A LGPD foi sancionada em agosto de 2018 e entrou em vigor em setembro de 2020. Ela estipula uma série de obrigações às empresas e organizações sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, tanto online quanto offline.
Com a LGPD, o Brasil entra para o rol de mais de 120 países que possuem lei específica para a proteção de dados pessoais, prevendo multas e penalidades consideráveis no caso do não cumprimento dos requisitos impostos por ela.
Uma das principais influências na criação da LGPD foi o GDPR (General Data Protection Regulation), lei que regulamenta a proteção de dados na União Europeia. O GDPR é a mais significante legislação recente sobre proteção de dados, que passou a servir de modelo para muitos outros países adotarem disposições semelhantes ou reforçarem políticas pré-existentes.
A quem a LGPD se aplica?
A LGPD possui aplicação chamada extraterritorial. Isso significa que ela se aplica independentemente da localização da sede, ou de onde os dados são processados.
Nesse caso, a lei é aplicável para empresas e organizações que processam dados pessoais de cidadãos brasileiros, independentemente da sua localização física (se os dados pertencerem a indivíduos localizados no Brasil, ou se os dados foram coletados em nosso País – casos em que o titular dos dados estava aqui no momento da coleta).
Quais os principais conceitos da LGPD?
É importante conhecer os conceitos básicos que norteiam as especificações da LGPD.
O que é um dado pessoal?
“Dado pessoal” é toda e qualquer informação que identifique ou que possa vir a identificar uma pessoa. O conceito de dado pessoal adotado pela LGPD é bastante amplo:
qualquer dado, isolado ou em conjunto com outros dados, que possa identificar uma pessoa, ou que possa sujeitar uma pessoa a determinado comportamento, pode vir a ser considerado um dado pessoal.
Isso mostra que a LGPD não resume o conceito de dados pessoais a informações básicas de uma pessoa, como nome, e-mail, RG ou CPF. Por exemplo: se uma empresa realiza estratégias de remarketing, por meio do uso de cookies, está utilizando dados de navegação de uma pessoa para impactá-la com publicidade digital.
Digamos que um usuário visita com frequência o site da minha empresa. Eu posso não saber o seu nome, nem o seu e-mail, mas com o uso dos cookies, posso inferir perfis comportamentais dele. Podemos identificar se o usuário gosta mais de viagens, livros ou filmes, só para citar alguns exemplos.
Esses dados são suficientes para que a empresa possa criar anúncios de publicidade online e impactar o usuário. Nesse caso, mesmo sem saber ao certo quem é o usuário, a empresa conseguiu impactá-lo com informações que possuía sobre ele.
O que é um dado pessoal sensível?
Uma das categorias de dados presente na lei são os dados pessoais sensíveis. A LGPD indica uma lista dos dados pessoais considerados sensíveis:
aqueles sobre “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.
O que pode ser considerado um tratamento de dados?
Tratamento é qualquer operação realizada com um dado, da coleta ao descarte. A LGPD estipula normas para qualquer ação de tratamento de dados pessoais: como a coleta, classificação, utilização, compartilhamento, reprodução, processamento, arquivamento, armazenamento etc.
Atores e papéis
Existem dois principais agentes, com papéis e responsabilidades específicas, de acordo com a LGPD: o controlador e o operador.
- Controlador: É a empresa/organização que toma as decisões em relação aos dados pessoais, que define quando e como os dados serão coletados, para quais finalidades serão utilizados, onde e por quanto tempo serão armazenados;
- Operador: É a empresa/organização que realiza o processamento de dados pessoais sob as ordens do controlador. O operador não toma decisões em relação ao uso dos dados.
Na prática, vamos supor que a sua empresa precise contratar um serviço de armazenamento em nuvem para armazenar os dados que possui. Nessa relação, a sua empresa é considerada controladora de dados, enquanto a empresa contratada para armazenar os dados pode ser considerada operadora.
A sua empresa é controladora, operadora ou, dependendo do contexto, ambos. É importante entender quais são esses papéis e quais responsabilidades eles trazem para a sua empresa em relação à LGPD.
Além disso a lei traz a obrigatoriedade de o controlador indicar o encarregado pela proteção de dados pessoais (Data Protection Officer – DPO), pessoa natural ou jurídica, e será o ponto de conexão entre a empresa, os titulares dos dados e a ANPD (Agência Nacional de Proteção de Dados).
Bases legais
Você sabe como e em quais casos a LGPD autoriza a sua empresa a utilizar os dados pessoais de um Lead? Para responder a essa pergunta, é necessário entender o conceito de bases legais
As bases legais são hipóteses da LGPD que autorizam o tratamento de dados pessoais. A lei estabelece que para que qualquer pessoa, física ou jurídica, possa realizar qualquer operação com um dado pessoal – seja coletar, transmitir ou processar – é necessário possuir uma base legal presente na LGPD que justifique o tratamento desses dados.
As empresas que utilizam dados pessoais sem uma base legal adequada, estarão tratando dados de forma ilegal.
A LGPD prevê dez bases legais que autorizam o tratamento de dados pessoais. As bases legais não têm dependência ou predominância entre si, e para todo caso de tratamento de dados, existe uma base legal mais apropriada.
Vamos examinar as três principais bases legais previstas na LGPD, com alguns exemplos práticos.
Os exemplos de casos de uso de bases legais abaixo são meramente informativos. Eles não devem ser aplicados sem a devida análise e decisão própria. Cada empresa é responsável por escolher a base legal mais adequada, de acordo com as particularidades dos seus respectivos cenários internos.
1. Consentimento
Consentimento é definido como uma declaração clara e inequívoca de vontade. É o caso em que a pessoa concorda com o uso dos seus dados para as finalidades propostas pela empresa.
Um exemplo prático da base legal do consentimento, no contexto do Marketing Digital, é o checkbox (opt-in) em campos de formulário, para pedir autorização para o envio de comunicações.
Contudo, o consentimento, como previsto na LGPD, precisa de alguns requisitos para que possa ser considerado válido:
- O consentimento precisa ser livre: O lead não pode ser forçado a fornecer consentimento. Deve ser uma escolha. Se uma empresa insere um checkbox de consentimento em um formulário, mas exige que o seu preenchimento seja obrigatório, o lead não terá escolha sobre fornecer ou não o consentimento;
- O consentimento precisa ser informado: O usuário deve entender com o que está consentindo. As organizações devem certificar-se que explicam de forma clara exatamente o que a pessoa está concordando. Incluir informações em uma política de privacidade densa ou ocultas em letras pequenas, difíceis de encontrar, difíceis de entender ou raramente lidas, não será suficiente para estabelecer o consentimento informado;
- O consentimento precisa ser inequívoco: Depende de manifestação por meio de um ato positivo do usuário. Em outras palavras, deve haver uma ação do usuário indicando sua aceitação, seja pelo envio de um e-mail, assinatura eletrônica, ou até mesmo por um clique em local determinado. Não podem haver dúvidas acerca de o consentimento ter sido fornecido ou não;
- O consentimento precisa ser fornecido para fins específicos e determinados: O consentimento deve ser fornecido para uma finalidade específica e determinada. Faz parte de toda a lógica da LGPD especificar o motivo pelo qual um dado pessoal é utilizado. A empresa não pode utilizar os dados para uma finalidade diferente daquela ao qual foi concedido o consentimento.
Ademais o consentimento é apenas uma das dez bases legais que autorizam o tratamento de dados. Existem outras bases legais que podem ser utilizadas além do consentimento, em especial: legítimo interesse e contratos.
2. Legítimo interesse
Outra hipótese que autoriza o uso dos dados é o legítimo interesse. Essa é mais flexível das bases legais da LGPD, mas a sua aplicação não é simples.
O legítimo interesse permite o uso dos dados, sem a necessidade de obtenção de consentimento. Contudo, é necessário tomar alguns cuidados para entender em quais casos o legítimo interesse realmente pode ser aplicado.
A LGPD ainda não possui diretrizes específicas sobre a utilização dessa base legal. Isso tende a ocorrer após a criação da ANPD – Agência Nacional de Proteção de Dados. Por hora, é sabido que a base legal do legítimo interesse pode ser utilizada em situações em que:
- quando o consentimento do usuário for muito difícil de ser obtido;
- quando o consentimento do usuário pode ser considerado desnecessário;
- quando houver um impacto mínimo no indivíduo ou uma justificativa convincente para a sua utilização;
Requisitos do legítimo interesse
Quando uma empresa decide utilizar o legítimo interesse, deve realizar um teste de proporcionalidade. Esse teste possui o objetivo de balancear, de um lado, os interesses da sua empresa, e do outro os direitos e liberdades do titular dos dados pessoais.
O teste leva em consideração detalhes específicos de cada caso de uso de dados, portanto, é importante que cada empresa conte com auxílio especializado de consultoria jurídica, ou através da figura de um Data Protection Officer (um encarregado), para nortear a realização dos testes.
Por que é tão difícil entender quando utilizar o legítimo interesse?
Você já tentou ler a LGPD para entender o que deve fazer para adequar a sua empresa à conformidade da lei? Para entender, por exemplo, quando pode utilizar a base legal do legítimo interesse? Caso você já tenha tentado, provavelmente sentiu uma certa frustração.
Uma das maiores dificuldades que empresas brasileiras encontram no processo de adequação à LGPD é a ausência de orientações e diretrizes específicas. Isso acontece porque a LGPD não foi feita para responder a todos esses detalhes. A nova lei precisa da criação de diretrizes específicas para cada caso de uso.
O órgão que será responsável por criar essas diretrizes (além de fiscalizar e multar), será a ANPD – Autoridade Nacional de Proteção de Dados. A ANPD ainda não foi constituída, até que isso ocorra, empresas terão que tomar decisões mais difíceis para adequar os pontos da lei que ainda estão abertos à interpretação.
Apesar das incertezas, se utilizada com responsabilidade, a base legal do legítimo interesse pode ser uma grande aliada no processo de adequação de empresas de uma sociedade movida a dados.
3. Contratos
No caso da base legal de contratos, os dados de uma pessoa podem ser processados em dois casos:
- o primeiro é para que seja cumprida uma obrigação prevista em contrato;
- o segundo quando o tratamento de dados serve para a validação e início de vigência de um acordo.
Para contratar os serviços de um novo colaborador, é preciso fornecer uma série de informações pessoais necessárias para formalizar o contrato (dados do contratante, dados para faturamento, etc.) que farão parte do futuro contrato de emprego do titular dos dados.
Demais bases legais
Além das três bases legais mencionadas, existem outras 7 bases legais que autorizam o tratamento de dados pessoais.
- Obrigação Legal;
- Execução de Políticas Públicas;
- Estudos por órgãos de pesquisa;
- Processo Judicial;
- Proteção da Vida;
- Tutela da Saúde;
- Proteção de Crédito.
Em resumo, as bases legais são o ponto de partida para empresas criarem relações mais justas com o consumidor. Quando a sua empresa for pensar em bases legais é importante repensar a ética por trás das formas que estes dados são coletados e utilizados.
Pensando dessa forma, fica mais fácil entender o motivo de existir essa temática na lei.
Direitos dos usuários na LGPD
Vamos entender o que a LGPD fala sobre a questão dos direitos dos usuários e como as empresas devem trabalhar para atendê-los.
Quais são os direitos dos usuários a partir da LGPD?
O titular dos dados pessoais tem direito a obter do controlador – em relação aos dados do titular por ele tratados – a qualquer momento e mediante requisição os seguintes itens:
- Direito de confirmação de existência do tratamento;
- Direito de acesso aos dados;
- Direito de correção de dados incompletos, inexatos ou desatualizados;
- Direito de anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
- Direito de portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
- Direito de eliminação dos dados pessoais tratados com o consentimento do titular;
- Direito de informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
- Direito de informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
- Direito de revogação do consentimento.
Como a sua empresa precisa se preparar para atender a esses direitos?
Hoje, muitas empresas possuem dados pessoais de usuários em diversas áreas e sistemas. Em muitos casos, os dados dos usuários estão presentes em outras áreas, como Financeiro, Vendas, Marketing, Suporte, entre outras.
Com isso em mente, cada empresa precisa estabelecer mecanismos e processos internos, a partir dos seus próprios fluxos de dados e sistemas, que viabilizem o atendimento às solicitações de direitos dos titulares de dados que controlam.
Em observância às necessidades de nossos representados, o SINDICOMIS/ACTC irá oferecer aos seus filiados a prestação de serviço para a conformidade, implantação, capacitação de pessoal e adequação à LGPD, para auxiliar no processo de mapeamento dos dados pessoais da empresa, e no estabelecimento de processos específicos para cada cenário, bem como a utilização do encarregado de proteção de dados (DPO) consoante determinado na referida lei, que fará a interface entre a sua empresa e a ANPD (Agência Nacional de proteção de Dados), órgão que fiscalizará a aplicação da lei no país.
Quais princípios presentes na LGPD as empresas devem atender?
Empresas e organizações também devem adotar medidas de adequação aos seguintes princípios previstos na LGPD:
Finalidade
A coleta de dados deve atender a um propósito legítimo, específico, explícito e informado ao titular. Empresas e organizações devem sempre estipular qual é a finalidade específica para cada coleta de dados e a justificação clara e completa que justifique sua coleta.
Adequação
Os dados devem ser tratados de forma compatível com a finalidade que foi informada ao usuário. Ou seja, os dados coletados não podem ser utilizados pela empresa para um fim diferente do que foi informado.
Necessidade
A lei prevê que o tratamento de dados deve se limitar ao mínimo necessário para a realização das suas finalidades comerciais tangíveis hoje.
Livre Acesso
Empresas e organizações devem garantir aos usuários a consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.
Qualidade dos dados
As empresas devem garantir aos usuários que as informações que possuírem sobre eles sejam verdadeiras, precisas e atualizadas. Conforme visto na própria lista de direitos, o titular dos dados tem o direito de correção de dados incompletos, inexatos ou desatualizados.
Transparência
O titular tem direito a saber exatamente o quê, porquê e para quê seus dados estão sendo coletados. Empresas precisam garantir aos titulares informações claras, precisas e facilmente acessíveis sobre o que é feito com os seus dados pessoais.
O foco deve estar em garantir que a informação seja passada com uma linguagem clara e simples. Importante mencionar que o princípio da transparência deve ser trabalhado nos diversos contextos relacionados a dados pessoais, com as Políticas de Privacidade, contratos e formulários.
Segurança
Princípio que prevê que empresas adotem medidas técnicas e administrativas de segurança para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas.
Prevenção
Princípio que prevê a adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais. Além de reforçar a segurança através da tecnologia, é imprescindível revisar processos internos e promover a conscientização de pessoas de toda a organização.
Não discriminação
O tratamento de dados não pode ser realizado para fins discriminatórios ilícitos ou abusivos.
Responsabilização e prestação de contas
O princípio da responsabilização e da prestação de contas determina que empresas devem ser capazes de demonstrar todas as medidas adotadas capazes de comprovar o cumprimento da LGPD. Em outras palavras, é o dever de prestar contas de tudo que vimos até aqui.