Uma breve história sobre a Lei Geral de Proteção de Dados
A Lei Geral de Proteção de Dados (LGPD) é uma lei brasileira que regulamenta a proteção de dados pessoais. Foi aprovada em 2018 e entrou em vigor em Setembro de 2020, a aplicações de multas somente a partir de Agosto de 2021. A lei tem como objetivo proteger os direitos de privacidade e liberdade de escolha dos titulares de dados pessoais, garantindo que esses dados sejam tratados de maneira segura e transparente.
A LGPD estabelece regras para o uso e tratamento de dados pessoais, incluindo coleta, armazenamento, compartilhamento, transferência e exclusão. Ela também estabelece direitos dos titulares de dados, como o direito de acesso, correção, exclusão e portabilidade de seus dados.
A lei aplica-se a todas as empresas e organizações que tratam dados pessoais no Brasil, independentemente de sua localização ou natureza jurídica. A lei também criou a Autoridade Nacional de Proteção de Dados (ANPD), responsável por fiscalizar e aplicar as sanções previstas na mesma.
A implementação da LGPD é importante para garantir a privacidade e a segurança dos dados pessoais dos cidadãos brasileiros, bem como unificar regramentos junto a questões de privacidade mundial.
Qual a diferença entre privacidade e a Lei Geral de Proteção de Dados?
A privacidade é o direito de um indivíduo de controlar a sua informação pessoal e decidir como ela é compartilhada e usada. É uma questão de escolha individual sobre como as informações pessoais são lidadas e protegidas.
Já a Lei Geral de Proteção de Dados (LGPD) é uma lei brasileira que regulamenta a proteção de dados pessoais. Ela tem como objetivo proteger a privacidade dos titulares de dados pessoais, definindo regras e responsabilidades para o tratamento de dados pessoais por empresas e organizações.
Em outras palavras, a privacidade é um direito fundamental do indivíduo, enquanto a LGPD é a lei que regulamenta e protege esse direito no que diz respeito ao tratamento de dados pessoais. A privacidade é uma questão de direito individual, enquanto a LGPD é uma questão de direito coletivo e regulamentação de mercado.
Esta distinção é muito importante, uma vez que na Constituição Federal de 1988 já tínhamos a privacidade como regramento e fora incluído a proteção de dados após o advento desta lei.
O que é básico em relação a implementação prática da Lei Geral de Proteção de Dados?
Embora muitas organizações estejam se esforçando para se adequar às novas regras, ainda há dúvidas sobre como implementar medidas práticas para cumprir a LGPD. Seguem algumas dicas estratégias para ajudar as empresas a implementar medidas de segurança eficazes para proteger os dados pessoais de seus clientes e funcionários.
Realizar inventário de dados pessoais: A primeira etapa para se adequar à LGPD é realizar um inventário dos dados pessoais que sua empresa coleta, armazena e processa. Isso inclui identificar quais tipos de dados são coletados, de onde eles vêm, como são armazenados e com quem são compartilhados. Ao realizar o inventário, a empresa pode identificar quais dados precisam ser protegidos e tomar medidas para garantir que esses dados sejam tratados de forma adequada. Esta identificação é essencial em conjunto com mapeamento dos dados pessoais e suas hipóteses de aplicação legal, sob pena de ser inócuo o levantamento realizado.
Garantir o direito à privacidade dos titulares dos dados: A LGPD estabelece que os titulares dos dados têm direito à privacidade e à proteção de seus dados pessoais. Isso significa que as empresas precisam tomar medidas para garantir que os dados pessoais não sejam compartilhados sem o consentimento dos titulares dos dados. Algumas medidas práticas incluem estabelecer políticas de privacidade claras, fornecer meios fáceis para que os titulares dos dados possam controlar como seus dados são usados e garantir que as informações de contato de quem tratará os dados estejam disponíveis para os titulares dos dados. Neste tópico importante destacar que apenas o consentimento não pode se utilizado como base para todos os tratamentos de dados pessoais. Temos 10 hipóteses legais, sendo o consentimento e o legítimo interesse, as hipóteses mais frágeis, seja porque o consentimento pode ser revogado, seja porque o letgítimo interesse é bastante subjetivo.
Lidar com incidentes de violação de dados: Infelizmente, incidentes de violação de dados são inevitáveis e a lei é muito clara diante deles. A LGPD exige que as empresas notifiquem imediatamente à autoridade nacional de proteção de dados e aos titulares dos dados sobre qualquer incidente de violação de dados que possa resultar em risco para os direitos e liberdades dos titulares dos dados. Além disso, é importante ter um plano de contingência em vigor para lidar com incidentes de violação de dados, incluindo procedimentos.
Então basta fazer um inventário de dados (chamado comumente de data mapping) colocando consentimento em tudo e refazer os contratos incluindo cláusulas de privacidade?
Claro que não!
Precisamos compreender a lei, seus princípios, hipóteses de tratamento e especialmente os fluxos do negócio neste contexto.
E os princípios da lei neste contexto prático de implementação?
Os princípios da Lei Geral de Proteção de Dados (LGPD) são importantes porque eles fornecem a base para a implementação da lei na prática. Eles definem os valores e diretrizes que devem ser seguidos pelas empresas e organizações que tratam dados pessoais, garantindo a proteção eficaz dos direitos de privacidade dos titulares de dados.
Princípios que estão insculpidos no artigo 6º da Lei em 10 hipóteses, mais a hipótese do caput do artigo, a boa-fé[1].
Os princípios da LGPD incluem transparência, finalidade, adequação, qualidade, livre acesso, confidencialidade, segurança, e preservação da intimidade e da vida privada. Esses princípios são fundamentais para garantir que as empresas e organizações tratem os dados pessoais de maneira ética e responsável, respeitando a privacidade dos titulares de dados.
A implementação dos princípios da LGPD é importante para garantir que as empresas e organizações cumpram com as regras da lei e protejam adequadamente os dados pessoais dos titulares. Além disso, a observância dos princípios da LGPD fortalece a confiança dos titulares de dados na utilização de tecnologias que envolvem tratamento de dados pessoais.
Mas, afinal, quais são os princípios e sua aplicação direta na prática?
Como mencionado, a Lei Geral de Proteção de Dados (LGPD) estabelece 10 princípios que regem o tratamento de dados pessoais. Eles são:
Finalidade: o tratamento de dados pessoais deve ser realizado com objetivos específicos e claros. Por exemplo, uma empresa não pode coletar dados pessoais para fins distintos dos informados ao titular de dados no momento da coleta.
Um exemplo prático de uso deste princípio no dia a dia corporativo é o caso de uma empresa que coleta dados pessoais de seus clientes para fins de fidelização. A empresa deve coletar apenas informações relevantes e necessárias para esse objetivo, e não pode usar esses dados para outros fins, como marketing ou vendas, sem o consentimento explícito dos titulares dos dados.
Outro exemplo prático de uso deste princípio no dia a dia corporativo é o caso de uma empresa que coleta dados pessoais de seus funcionários para fins de gestão de recursos humanos. A empresa deve coletar apenas informações relevantes e necessárias para esse objetivo, e não pode usar esses dados para fins diferentes, como análise de mercado ou marketing, sem o consentimento explícito dos titulares dos dados. Além disso, a empresa deve informar claramente aos funcionários o que será feito com os dados coletados, quando e como serão armazenados e quais serão as medidas de segurança adotadas para protegê-los.
Adequação: o tratamento de dados pessoais deve ser adequado à finalidade para a qual foram coletados. Por exemplo, uma empresa não pode coletar informações pessoais excessivas para satisfazer a finalidade de tratamento.
Um exemplo prático de uso deste princípio no dia a dia corporativo é o caso de uma empresa que coleta dados pessoais de seus clientes para fins de entrega de produtos. A empresa precisa coletar apenas informações básicas, como nome, endereço e número de telefone, sem coletar informações sensíveis, como religião ou orientação sexual.
Outro exemplo prático de uso deste princípio no dia a dia corporativo é o caso de uma empresa que coleta dados pessoais de seus funcionários para fins de gestão de recursos humanos. A empresa precisa coletar apenas informações relevantes, como nome, endereço, cargo e histórico profissional, sem coletar informações desnecessárias, como hábitos de consumo ou vida pessoal. Além disso, a empresa deve adotar medidas de segurança para garantir que os dados coletados sejam utilizados apenas para fins específicos e determinados.
Necessidade: O princípio da necessidade é um dos pilares da LGPD que estabelece que o tratamento de dados pessoais deve ser restrito ao mínimo necessário para atingir o objetivo específico. Isso significa que apenas os dados essenciais devem ser coletados, armazenados e processados para o cumprimento de uma finalidade legítima.
Um exemplo prático de uso deste princípio no dia a dia corporativo é o caso de uma empresa que coleta dados pessoais de seus clientes para fins de envio de promoções e ofertas. A empresa precisa coletar apenas o nome e o endereço de e-mail do cliente, sem coletar informações adicionais, como renda ou estado civil, que não são necessárias para este objetivo.
Outro exemplo prático de uso deste princípio no dia a dia corporativo é o caso de uma empresa que coleta dados pessoais de seus funcionários para fins de gestão de pagamentos de salários.
A empresa precisa coletar apenas informações básicas, como nome, endereço, número de identificação e banco, sem coletar informações adicionais, como histórico de doenças ou condições médicas, que não são necessárias para este objetivo. Além disso, a empresa deve adotar medidas de segurança para garantir que os dados coletados sejam utilizados apenas para fins específicos e determinados.
Livre acesso: os titulares de dados têm direito a acessar suas informações pessoais tratadas por uma empresa ou organização. Por exemplo, um titular de dados tem o direito de solicitar uma cópia de suas informações pessoais armazenadas por uma empresa.
Qualidade: os dados pessoais coletados e armazenados devem ser precisos, atualizados e relevantes para a finalidade do tratamento. Por exemplo, uma empresa deve atualizar regularmente as informações pessoais de seus clientes.
-
Transparência: as empresas e organizações devem ser claras e objetivas na coleta, armazenamento e uso de dados pessoais. Por exemplo, uma empresa deve informar ao titular de dados qual é o propósito do tratamento de seus dados, como eles serão usados e compartilhados.
Segurança: O princípio da segurança é um dos pilares da LGPD, e se refere a obrigação das empresas e organizações de tomarem medidas para garantir a segurança e a confidencialidade dos dados pessoais tratados por elas. Isso inclui medidas técnicas e administrativas para garantir que os dados não sejam perdidos, corrompidos ou acessados indevidamente.
Um exemplo prático de uso deste princípio no dia a dia corporativo é o caso de uma empresa que armazena dados pessoais de seus clientes. A empresa deve adotar medidas de segurança adequadas, como criptografia, autenticação forte e backups regulares, para garantir que os dados pessoais estejam protegidos contra perda ou acesso não autorizado.
Outro exemplo prático de uso deste princípio no dia a dia corporativo é o caso de uma empresa que coleta dados pessoais para fins de pesquisa. A empresa deve garantir que esses dados sejam coletados e armazenados de forma a garantir sua confidencialidade e deve estabelecer medidas de segurança adequadas, como a criptografia, para proteger contra perda ou acesso não autorizado. Além disso, a empresa deve ser capaz de responder a solicitações de informações e investigações sobre a segurança dos dados pessoais.
Prevenção de danos: O princípio da prevenção é um dos pilares da LGPD, e se refere ao fato de que as empresas e organizações devem adotar medidas para prevenir a ocorrência de violações de dados pessoais. Isto inclui medidas técnicas e administrativas para garantir a segurança dos dados, bem como o treinamento dos funcionários para garantir que eles estejam cientes das melhores práticas para proteger as informações pessoais.
Um exemplo prático de uso deste princípio no dia a dia corporativo é o caso de uma empresa que armazena dados pessoais de seus clientes. A empresa deve adotar medidas de segurança adequadas para proteger esses dados, tais como criptografia, autenticação forte e backups regulares. Além disso, a empresa deve treinar seus funcionários para que eles saibam como lidar corretamente com esses dados, e como evitar violações de segurança.
Outro exemplo prático de uso deste princípio no dia a dia corporativo é o caso de uma empresa que coleta dados pessoais para fins de pesquisa. A empresa deve garantir que esses dados sejam coletados e armazenados de forma a garantir sua confidencialidade, e deve estabelecer processos para garantir que os dados não sejam utilizados para fins discriminatórios ou outros fins não autorizados. Além disso, a empresa deve ser capaz de responder a questionamentos dos titulares de dados sobre o uso de suas informações pessoais.
Não discriminação: O princípio da não discriminação é uma das garantias fundamentais previstas na LGPD, que assegura que o tratamento de dados pessoais não pode resultar em discriminação contra as pessoas. Em outras palavras, as empresas e organizações não podem utilizar informações pessoais para fins de discriminação, seja em relação a raça, gênero, orientação sexual, religião, entre outros.
Um exemplo prático de uso deste princípio no dia a dia corporativo é o caso de uma empresa que oferece empréstimos. A empresa não pode negar o empréstimo a uma pessoa baseado em informações pessoais como raça, gênero ou religião, por exemplo.
Responsabilização e prestação de contas: O princípio da responsabilização e prestação de contas é outro aspecto importante da LGPD, que estabelece a responsabilidade das empresas e organizações no tratamento de dados pessoais. De acordo com este princípio, as empresas e organizações devem ser capazes de comprovar que estão cumprindo as obrigações previstas na lei, e que estão tomando medidas adequadas para proteger os dados pessoais tratados.
Um exemplo prático de uso deste princípio no dia a dia corporativo é o caso de uma empresa que coleta dados pessoais para fins de marketing. A empresa deve ter controles e processos adequados para garantir que esses dados não sejam compartilhados com terceiros sem autorização, e deve ser capaz de comprovar que está cumprindo as obrigações previstas na lei. Além disso, a empresa deve ser capaz de responder a questionamentos dos titulares de dados sobre o uso de suas informações pessoais.
Além de tudo isto, não podemos esquecer que os princípios da necessidade, finalidade e adequação devem ser sempre observados, somados aos demais princípios, para basear de forma clara o porquê do dado e seu devido uso.
Basta ter uma hipótese de tratamento de dados no fluxo?
Não se trata apenas de uma correspondência entre a lei e o fluxo de dados existente. Senão, as hipóteses de consentimento e de legítimo interesse seriam as mais usadas sempre.
As hipóteses servem como guia para as empresas e organizações determinarem quando é permitido tratar dados pessoais, garantindo que o tratamento de dados seja feito de forma adequada e justificada.
As hipóteses de tratamento de dados na LGPD incluem o consentimento do titular de dados, a execução de contrato, o cumprimento de obrigações legais, o exercício regular de direitos em processo judicial, a proteção da vida ou da incolumidade física do titular ou de terceiros, a proteção de dados sensíveis, entre outras.
A aplicação dessas hipóteses de tratamento de dados é fundamental para garantir que as empresas e organizações estejam cumprindo com as regras da LGPD e protegendo adequadamente os dados pessoais dos titulares. Além disso, a análise dessas hipóteses ajuda a garantir a transparência e a justificação do tratamento de dados pessoais, reforçando a confiança dos titulares de dados e a implementação da lei.
Aplicação na prática das hipóteses de tratamento de dados em fluxos
Aqui estão alguns exemplos de fluxos de dados e hipóteses de tratamento de dados que podem ser aplicados no contexto de adequação à LGPD:
Coleta de dados para fins de marketing: neste caso, a hipótese de tratamento de dados pode ser o consentimento do titular dos dados. A empresa deve coletar o nome, endereço de e-mail e telefone do titular para fins de envio de informações sobre produtos e serviços.
Armazenamento de dados para fins de gestão de pagamentos de salários: neste caso, a hipótese de tratamento de dados pode ser o cumprimento de obrigações legais e contratuais da empresa. A empresa deve armazenar informações básicas, como nome, endereço, número de identificação e banco, para fins de pagamento de salários e férias.
Compartilhamento de dados para fins de avaliação de crédito: neste caso, a hipótese de tratamento de dados pode ser a realização de uma operação de negócio legítima. A empresa deve compartilhar informações básicas, como nome, endereço, renda e histórico de pagamentos, com instituições financeiras para fins de avaliação de crédito.
Transferência de dados para fins de análise de mercado: neste caso, a hipótese de tratamento de dados pode ser a realização de pesquisas e análises de mercado. A empresa deve transferir informações anônimas, como dados demográficos e comportamentais, para instituições de pesquisa de mercado para fins de análise.
Em todos os casos acima, é importante destacar que a empresa precisa garantir que o tratamento de dados seja adequado, necessário e respeite os demais princípios da LGPD, como a transparência, a segurança e a proteção dos direitos do titular dos dados.
O artigo 7º para dados pessoais e 11º para dados sensíveis são bem claros e taxativos no que se refere as hipóteses legais de aplicabilidade.
Quando usar o legítimo interesse e o consentimento?
A hipótese do legítimo interesse pode ser exemplificada em uma empresa que coleta dados de seus clientes para melhorar sua experiência de compra. Por exemplo, a empresa pode coletar informações sobre o histórico de compras de um cliente, preferências de produtos e pesquisas de satisfação para entender melhor as necessidades e expectativas do cliente. Essas informações podem ser usadas para personalizar a experiência de compra do cliente, oferecer recomendações de produtos relevantes e enviar ofertas especiais. Nesse caso, o tratamento de dados se justifica pelo legítimo interesse da empresa em melhorar a experiência de compra dos clientes.
Mesmo nesta hipótese, buscar o consentimento ou deixar explicito os fins da coleta e uso são essenciais para dar segurança ao uso do dado.
Já o consentimento é outra hipótese de tratamento de dados que pode ser exemplificada em uma empresa que coleta informações pessoais dos clientes para fins de marketing. Por exemplo, a empresa pode solicitar ao cliente que forneça seu nome, endereço de e-mail e outros dados pessoais para receber informações sobre promoções, novidades e outras atualizações da empresa. Nesse caso, o tratamento de dados é baseado no consentimento explícito do cliente, que deve ser informado sobre o uso que será dado aos seus dados pessoais e ter a liberdade de optar por compartilhá-los ou não. É importante destacar que o consentimento deve ser dado de forma livre, específica e informada, e que o cliente deve ter a capacidade de revogá-lo a qualquer momento.
Então basta usar estes dois e tudo está resolvido?
Não, posto que consentimento pode ser revogado e legítimo interesse muitas vezes é uma decisão de aplicação subjetiva (depende de interpretação).
Além dos mais, inúmeras hipóteses de fluxos são exemplos de outras questões legais, vejamos:
Cumprimento de obrigação legal: Por exemplo, uma empresa pode ser obrigada a coletar e armazenar informações financeiras de seus clientes para cumprir as obrigações fiscais e tributárias previstas em lei.
Execução de contrato: Por exemplo, uma empresa pode coletar informações pessoais de seus clientes para fins de faturamento e entrega de produtos. Nesse caso, o tratamento de dados é necessário para a execução do contrato entre a empresa e o cliente.
Proteção de direitos e interesses legítimos: Por exemplo, uma empresa pode coletar informações de seus funcionários para fins de investigação de denúncias de má conduta. Nesse caso, o tratamento de dados é justificado pelo interesse legítimo da empresa em proteger seus direitos e interesses.
Saúde pública ou segurança: Por exemplo, uma empresa pode coletar informações de saúde de seus funcionários para garantir a segurança de seus trabalhadores e dos clientes. Nesse caso, o tratamento de dados é necessário para proteger a saúde pública e a segurança.
E os documentos para implementação da Lei Geral de Proteção de Dados?
Na implementação da LGPD, alguns documentos devem ser produzidos ou alterados para garantir a conformidade com a lei. Alguns exemplos incluem:
-
Política de privacidade: Deve ser elaborada ou atualizada para descrever a forma como a empresa coleta, armazena e utiliza informações pessoais.
Termos e condições de uso: Devem ser atualizados para incluir informações sobre a privacidade e o tratamento de dados.
Manual de boas práticas de privacidade: Deve ser elaborado para descrever os procedimentos e as regras internas da empresa para garantir a conformidade com a LGPD.
Contratos com prestadores de serviços: Devem ser revisados ou atualizados para incluir cláusulas específicas sobre privacidade e tratamento de dados.
Documentos internos: Devem ser atualizados para incluir procedimentos e regras relacionados ao tratamento de dados, incluindo segurança, backup, proteção de informações e gerenciamento de incidentes.
Documentos de solicitação de informações pessoais: Devem ser revistos ou atualizados para incluir informações sobre os direitos do titular dos dados e a forma como ele pode exercer esses direitos.
Registro de atividades de tratamento de dados: Deve ser mantido para registrar todas as atividades relacionadas ao tratamento de dados, incluindo a finalidade, a base legal, as hipóteses de tratamento e a duração do tratamento.
Manual de conformidade: guia interno para o cumprimento da LGPD;
Avisos de privacidade: informações detalhadas sobre a coleta, uso, armazenamento e compartilhamento de dados pessoais;
Processos internos de gerenciamento de dados: descrição detalhada dos processos de coleta, armazenamento, uso e proteção de dados pessoais.
Enfim!
A implementação da Lei Geral de Proteção de Dados (LGPD) exige uma atenção especial por parte das empresas, para garantir o cumprimento das obrigações estabelecidas e proteger os dados pessoais de seus clientes. É importante destacar que a LGPD se baseia em princípios como transparência, finalidade, adequação, necessidade, entre outros, que devem ser levados em consideração durante o tratamento de dados pessoais.
Além disso, é fundamental que as empresas estabeleçam políticas claras e eficazes de privacidade, manual de conformidade, termos de uso, avisos de privacidade, contratos com prestadores de serviços e processos internos de gerenciamento de dados. Tudo isso para garantir a segurança e a proteção dos dados pessoais, além de evitar possíveis riscos de multas e de perda de credibilidade junto ao público.
Em resumo, a LGPD é uma lei importante que busca proteger os dados pessoais das pessoas e, por isso, as empresas devem se esforçar para implementá-la da maneira correta e eficaz, seguindo os princípios e as hipóteses de tratamento de dados estabelecidos. Dessa forma, será possível garantir a confiança dos clientes e a proteção de suas informações pessoais.
[1] Lei Geral de Proteção de Dados, Lei 13.709, Acessível em https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm consultado em 2 de Fevereiro de 2023
