Notícias

image

O que sua empresa precisa saber sobre a LGPD

LGPD: Na era da sociedade da informação e com o avanço digital, em que todos estão cada vez mais conectados e os negócios mais e mais informatizados, o trânsito de dados pessoais ampliou de forma sem precedentes, estando por toda parte. Dados pessoais sobre a nossa vida, hábitos de consumo, amores, amizades, preferências, etc. Com isso surgiu a necessidade de proteção dos dados relativos às pessoas naturais em razão do crescente risco de manipulação e utilização desses dados contra seus detentores.

Neste cenário, surgiu a Lei Geral de Proteção de Dados (Lei nº 13.709/2018) como objetivo central de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

A lei estabeleceu os direitos e as obrigações relacionados ao tratamento de dados, em qualquer meio, seja ele digital ou material, por pessoa física ou jurídica, calcados nesses direitos fundamentais, tendo como premissa a boa-fé. Embora a lei tenha sido publicada em 2018, ela entrou em vigor somente no dia 18 de setembro de 2020.

No cenário internacional, a Europa foi a pioneira a legislar sobre da proteção de dados pessoais ao instituir, em 2016, o Regulamento Geral sobre a Proteção de Dados, conhecido como GDPR (sigla em inglês para “General Data Protection Regulation”), que entrou em vigor em maio de 2018.

Não se pode negar que a regulamentação sobre proteção de dados pessoais é uma tendência global e todas as legislações surgidas até então têm grande inspiração no regulamento europeu, que causou um efeito dominó nos países que mantêm relações comerciais com o velho continente, ao exigir desses países o mesmo nível de proteção legislativa, sob pena de imposição de barreiras econômicas e comerciais.

Nesse contexto, podemos concluir que a promulgação da LGPD se deu tanto para atender à latente necessidade interna de regulação da matéria para proteção dos dados das pessoas, como também para adequar a legislação pátria às novas exigências europeias para manutenção das relações comerciais.

Um ponto em comum entre os marcos regulatórios sobre tratamento de dados pessoais é a sua forte sedimentação em princípios, que devem nortear todo o processo de utilização desses dados, desde a sua solicitação até o seu descarte. Segundo a LGPD Academic, o princípio central que deve nortear o tratamento de dados pessoais é o da accountability – que em livre tradução significa responsabilidade com ética – ao redor do qual orbitam outros princípios como finalidade, não discriminação, necessidade, adequação, transparência, livre acesso, qualidade dos dados e segurança (prevenção).

Diante disso, a melhor forma para a empresa verificar se o tratamento está adequado tanto às exigências da LGPD quanto do GDPR, é através da análise de conformidade com os princípios norteadores.

Podemos compreender que esses princípios significam, em linhas gerais, que o tratamento de dados está adstrito às finalidades legítimas, devendo ser coletados somente os dados minimamente necessários para o alcance da finalidade a que se destinam, em estrita adequação com a informação e consentimento do titular, a quem é conferido o livre acesso aos seus dados, que deverão ser atualizados para manutenção da qualidade e exatidão, devendo a empresa que trata os dados tomar as medidas adequadas e suficientes para garantir a segurança desses dados.

Assim verificamos que o consentimento da pessoa natural titular do dado é um ponto central da lei. Portanto, as empresas somente estarão autorizadas a utilizar os dados de seus clientes, por exemplo para envio de promoção, divulgação de produtos e outros contatos, se tiverem o consentimento prévio do titular. Vale apenas ressaltar que a lei traz algumas exceções à regra geral do consentimento, que não cabe aqui trazer mais detalhes.

Dado é qualquer informação relacionada à pessoa natural identificada ou identificável. A lei traz o conceito de dado pessoal sensível que é o dado sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. Em relação a esse tipo de dado as empresas devem ter ainda mais cuidado no tratamento.

Outro aspecto que as empresas precisam compreender é que é considerado tratamento de dados qualquer operação de coleta, utilização, recepção, transmissão, processamento, armazenamento, descarte, dentre outros.

A lei também instituiu a Autoridade Nacional de Proteção de Dados (ANPD), que funcionará como uma agência reguladora e que terá dentre as suas competências, a de fiscalização do cumprimento da lei.

Em relação a tratamento diferenciado para microempresas e empresas de pequeno porte, a lei conferiu competência para a ANPD para editar normas, orientações e procedimentos simplificados e diferenciados. Porém, até o momento tais normas e procedimentos não foram regulamentados.