Entenda como a Lei Geral de Proteção de Dados Pessoais irá afetar a forma com que as empresas e organizações captam, armazenam e utilizam dados de seus clientes, tanto no meio online quanto offline.
A LGPD, ou Lei Geral de Proteção de Dados Pessoais, é a legislação brasileira que regula as atividades de tratamento de dados pessoais, com o objetivo de garantir à pessoa natural a autodeterminação informativa, ou seja, informações suficientes sobre os possíveis usos de seus dados para que haja uma escolha consciente sobre entregá-los; e a proteção contra abusos em relação a suas informações.
Essa lei é consequência de uma movimentação mundial em favor da proteção de dados, que vem ocorrendo desde a Segunda Guerra, especialmente na Europa, onde milhões foram condenados à morte nas câmaras de gás, ao terem seus dados pessoais revelados. O assunto adquiriu maior destaque por conta de escândalos atuais, como o vazamento pelo ex-técnico da CIA, Edward Snowden, da forma de vigilância global feita pela NSA (National Security Agency) e a manipulação política por meio de análise de perfil do usuário utilizada pela Cambridge Analytica durante as eleições norte-americanas de 2016.
Esses fatos trouxeram maior consciência mundial sobre uma realidade: vivemos no mundo da automação, da velocidade de informação e de processamento de dados, sem uma regulação quanto à forma de se obter e usar essas informações, poderemos facilmente incorrer em violações de privacidade e injustiças.
O cadastro de CPF nas farmácias, as curtidas no Facebook, o histórico de compras no e-commerce, as buscas no Google, os aplicativos que acessamos em nossos celulares, tudo isso deixa para trás pequenos fragmentos de dados pessoais. O conjunto deles forma um retrato artificial de quem nós somos. Gostos, características, personalidade, tudo isso é inferido, e a partir dessa identificação, uma série de ações são tomadas. Algumas delas aparentemente inofensivas, como prever produtos que gostaríamos de comprar, outras claramente prejudiciais, como o aumento do valor do plano de saúde ou a negação de empréstimos bancários.
É por conta disso que a proteção de dados importa, pois diz respeito a nossa identidade, a forma como somos percebidos e julgados. Além disso, uma falta de regulação pode acarretar em desconfiança e negação em relação à entrega de dados por parte dos cidadãos, o que significa um retrocesso, uma vez que o tratamento de dados pode ser muito benéfico para a sociedade se usado da maneira correta.
Por conta de todos esses fatores, diversos países, como Canadá, Argentina, Suiça, Nova Zelândia, Japão, e, em especial, os da União Europeia (UE), criaram leis que buscam esclarecer e regular a matéria. O Brasil, para integrar esse rol de países e receber os benefícios comerciais que a confiança na transmissão internacional de dados proporciona, cria a LGPD, baseando-se na atual lei de proteção de dados da UE, a General Data Protection Regulation (GDPR).
Na prática, a Lei Geral de Proteção de Dados Pessoais gera uma necessidade de adequação das empresas, não apenas em uma reestruturação das normas internas de compliance, como de toda sua cultura em relação ao tratamento de dados. Isso porque, a nova lei cria um órgão fiscalizador próprio, e o não cumprimento das adequações exigidas gerará sanções, entre elas, custosas multas.
De início, é importante saber a quem essa lei se aplica. Sua abrangência engloba todo tratamento de dados pessoais realizado em território nacional, com as seguintes exceções:
A própria lei define tratamento de dados como sendo toda operação realizada com dados pessoais, como as que se referem à coleta, produção, classificação, reprodução, transmissão, processamento, armazenamento, eliminação, avaliação ou controle da informação.
Assim, toda empresa que coleta e utiliza dados pessoais, ou seja, dados que identificam ou podem identificar uma pessoa natural, deverá seguir as normas estabelecidas pela LGPD.
Com esse entendimento, o próximo passo é conhecer os fundamentos e princípios da lei, para que se saiba em que foi baseada e como deve ser interpretada.
Seus fundamentos, elencados em seu Artigo 2, são:
Esses fundamentos apontam para a essência da LGDP, uma legislação que busca tornar as relações envolvendo dados pessoais mais transparentes, informativas e seguras.
Seus princípios, elencados no Artigo 6, são:
Esses princípios são norteadores e devem ser observados como exigência mínima para uma boa atividade de tratamento de dados pessoais, além de serem utilizados nos casos em que houver alguma dúvida interpretativa ou nos casos em que a legislação for omissa.
Uma vez entendidas as bases da criação da lei e suas exigências mínimas, as empresas devem, finalmente, criar seu plano de adequação para garantir que suas condutas sejam regulares e não incorram em penalidades.
A LGPD entrará em vigor em 2021, e para garantir que suas normas serão cumpridas, foi criado em dezembro de 2018 um órgão próprio que terá como um de seus principais objetivo fiscalizar e aplicar sanções.
Esse órgão é a Autoridade Nacional de Proteção de Dados (ANPD), e dentro das sanções possíveis temos:
A LGPD segue uma lógica para a aplicação da penalidade administrativa, baseando-se na gravidade da infração e a condição econômica do infrator. Para fazer essa determinação, leva-se em consideração o número de pessoas atingidas, o tipo de dado vazado, o motivo do incidente, reincidência da empresa, boa-fé, existência de políticas na empresa sobre privacidade de dados, entre outros elementos.
Felizmente, em casos de vazamento de dados, a lei dá um parâmetro, especificando o que o encarregado deverá fazer. Entre as ações está a elaboração de um plano sobre o incidente de segurança, detalhando o que aconteceu, que tipo de dados foram afetados, quais sistemas foram utilizados, quais os possíveis riscos, e quais medidas de mitigação a empresa irá adotar. Com esse plano, será possível uma diminuição da sanção.
Ao mesmo tempo, a partir desse parâmetro, será possível implementar na empresa treinamentos para que esse sistema possa estar preparado para funcionar, antes mesmo de incidentes ocorrerem.
A partir disso, é importante que a empresa desenvolva sistemas tanto para prevenir o vazamento e uso indevido de dados, como também para lidar com essas situações indesejadas. Dessa forma, a empresa terá segurança para tratar dados e evitar sanções.
A LGDP traz às empresas uma mudança cultural: antes se via os dados pessoais como sendo de propriedade da empresa, podendo ela fazer o que bem quisesse com eles; agora, tem-se a visão de que os dados pessoais pertencem às pessoas, e que toda operação envolvendo-os necessita de especial atenção.
O processo de adequação exige a criação de um programa de governança em privacidade, que engloba dois escopos:
Recomenda-se ainda que as empresas implantem um Programa de Governança em Privacidade, que, no mínimo:
Diante do exposto, é importante considerar a necessidade da contratação de apoio especializado, tanto técnico quanto jurídico, a fim de garantir um processo de adequação correto e seguro.
Para tratar das relações trabalhistas, é interessante começar analisando as hipóteses em que se podem tratar dados pessoais:
Dessas bases legais, talvez venha à mente o consentimento como base legal mais indicada para as relações trabalhistas, o que é um equívoco, visto que, por haver relação de subordinação dos empregados em relação ao empregador, o consentimento não será livre.
A base legal mais adequada para isso é a execução de contrato, e, em casos de processos seletivos, de procedimentos preliminares de contrato.
Caso haja necessidade de investigações internas sobre o cometimento de algum ato ilícito, a base legal mais adequada será o legítimo interesse.
Além disso, há alguns pontos que devem receber atenção na rotina trabalhista:
Recebimento de currículos: muitas vezes a empresa pode receber currículos sem nem mesmo pedir. O que deve ocorrer é o aviso ao titular sobre o que está sendo feito com os dados, e a obtenção do consentimento dos que não forem selecionados, para que o currículo integre a base de dados da empresa;
Elaboração de programa de manutenção e descarte de informações dos funcionários: é importante verificar quais informações devem ser mantidas, principalmente depois de o vínculo empregatício ser quebrado, e quais bases legais têm-se para isso;
Atenção com dados pessoais sensíveis: esses são os que revelam origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical, questões genéticas, biométricas e sobre a saúde ou a vida sexual de uma pessoa. Setores de RH são os que mais lidarão com esse tipo de dado, deve-se limitar o acesso apenas para os profissionais que de fato os utilizam.
Escolha das bases legais de acordo com o tratamento de dados: seja transparente com os funcionários sobre a finalidade do tratamento.
Com essas diretrizes, as relações trabalhistas estarão amparadas pela LGPD, vale lembrar que todos os princípios e normas já explicados valem também para as relações trabalhistas, bem como as multas em caso de irregularidades.
Em seu artigo 41, a LGPD afirma que toda empresa controladora de dados deve indicar um Encarregado pelo Tratamento de Dados Pessoais, também chamado de DPO (Data Protection Officer).
Nesse mesmo artigo, é também previsto que a autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do DPO, podendo haver hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.
O DPO será o responsável por fazer a comunicação interna e externa da empresa em relação ao tratamento de dados.
Ele garantirá que as iniciativas de adequação à LGPD sejam criadas, mantidas e aplicadas em toda a empresa.
Uma vez definidas as políticas a serem aplicadas dentro da empresa, elaborar políticas de relacionamento com fornecedores, com órgãos de regulação, e com o público.
Caso a empresa resolva indicar um funcionário para esse cargo, a recomendação é que ele não acumule essa função com as que ele já exerce, pois o cargo de DPO pode receber uma grande demanda de trabalho.
Na contratação, é importante frisar que a lei não determina a obrigatoriedade de uma certificação para o exercício dessa função. Porém, profissionais de direito ou TI e com especialização em LGPD ou certificação em DPO acabam sendo o mais recomendado.
A área da saúde, em especial os hospitais, consultórios e clínicas médicas, é um dos segmentos que mais precisará se preocupar com a Lei Geral de Proteção de Dados. Isso porque, tratam dados sensíveis de seus pacientes, ou seja, que são referentes à origem racial ou étnica, convicções religiosas ou filosóficas, questões genéticas, biométricas e sobre a saúde ou a vida sexual.
A atenção para lidar com esses dados deve ser ainda maior do que para lidar com dados pessoais comuns, pois esses são mais íntimos e podem ser classificados como direito ao segredo, que é uma forma de proteção de atos e fatos que se deseja manter sem o conhecimento de terceiros e que dizem respeito somente ao titular, cabendo a este o direito de revelar ou não. Consequentemente, as multas pelo vazamento são maiores.
Como já mencionado em artigos anteriores, é necessário haver conscientização dos funcionários a respeito do tema. Na área da saúde, 3 pontos são importantes:
Sobre o primeiro ponto, é importante que todos do hospital entendam que não apenas vazar prontuários é ilícito, mas que a própria conversa em relação a um paciente em locais que outras pessoas podem ouvir já configura uma quebra de sigilo de informações. O entendimento que se deve ter é que a proteção de dados vai além do mundo digital, e que se deve ser cauteloso também com as informações passadas em conversas, e com as pessoas que podem ouvi-la.
O segundo ponto trata sobre a obtenção de informações, a permissão para se trabalhar com dados nessa área é facilitada, pois além das hipóteses de permissão e de execução contratual, encaixam-se também as hipóteses de “proteção da vida” e de “tutela da saúde”.
A partir disso, é importante destacar o princípio da necessidade. Não se devem coletar dados desnecessários ao tratamento do paciente. Porém, dependendo da área, há uma necessidade de coleta grande de dados pessoais e sensíveis, por exemplo, nas áreas da psicologia e psiquiatria.
Como consequência, o acesso aos dados deve restringir-se apenas aos profissionais que os utilizam, em vez de serem colocados em uma grande base em que todos do consultório têm acesso. Isso garante maior segurança e sigilo das informações.
Por último, deve-se entender por quanto tempo o armazenamento de dados de pacientes é uma obrigação legal do consultório. Segundo a Lei 13.787 de 2018, o armazenamento permanente deixou de ser necessário. De acordo com o Artigo 6º da norma, a guarda de exames é obrigatória por 20 anos. Passado esse tempo, a partir do último registro no prontuário do paciente, o documento em papel ou digitalizado poderá ser eliminado ou entregue ao paciente.
Além disso, a forma de descarte de dados deve acontecer de forma que terceiros não possam ter acesso a eles. Portanto, fichas físicas não podem simplesmente ser descartadas e jogadas no lixo, antes é necessário garantir que fiquem ilegíveis, uma boa opção é a utilização de trituradores de papel.
Caso a base de contatos seja formada pelos clientes da empresa, não será necessário apagar. Contudo, o tratamento dos dados deve ser para a finalidade específica que justifique o seu uso de acordo com as bases legais, como já tratado em artigos anteriores.
Se alguma base de dados pessoais ou parte dela não estiver adequada quanto à finalidade e não possua uma base legal para o seu tratamento, recomenda-se o descarte destes dados, após estudo por um advogado.
Caso a base de dados tenha sido adquirida por meio de terceiros, provavelmente ela deverá ser apagada, caso os titulares dos dados não saibam que a empresa trata estes dados pessoais.
Uma forma de remediar o problema é solicitar o consentimento dos titulares.
Se por um lado o usuário tem direito de pedir para ser esquecido, por outro, muitas regulamentações proíbem a remoção de dados.
Por exemplo, no mercado financeiro a regulação especifica que se deve manter as informações do cliente e das transações por 5 a 15 anos, dependendo do tipo de cliente e do tipo de transação.
Deve-se equilibrar as duas coisas, montar uma estratégia para, caso aquela informação esteja aberta ou compartilhada, acabar com o compartilhamento. A partir disso, marca-se o dado como indisponível para estudo ou análise, mas ele continua dentro da base de dados para poder atender a requisitos regulatórios externos.
Esses requisitos variam de mercado para mercado. Cada empresa precisa conciliar o direito do esquecimento com os requisitos regulatórios aos quais cada uma delas está submetida.
Outro complicador do direito de esquecimento é que não basta você apagar as informações da base de dados da empresa, é necessário apagar as informações em toda a cadeia de fornecedores para quem foram compartilhados aqueles dados.
É importante entender quando deve ocorrer o término do tratamento de dados:
A regra geral, ao se terminar de tratar os dados é a eliminação. Porém, a conservação é autorizada quando:
Outro exemplo disso são as obrigações trabalhistas que podem ser demandadas judicialmente por até 2 anos após o fim do vínculo. Nesse caso, ter os dados do funcionário por esse período é essencial.
Muitas vezes a empresa não precisa de dados identificáveis, estatísticas como quantos acessos se teve no site por determinado período de tempo.
Conteúdo escrito por Matheus Almeida Camargo, aluno da Faculdade de Direito da USP
Estagiário do Departamento Tributário do MCK Advogados
Todos os direitos reservados © Moreira Cesar & Krepp Sociedade de Advogados 2022 | Desenvolvido por Inova House