respeito que se tinha a partir da procura por um emprego, causando ainda repercussão negativa sobre seus procedimentos internos para o sigilo desses dados pessoais. Episódios como esse demonstram repercussões da LGPD não somente em questões complexas de segurança digital, mas também, em simples procedimentos muitas vezes manuais.
Nesse mesmo sentido, existe a possibilidade de um incidente de proteção de dados a partir da utilização de currículos, relatórios de vendas, relatórios de clientes, quando, uma vez impressos, sejam reutilizados como “rascunho”. Se no material utilizado como rascunho existir dados que identifiquem ou possam identificar determinada pessoa, repete-se, existe uma ação de tratamento de dados que passará a incidir as regras da LGPD. Importante observar que esse problema é ainda mais grave, caso a situação ocorra, por exemplo, em clínicas médicas.
Em debate com o Professor Edson Fonseca em seu curso LGPD esquematizada[iii] foi destacado por ele a importância de se reestruturar procedimentos para tratamento de dados, mesmo que sejam, pequenos tratamentos. Seguindo essa orientação é possível perceber que pequenas e médias empresas necessitam elaborar o relatório de impactos à proteção de dados, antecipando-se a possíveis incidentes. Uma medida simples, para os casos aqui analisados, passaria por recomendações para segurança no arquivamento e até mesmo o descarte de qualquer documento impresso, não mais necessários, no qual existam dados pessoais. Essa observação se faz, pois, dependendo do tipo de exposição a que esses dados pessoais forem expostos, a economia pelo uso de rascunhos, poderá se tornar um grande prejuízo.
[i] http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
[ii] https://noticias.uol.com.br/cotidiano/ultimas-noticias/2020/02/28/loja-curriculos-porto-velho.htm
[iii] Curso online na plataforma Zoom, nos dias 23, 25 e 30 de junho de 2020