Dando continuidade à análise da Lei 13.709/2018, a Lei Geral de Proteção de Dados Pessoais, hoje vamos falar um pouquinho sobre os princípios que regem o tratamento de dados e sobre a forma com que estes dados poderão ser tratados pelos Agentes.

Dando continuidade à análise da Lei 13.709/2018, a Lei Geral de Proteção de Dados Pessoais, hoje vamos falar um pouquinho sobre os princípios que regem o tratamento de dados e sobre a forma com que estes dados poderão ser tratados pelos Agentes.

Lembrando que dado pessoal é qualquer informação sobre uma pessoa física que seja capaz de identifica-la (número de documentos, biometria, fotos, digitais, endereço, etc, etc, etc) e que é tido como tratamento toda operação realizada com esses dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Da análise da nova lei podemos dizer que o objetivo da LGPD é garantir que a pessoa física saiba quem tem seus dados, quais informações estão em posse seja de pessoa física ou jurídica e o que estas pessoas estão fazendo com as informações que possuem, ou seja, existe uma preocupação com a transparência, o acesso à informação e a garantia de que a pessoa física terá controle sobre seus dados e sobre a forma com que estas informações são tratadas.

E esta diretriz fica bastante clara quando analisamos os princípios que regem o tratamento de dados, os quais são trazidos pelo art. 6º da citada Lei, e que são os seguintes:

  1. Boa-fé: é a obrigação de se agir com lealdade, respeito e transparência, de acordo com a confiança depositada pelo titular dos dados ;
  2. Finalidade: o tratamento de dados deve atender a propósitos legítimos, específicos, explícitos e informados ao titular;
  3. Adequação: compatibilidade do tratamento com as finalidades informadas ao titular;
  4. Necessidade: limitação do tratamento ao mínimo necessário para realização de suas finalidades, por meio de dados pertinentes, proporcionais e não excessivos em relação à finalidades;
  5. Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
  6. Qualidade dos dados: garantia de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade do tratamento dos dados;
  7. Transparência: garantia aos titulares de acesso a informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os agentes de tratamento, observando-se os segredos comercial e industrial;
  8. Segurança: utilização de medidas técnicas e administrativas suficientes para proteger os dados pessoas de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
  9. Prevenção: adoção de medidas para prevenir a ocorrência de danos em decorrência do tratamento de dados pessoais;
  10. Não discriminação: impossibilidade de realização de tratamento para fins discriminatórios ilícitos ou abusivos;
  11. Responsabilização e prestação de contas: demonstração, pelos agentes, da adoração de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e inclusive da eficácia dessas medidas.

E da leitura dos princípios já é possível chegarmos à conclusão de que não será possível mais o tratamento e compartilhamento irrestrito de dados pessoais, este tratamento deverá ter um objetivo delimitado, um início, meio e fim bem definidos, e o titular dos dados deverá ter total ciência acerca destes passos e acesso aos seus resultados quando entenderem necessário e os Agentes de Tratamento deverão garantir este acesso.

Com relação à forma com que o tratamento de dados poderá ocorrer, neste primeiro momento vamos falar apenas do tratamento de dados realizado por empresa privada, que não tenha relação com a administração pública e que não se configure como órgão de pesquisa.

Nestes casos verifica-se que, em princípio, o tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

1.      Mediante consentimento fornecido pelo titular dos dados: o consentimento deve ser fornecido por escrito, constando de cláusula destacada das demais cláusulas contratuais, sendo que esta cláusula deverá informar a finalidade do tratamento destes dados, sendo importante salientar que autorizações genéricas são consideradas nulas. O consentimento também poderá ser fornecido por qualquer outro meio que demonstre a manifestação de vontade do titular.

E nas hipóteses em que foi necessário requerer-se o consentimento do titular, caso o Controlador precise comunicar ou compartilhar os dados com outros controladores, o mesmo deverá obter o consentimento do titular, exceto nos casos previstos em Lei em que o consentimento é dispensado.

Também, de acordo com o §5º do art. 7º, o consentimento poderá ser revogado a qualquer tempo mediante manifestação expressa do titular em procedimento que deve ser gratuito e facilitado, com a ressalva de que ficam ratificados os tratamentos realizados sob o amparo do consentimento anteriormente concedido.

Destaca-se ainda que, caso se trate de dados que foram tornados manifestamente públicos pelo próprio titular (como por exemplo as informações disponibilizadas pelo titular por meio de suas redes sociais, desde que em perfil público, no meu singelo entendimento), é dispensada a exigência do consentimento, mas se mantem resguardados os demais direitos do titular previstos na legislação (§4º do art. 7º).

2.      Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual o titular seja parte e a pedido do titular destes dados;

3.      Para cumprimento de obrigação legal ou regulatória pelo controlador, caso em que o titlar deverá ser informado das hipóteses em que poderá ocorrer o tratamento de seus dados pessoais;

4.      Quando necessário para o exercício regular de direitos em processo judicial, administrativo ou arbitral;

5.      Proteção da vida ou incolumidade física do titular ou de terceiro;

6.      Para proteção do crédito;

7.      Quando necessário para atender aos legítimos interesses do controlador ou de terceiro, sendo que por interesse legítimo do controlador entende-se o tratamento de dados pessoais para finalidades legítimas consideradas a partir de situações concretas que incluiriam, mas não se limitariam a (art. 10): apoio e promoção de atividades do controlador e proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem.

Neste caso, somente dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados e o controlador deverá adotar medidas para garantir a transparência deste tratamento de dados baseado em legítimo interesse.

É interessante destacar que, de acordo com o §2º do art. 12, poderão ser considerados como dados pessoais, e portanto informações sujeitas ao regramento constante desta nova lei, os dados utilizados para formação do perfil comportamental de uma pessoa, caso essa pessoa seja identificada. Esta previsão poderá impactar, por exemplo, processos seletivos realizados pelo RH e que se utilizem de recursos que buscam delinear o perfil do candidato.

Com relação ao tratamento de dados pessoais de crianças e adolescentes, este somente poderá ocorrer mediante consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal, devendo os controladores manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos do titular.

Os titulares tem o direito de ter acesso às informações sobre o tratamento de seus dados, e estas informações deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca da finalidade específica do tratamento, forma e duração do mesmo, identificação do controlador, informações de contato do controlador, informações acerca do uso compartilhado de dados pelo controlador e a finalidade, responsabilidades dos agentes que realizarão o tratamento e os direitos do titular, com menção explícita aos direitos trazidos pelo art. 18 da lei (que trataremos na Parte III desta série).

Ao término do tratamento de dados, que ocorrerá quando a finalidade tiver sido alcançada, quando os dados deixarem de ser necessários ou pertinentes ao alcance da finalidade desejada, ao final do período pré-determinado para tratamento, quando o titular exercer seu direito de revogar seu consentimento ou por determinação da autoridade nacional (art. 15), os dados pessoas deverão ser eliminados, sendo autorizada a conservação dos mesmos apenas para as seguintes finalidades (art. 16):

  1. cumprimento de obrigação legal ou regulatória pelo controlador;
  2. estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
  3. transferência a terceiros, desde que respeitados os requisitos de tratamento de dados dispostos na lei ou;
  4. uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

Na terceira parte trataremos sobre os direitos do titular, das questões relacionadas à segurança dos dados e as boas práticas.

E caso você não tenha lido a Primeira Parte, é só clicar aqui.

Até a próxima!


Autor


Informações sobre o texto

Este texto foi publicado diretamente pela autora. Sua divulgação não depende de prévia aprovação pelo conselho editorial do site. Quando selecionados, os textos são divulgados na Revista Jus Navigandi.

Comentários

0

Livraria