A Lei Geral De Proteção De Dados (L.13.709/18) é um documento que busca adequar o mundo às novas fronteiras tecnológicas. Nela, com a influência da cultura europeia (GDPR), estruturou-se em novas formas de tratar dados, tanto físicos (ex.: documentos, papéis) quanto digitais (ex.: dados cadastrais), criando bases principiológicas, como o respeito à privacidade, à liberdade de expressão, a inviolabilidade da honra, da imagem, da intimidade e trazendo a ideia de autodeterminação informativa.

Essa que se resume na ideia de que os titulares dos dados, ou seja, a pessoa natural a quem os dados pessoais tratados se referem, tem o direito de saber de forma clara, facilitada, adequada e ostensiva, se possui dados sendo tratados, para qual finalidade, por quanto tempo serão utilizados, por quem será utilizado, se há ou não compartilhamento com outros agentes.

Além de deter os direitos de pedir a confirmação de tratamento, de ter acesso aos dados, de poder corrigí-los se incompletos ou inexatos ou desatualizados, de poder portar os dados para outro agente, quando requisitado, ou ainda, recusar o tratamento (art.18). Enfim, criou-se uma nova preocupação para as empresas que se utilizam de dados pessoais.

MAS O QUE SÃO DADOS PESSOAIS?

São as informações relacionadas a determinada pessoa física que podem torná-la identificável ou a identificarem. Exemplos em relação à identificação, temos o nome da pessoa, CPF, RG e de tornar possível a identificação, temos a conjuntura de sexo, ano de nascimento, estado civil, endereço, CEP etc, informações que separadas podem não trazer alguma identificação, mas que juntas tornam possível identificar a pessoa.

Sendo que estes podem ser sensíveis, na medida que tratam sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico da pessoa.

E isso leva ao primeiro passo que uma empresa precisa ter, que é identificar se se trata ou não dados pessoais e se são ou não sensíveis.

Primeiro, tratamento de dados se resume em toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Sendo que, se há tratamento, deve-se saber quais dados, para que e se todos são realmente necessários, pois não pode haver coleta desmedida ou excessiva (exemplo: não coletar dados referentes a raça, orientação sexual, referentes à saúde da pessoa, sobre a placa do carro, sobre o nome da mãe, salvo quando estritamente necessário e adequado, porque mudaria a base legal, como se verá).

Segundo, delimitar se é ou não dado sensível, para saber qual a base legal, ou seja, qual a permissão que a lei dá para o tratamento, qual a finalidade que se adequa ao caso.

BASES LEGAIS

A base legal sempre deve ser demonstrada, pois resume para qual finalidade os dados são captados e quando é necessário um tratamento mais robusto e meticuloso (como no caso de dados sensíveis).

Quando não for possível o enquadramento nas demais bases legais, a do consentimento serviria como residual e seria a mais usual, assim como a do legítimo interesse, no caso de dados não sensíveis.

No entanto, esta seria em último caso, pois ainda não há uma definição regulatória e nem legal e de quais casos aplicar, sendo assim nebulosa. Vale dizer que se a escolha for pela do consentimento, um termo de consentimento anexado, ao contrato, por exemplo, seria necessário.

SEGURANÇA E BOAS PRÁTICAS

Após a fixação da base legal, é preciso dispor sobre o que a empresa precisa fazer internamente. Primeiramente, deverá aplicar medidas de autocontrole, como compliance e governança corporativa (responsabilidade de prestar contas, de ser transparente),·de adequação a normas técnicas de segurança da informação e segurança da privacidade.

Além de ·realizar anonimização, pseudoanonimização, ou outras formas de segurança dos dados (confirmação em duas etapas, utilização de token etc), pois dados anonimizados (o que é raro acontecer, pois a inovação impede, mas pode haver tentativas) não serão considerados como dados pessoais e não serão protegidos pela LGPD, salvo se a anonimização for revertida.

E proporcionar ‘a educação digital e o treinamento da diretoria e dos funcionários sobre os conceitos básicos trazidos pela LGPD. No mais, deve realizar o mapeamento dos dados, ou seja, mostrar o ciclo de vida do dado: o momento da coleta, quando ele é usado, se é ou não compartilhado com terceiros, se eles são ou não retidos, por alguma razão, ou por algum tempo, ou até o cumprimento da obrigação legal, ou regulatória, ou do contrato, ou com a finalidade alcançada, e, por fim, a destruição dos dados.

Além de criar o cargo de DPO (Data Protection Officer), também chamado de encarregado, podendo ser algum membro da própria, ou terceiro contratado. Este será quem implementará as medidas, que regularizará a situação da empresa em relação a LGPD e que terá o contato com a autoridade nacional de proteção de dados (ANPD) e que será o contato dos titulares, para eventuais dúvidas

Esses foram somente alguns dos apontamentos acerca da LGPD, para demais informações e para adequação da sua empresa, entre em contato conosco.