Lei Geral de Proteção de Dados Pessoais: seu negócio será afetado?
Em agosto de 2020 entrará em vigor a Lei Geral de Proteção de Dados Pessoais – LGPD (Lei nº 13.709/18) que dispõe sobre
regras para proteger e garantir a privacidade de dados pessoais de pessoas físicas.
Dados pessoais são preciosos ativos e a exemplo do que ocorreu na União Europeia, que desde 2018 conta com a General
Data Protection Regulation - GDPR, o Brasil está seguindo idêntico caminho adotando normas para garantir a proteção de dados de pessoas naturais.
Mas o que são dados pessoais? Dados pessoais são informações relacionadas à pessoa natural “identificada ou identificável”
(art. 5º, I. LGPD), tais como nome, e-mail, CPF, RG, carteira nacional de habilitação, endereço, telefone, foto, etc..
A Lei também regula o tratamento de dados pessoais “sensíveis”, que são aqueles “sobre origem racial ou étnica, convicção
religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde
ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural” (art. 5º II, LGPD) e de dados pessoais de crianças e adolescentes, que contam com atenção especial na nova legislação (art. 14, LGPD).
Além de garantir direitos aos cidadãos quanto à privacidade e utilização de dados pessoais e sensíveis a LGPD estabelece
obrigações que deverão ser cumpridas pelas pessoas físicas e jurídicas (públicas e privadas) que realizam o “tratamento” de
dados pessoais.
Segundo a LGPD “tratamento” de dados de pessoas naturais é “toda operação realizada” por meio de, por exemplo, “coleta,
produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento,
armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração” (art. 5º, X, LGPD).
Portanto, independentemente do formato do seu negócio, seja você pessoa física ou jurídica, a LGPD deverá ser observada
sempre que houver tratamento de dados, ou seja, utilização de dados armazenados por meio físico ou digital de pessoas naturais, conforme referido no parágrafo anterior.
Seguem dicas para quem deseja começar a se familiarizar com o tema:
1 – FAÇA UM LEVANTAMENTO DOS DADOS PESSOAIS QUE SÃO TRATADOS PELA SUA ORGANIZAÇÃO
Mapeie os dados “tratados” em sua empresa (ou seja, já armazenados, coletados, arquivados, etc.) e classifique-os em
“necessários” e “desnecessários” ao desempenho de sua atividade. Conforme observam Paludetto e Barbieri, “Empresas e demais organizações econômicas devem revisar seu fluxo de dados pessoais e sensíveis e criar um mapa de dados interno” (Vitor Paludetto e Henrique Shirassu Barbieri, Guia Sobre a Nova Lei Geral de Proteção de Dados, p. 273).
2 - IDENTIFIQUE QUEM COLETA OS DADOS E COM QUE FINALIDADE SÃO UTILIZADOS NA SUA ORGANIZAÇÃO
É preciso identificar quem atualmente é o responsável pela coleta dos dados e a respectiva utilidade para o desenvolvimento
do seu negócio. Esqueça os velhos hábitos de coletar todo e qualquer dado aleatoriamente, sem saber se a informação será utilizada oportunamente, pois na maioria dos casos há exagero e coleta de dados desnecessários que jamais serão usados para nada. Adote a máxima “menos é mais” e restrinja o tratamento de dados ao que realmente é essencial e necessário para o desenvolvimento do seu negócio.
3 – VERIFIQUE SE HÁ OU NÃO NECESSIDADE DE OBTER AUTORIZAÇÃO DO TITULAR DOS DADOS PARA
REALIZAÇÃO DO “TRATAMENTO”
Uma vez identificados os dados essenciais que devem ser coletados e a finalidade do tratamento de dados dentro do seu
negócio, verifique se há necessidade de obter autorização do titular dos dados para poder usá-los. A LGPD dispõe sobre as hipóteses em que o “tratamento” de dados pode ser realizado e uma das dez opções previstas no art. 7º é o consentimento do titular. Ou seja, existem 9 (nove) hipóteses em que é permitido o tratamento de dados pessoais sem necessidade de obter o consentimento do titular dos dados.
As dez hipóteses em que o tratamento de dados pode ser realizado são as seguintes (art. 7º):
“I - mediante o fornecimento de consentimento pelo titular;
II - para o cumprimento de obrigação legal ou regulatória pelo controlador;
III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas
previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte
o titular, a pedido do titular dos dados;
VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.” (art. 7º, LGPD)
Assim, a análise deverá ser realizada por eliminação, ou seja, se a finalidade do “tratamento” de dados não estiver inserida em
uma das nove opções relacionadas no parágrafo anterior que dispensam o consentimento do titular dos dados, obrigatoriamente
deverá ser providenciada a autorização do titular para que os dados sejam tratados com o propósito especificado.
Veja os seguintes exemplos:
Exemplo 1: o “tratamento” de dados pessoais dos empregados de uma empresa para cumprimento de obrigações legais, como
é o caso do e-Social, dispensa a autorização do titular dos dados, conforme previsto no art. 7º, II, da LGPD.
Exemplo 2: o “tratamento” de dados pessoais de crianças e adolescentes de um consultório de pediatria, consistente na coleta e
armazenamento dos dados em cadastro físico ou digital, deverá contar com a autorização expressa do pai ou da mãe ou do responsável legal (art. 7º, II, da LGPD).
Exemplo 3: o “tratamento” de dados pessoais de um cliente para envio de informações comerciais necessita autorização do titular dos dados, conforme previsto no art. 7º, I, da LGPD. E tal autorização não poderá ser genérica!
Exemplo de Autorização: Eu, Izabela Lehn Duarte, autorizo que a empresa XXX utilize meu e-mail para encaminhamento de
promoções sobre os produtos ofertados enquanto durar a nossa relação comercial.
Ou seja, é preciso informar ao titular dos dados a finalidade e o tempo de duração do “tratamento”.
A fiscalização do cumprimento da LGPD será realizada pela Autoridade Nacional de Proteção de Dados, recentemente criada
através da Lei nº 13.853/19, a quem competirá, após instauração de procedimento administrativo, impor sanções que vão desde
simples advertência até multa de 2% sobre o faturamento do último exercício.
O tema é complexo e a LGPD contempla outras questões jurídicas que não puderam ser abordadas nos limites do presente
ensaio. No entanto, é possível concluir que pessoas físicas e organizações públicas e privadas de qualquer porte devem dar início à revisão de procedimentos internos para adequar o “tratamento” dos dados pessoais ao que dispõe a nova Lei.
IZABELA LEHN DUARTE | ADVOGADA
Vice-presidente Jurídica da ACI-NH/CB/EV
Lehn Duarte Advogados
