Se entendermos o básico a respeito da Lei Geral de Proteção de Dados Pessoais, perceberemos que basta um pouco de compromisso e trabalho para implementar um bom programa em sua empresa.
O motivo do tratamento de dados ser tão importante é que se uma empresa quer ter competitividade, ela precisa se adequar à LGPD.
A Lei Geral de Proteção de Dados é uma Lei que objetiva regular o modo como as empresas devem tratar os dados pessoais que são coletados.
Isso vale para os dados pessoais de clientes, empregados, fornecedores e parceiros comerciais. Ou seja, todas as empresas, hora ou outra, farão tratamento de dados pessoais.
E, para entender tudo sobre a lei, existem algumas perguntas simples que podem responder muitas questões sobre o tema. Vamos a elas!
O que são dados pessoais?
Assim como o próprio nome indica, dados pessoais são constituídos de toda informação relacionada à pessoa natural, identificada ou identificável.
Para entender melhor, confira alguns pontos importantes:
- Uma pessoa jurídica não é titular de dados pessoais, somente uma pessoa natural. CNPJ e razão social não entram na lista.
- Se os dados pessoais forem anonimizados, eles deixam de se sujeitar à LGPD.
Tais dados se caracterizam por serem relativos ao titular que não pode ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
Porém, se a anonimização for feita de forma inadequada, o titular passa a ser identificável. E, se isso acontecer, ele pode se adequar à LGPD.
- Os dados pseudoanônimos também não são dados pessoais.
Um dado é considerado pseudoanônimo quando perde a possibilidade de associação com o titular, direta ou indiretamente, a não ser pelo uso de informação adicional.
Essa informação adicional é mantida separadamente e em ambiente controlado e seguro, de modo que, sem ela, os dados se tornam anônimos.
Esse método pode ser utilizado em alguns casos específicos para compartilhar dados anonimizados sem perder a conexão com o titular, caso seja necessário.
Quem são os agentes de tratamento de dados?
Os agentes que fazem esse tipo de serviço são chamados de operador e controlador. A Lei determina um conceito específico para esses dois tópicos:
- Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais
- Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
De forma bem objetiva, o Controlador é a pessoa, física ou jurídica, que vai ditar as regras do jogo, determinando quem vai dizer como os dados serão tratados e, geralmente, quem vai fazer uso econômico dessas informações.
Já o Operador é a mão de obra. A entidade legal separada do Controlador que vai fazer o tratamento dos dados pessoais de forma direta.
O Operador também é conhecido como DPO – Data Protection Officer, que pode ser pessoa jurídica ou física, contratado externo ou um empregado treinado dentro da própria empresa.
Quais são os requisitos para realizar o tratamento de dados?
Esses requisitos se encontram no artigo 7º da LGPD.
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I – Mediante o fornecimento de consentimento pelo titular;
O consentimento é a forma mais simples de se fazer a coleta e tratamento dos dados pessoais, já que basta somente o aceite da Política de Privacidade pelo usuário ou cliente.
Claro que isso não exclui o dever do Controlador de tratar apenas os dados necessários à execução do serviço, conforme a finalidade da empresa e do próprio tratamento que será realizado.
Também não exclui a obrigação de fazer uma Política de Privacidade clara, deixando transparente todo o processo de tratamento de dados.
Outro detalhe que deve ser considerado antes de usar o consentimento como base legal: ele pode ser revogado a qualquer momento. Esse é um direito fundamental do titular dos dados pessoais.
Se a revogação for requerida e não houver outra base legal para o tratamento, o Controlador deve parar de fazer o tratamento imediatamente, sob pena de arcar com as sanções previstas na LGPD.
V – Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
Esse requisito trata da coleta de dados preliminares à realização do negócio, ou seja, uma avaliação inicial que precisa ser feita para saber se o contrato vai ser fechado ou para que o contrato seja fechado.
Isso é tratamento de dados. A base legal é essa prevista no inciso V do artigo 7º da LGPD e pode ser aplicada em vários modelos de negócio.
IX – Quando necessário para atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
Essa última hipótese é mais sensível, mas pode ser utilizada com inteligência para tratar dados pessoais que não seriam necessários, a princípio, para cumprimento da finalidade da empresa.
Isso porque o “legítimo interesse do controlador” somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas.
A própria LGPD fornece duas opções de finalidade legítima:
- Apoio e promoção de atividades do controlador: Ou seja, ainda que não se trate de um tratamento necessário para realização do serviço que foi contratado, a empresa pode usar os dados para promover as suas atividades.
- Proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem: Ou seja, se for necessário para que desenvolvimento de um serviço inovador ou de uma tecnologia que vai beneficiar o próprio titular.