LGPD e sua bases legais: como adequar minha empresa?

LGPD

Sumário

Milton Guido Manzato
Milton Guido Manzato
OAB/SP 146.467 FIA – MBA em Gestão de Riscos, Fraude e Compliance – 2020. Especialização em Direito Tributário – PUC/SP – 2002. Graduação em Direito – Universidade Presbiteriana Mackenzie – 1997 Inglês e Espanhol. Curso Privacidade e Proteção de Dados: Teoria e Prática – Data Privacy Brasil

O que é LGPD?

A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 e alterações posteriores) como o próprio nome indica disciplina a coleta, o tratamento/uso e descarte de dados pessoais de pessoa natural (pessoa física). A lei não exemplifica o que seriam os dados pessoais, mas os define como sendo toda a informação relacionada a pessoa natural identificada ou identificável, e aqui já vale uma advertência: se pelos dados indiretos for possível identificar uma pessoa, esses dados devem ser considerados como dados pessoais. Assim, e a título de exemplo são dados pessoais: o nome, o RG, o CPF, endereço, assim como outros dados que possam levar a identificação da pessoa pelo seu cruzamento, como o endereço, sexo, eventual doença rara, e outras.

Vale dizer que os dados anonimizados, justamente por não permitirem a identificação do titular não são objeto da disciplina da LGPD. Existe muita controvérsia sobre se existe processo de anonimização que não seja reversível, mas é preciso considerar nessa assertiva se a reversão dessa anonimização não implicará por parte da empresa gastos excessivos de tempo e valores, e deve ainda considerar o estado da arte existente em termos técnicos, tudo porque a operação pode ser tão custosa para a empresa que na prática qualquer atitude nesse sentido se tornaria ilógica, e portanto tornaria defensável a anonimização realizada.

Existem exceções nas quais a lei não se aplica em sua totalidade ou se aplica com limites a serem impostos por regulamentações que ainda deverão ser emitidas pela Agência Nacional de Proteção de Dados (ANPD) que é o órgão regulador da matéria no Brasil e que deverá disciplinar uma série de temas relativos à LGPD, dentre eles os critérios a serem cumpridos por pequenas e médias empresas. A LGPD, por exemplo, não se aplica ao tratamento de dados pessoais por outra pessoa física para fins exclusivamente particulares e não econômicos, para fins exclusivamente artísticos e jornalísticos, acadêmicos (neste caso com algumas restrições), ou nos casos de segurança pública, defesa nacional, investigação penal ou segurança do Estado, mas sempre respeitados os direitos e liberdades fundamentais previstos na Constituição Federal.

Assim, num primeiro momento não existe hipótese das empresas (independente de atividade, porte ou outros critérios) não ter que adequar à LGPD, senão por outra razão, pelo simples fato de que possuirá funcionários ou terceiros em relação aos quais precisa fazer uso de dados pessoais, seja para pagar o salário, efetuar a contratação, rescisão e outras obrigações legais, como exames médicos periódicos.

Parece num primeiro momento e numa análise apressada que a LGPD pretende dificultar ou mesmo impedir o uso de dados pessoais (especialmente se considerada a existência de penalidades), mas na verdade uma análise mais detida demonstra que a LGPD não só traz segurança jurídica para o uso dos dados pessoais, inclusive dispensando o consentimento como veremos mais à frente quando falarmos de legítimo interesse, mas também pode ser uma oportunidade para as empresas reverem processos e inclusive desenvolverem novos produtos no momento em que se detiverem no programa de implementação da LGPD, se este for feito de forma criteriosa e pensando em princípios como Privacy by Design e Privacy by Default, como veremos adiante.

É possível enxergar a adequação à LGPD como uma oportunidade tomando por base seus fundamentos, quais sejam: respeito à privacidade; a autodeterminação informativa; a liberdade de expressão, de informação, de comunicação e de opinião; a inviolabilidade da intimidade, da honra e da imagem; o desenvolvimento econômico e tecnológico e a inovação; a livre iniciativa, a livre concorrência e a defesa do consumidor; e os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Inclusive a própria Organização para Cooperação e Desenvolvimento Econômico (OCDE) em 2016 já alertava que o gerenciamento correto de dados pessoais e dos riscos a ele inerentes poderia se constituir numa vantagem competitiva às empresas que melhor se destacassem nesse quesito, mencionando (em tradução livre) que “Muitas organizações ainda tendem a tratar a privacidade somente como uma obrigação legal ao invés de também como um risco econômico e social, e como uma questão estratégica que poderia trazer-lhes uma vantagem competitiva no mercado”, e mais à frente “Ademais, o cumprimento de obrigações relativas à privacidade poderia ser complementada por outras medidas objetivando transformar a proteção à privacidade em um diferencial de mercado, por exemplo, um fator pelo qual os negócios competem, aumentando a escolha dos indivíduos no mercado, e incrementando a privacidade como um todo”

Ou seja, mais do que impedir o uso o que a lei pretende é criar condições – ciente de que dados pessoais são o grande ativo do mundo atual – para que o uso de dados pessoais seja disciplinado de maneira a que todos, titulares ou empresas, saibam exatamente dentro de quais fronteiras podem se movimentar sem sofrerem sanções, e mesmo sem imaginarem que possuem direitos absolutos no caso dos titulares, porque o direito deste de ter seus dados apagados, por exemplo, enfrenta o obstáculo se esse dado é detido por força de lei ou regulamento aplicável a atividade da empresa.

Quanto à questão dos dados pessoais propriamente ditos, é preciso separá-los em duas categorias distintas, grosso modo: os dados pessoais em geral, e os dados pessoais sensíveis, que são aqueles relacionados a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

E qual a principal diferença entre eles? É que em se tratando de dados sensíveis não se pode alegar legítimo interesse na sua obtenção (mais à frente veremos o que significa legítimo interesse), sendo necessário o consentimento ou que o tratamento se enquadre em alguma outra das autorizações legais, tais como: cumprimento de obrigação legal ou regulatória pelo controlador; tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos; realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis; exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral; proteção da vida ou da incolumidade física do titular ou de terceiros; tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.

Quais os princípios e bases legais que dão suporte à LGPD?

A LGPD elenca em seu art. 6º uma série de princípios que devem orientar as atividades de coleta, tratamento e descarte de dados pessoais, respondendo praticamente todas as dúvidas que podem surgir nessas atividades. Os princípios estão mencionados abaixo, mas é preciso ter também em conta que o próprio artigo mencionado traz de forma expressa o princípio da boa-fé, e esse dado é muitas vezes negligenciado, partindo os comentários diretamente para o elenco de princípios, ignorando assim que todos esses princípios estão emoldurados pelo princípio da boa-fé, que trará consequências importantes quando falarmos de bases legais.

Finalidade

Realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades, ou seja, se o dado foi obtido com uma finalidade informada ao titular não pode ser usado para finalidade diversa sem que o titular seja informado e autorize;

Adequação

Compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

Necessidade

Limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

Livre Acesso

Garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

Qualidade dos dados

Garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

Transparência

Garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

Segurança

Utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

Prevenção

Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

Não discriminação

Impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

Responsabilização e prestação de contas (accountability)

Demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Percebe-se, em linhas gerais, que as empresas devem de maneira bastante forte se perguntar que tipo de informação necessitam, se não estão solicitando informações desnecessárias e em demasia, tendo um cuidado especial se o tipo de informação solicitada não empresta um viés discriminatório em termos de finalidade, sendo por outro lado permitido o viés em se tratando do oposto, ou seja, uma ação afirmativa para combater os preconceitos socialmente perpetuados.

É muito importante ter sempre em conta os princípios quando da elaboração de documentos ou políticas relativas à proteção de dados, mais do que mera questão indicativa, os princípios possuem forte tradução prática para as atividades das empresas relacionadas a dados pessoais, devendo qualquer obtenção e uso dos dados pessoais ser sempre confrontada com os princípios mencionados como forma de verificar a correção dessa atividade e os elementos justificadores dessa tratativa em caso de questionamento pelas autoridades competentes.

Além dos princípios, a obtenção e tratamento dos dados pessoais devem ser fundamentados em bases legais previstas nos arts. 7º e 11 (para dados sensíveis) da LGPD. As bases legais (para dados não sensíveis) são as seguintes:

a) mediante o fornecimento de consentimento pelo titular;

b) para o cumprimento de obrigação legal ou regulatória pelo controlador;

c) pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;

d) para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

e) quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

f) para o exercício regular de direitos em processo judicial, administrativo ou arbitral;

g) para a proteção da vida ou da incolumidade física do titular ou de terceiro;

h) para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

i) quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou

j) para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Existe uma falsa premissa de que o consentimento se sobrepõe às demais bases legais quando na verdade não existe hierarquia entre elas, mas sim o melhor enquadramento tomando por base o dado pessoal que se pretende obter, e o confronto dessa realidade fática com os princípios da necessidade, adequação e finalidade, ou seja, se dessa consideração se chegar a conclusão que o dado é necessário, resta entender qual a melhor base a ser usada, porque imaginemos alguém em risco de vir a óbito e o médico aguardar o necessário consentimento do paciente ou seu representante legal, obviamente nesse caso a proteção à vida seria a melhor base legal a autorizar o tratamento.

Por outro lado, conforme o art. 11, para o tratamento de dados pessoais sensíveis o consentimento do titular assume relevo, apenas podendo ser dispensado nos seguintes casos:

a) cumprimento de obrigação legal ou regulatória pelo controlador;

b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;

c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;

d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral,

e) proteção da vida ou da incolumidade física do titular ou de terceiro;

f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, sempre respeitados direitos e garantias fundamentais;

Ou seja, em se tratando de dados sensíveis, o consentimento é a regra, surgindo como a grande diferença aqui que não podem as empresas utilizar a base legal do legítimo interesse, que vem sendo fortemente debatido porque permitiria as empresas o tratamento de dados pessoais sem a necessidade do consentimento dos titulares, o que impõe grande cuidado e procedimentos específicos para a utilização da base legal do legítimo interesse (inaplicável, sempre bom lembrar, para o caso de dados sensíveis).

Quanto ao legítimo interesse importante abrirmos um tópico aqui para salientar que embora essa base legal pareça a mais conveniente do ponto de vista das empresas, porque uma vez que não demanda consentimento, seu uso deve ser fortemente balanceado para que não viole nenhum dos direitos fundamentais do titular de dados, e nesse sentido é que se recomenda a elaboração (inclusive para fins de atendimento ao quanto disposto no art. 37 da LGPD) de um documento denominado LIA (Legitimate Interest Assessment), o qual deve ser mantido pelas empresas especialmente em caso de questionamento pela ANPD e outras autoridades relacionadas à proteção de dados.

O que é um DPO?

Conforme mencionado acima, DPO significa Data Protection Officer, sendo na LGPD a figura do encarregado, que na prática será o responsável pelas comunicações junto a ANPD e também por receber e orientar o tratamento de eventuais solicitações do titular dos dados pessoais.

Não existe formação específica para a figura do DPO nem são necessários certificados, muito embora seja extremamente recomendável que o DPO tenha formação que lhe permita entender não apenas o aspecto legal envolvido, mas também entenda de aspectos ligados a segurança da informação, razão pela qual muitos controladores têm constituído comitês internos multidisciplinares aptos a abordar todos os aspectos envolvidos, exigindo a lei no entanto que a identidade do DPO e os meios de contato seja colocados de forma clara na página da internet da empresa.

Toda empresa que colete ou trate dados pessoais precisa ter um DPO, podendo esse DPO ser interno ou externo, a depender de uma série de decisões internas da empresa como custo envolvido, importância do tratamento de dados na sua atividade, confidencialidade e criticidade desses dados, volume de solicitações que venha a receber do titular de dados, uma vez que empresas com milhões de titulares terão maior desafio na resposta a esses titulares, lembrando que serão estabelecidos prazos para essas respostas conforme regulamento.

Outra atividade fundamental do DPO é a elaboração da política de privacidade e proteção de dados da empresa, estabelecendo quais os documentos necessários, o modelo de formalização dos mesmos, a forma de divulgação desses documentos, e o treinamento interno de toda a empresa para as obrigações previstas na LGPD, verificação das cláusulas contratuais, mantendo assim atualizada a governança da empresa em face não apenas da LGPD mas das regulamentações futuras emanadas da ANPD, sob risco de não o fazendo a empresa enfrentar as sanções mencionadas acima.

Leia também: DPO – Atuação do Encarregado pelo Tratamento de Dados Pessoais

Siga nosso Instagram: aphoffmannadv

LGPD
Compartilhe:
Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Rolar para cima

E-Book Gratuito

Manual prático de como adequar uma empresa à LGPD

A LGPD está em vigor. Você sabe qual a importância de adequar sua empresa para que não receba uma multa?