Entenda como a Lei Geral de Proteção de Dados Pessoais irá afetar a forma com que as empresas e organizações captam, armazenam e utilizam dados de seus clientes, tanto no meio online quanto offline.

O que é a LGPD e qual seu impacto nas empresas?

A LGPD, ou Lei Geral de Proteção de Dados Pessoais, é a legislação brasileira que regula as atividades de tratamento de dados pessoais, com o objetivo de garantir à pessoa natural a autodeterminação informativa, ou seja, informações suficientes sobre os possíveis usos de seus dados para que haja uma escolha consciente sobre entregá-los; e a proteção contra abusos em relação a suas informações.

Essa lei é consequência de uma movimentação mundial em favor da proteção de dados, que vem ocorrendo desde a Segunda Guerra, especialmente na Europa, onde milhões foram condenados à morte nas câmaras de gás, ao terem seus dados pessoais revelados. O assunto adquiriu maior destaque por conta de escândalos atuais, como o vazamento pelo ex-técnico da CIA, Edward Snowden, da forma de vigilância global feita pela NSA (National Security Agency) e a manipulação política por meio de análise de perfil do usuário utilizada pela Cambridge Analytica durante as eleições norte-americanas de 2016.

Esses fatos trouxeram maior consciência mundial sobre uma realidade: vivemos no mundo da automação, da velocidade de informação e de processamento de dados, sem uma regulação quanto à forma de se obter e usar essas informações, poderemos facilmente incorrer em violações de privacidade e injustiças.

O cadastro de CPF nas farmácias, as curtidas no Facebook, o histórico de compras no e-commerce, as buscas no Google, os aplicativos que acessamos em nossos celulares, tudo isso deixa para trás pequenos fragmentos de dados pessoais. O conjunto deles forma um retrato artificial de quem nós somos. Gostos, características, personalidade, tudo isso é inferido, e a partir dessa identificação, uma série de ações são tomadas. Algumas delas aparentemente inofensivas, como prever produtos que gostaríamos de comprar, outras claramente prejudiciais, como o aumento do valor do plano de saúde ou a negação de empréstimos bancários.

É por conta disso que a proteção de dados importa, pois diz respeito a nossa identidade, a forma como somos percebidos e julgados. Além disso, uma falta de regulação pode acarretar em desconfiança e negação em relação à entrega de dados por parte dos cidadãos, o que significa um retrocesso, uma vez que o tratamento de dados pode ser muito benéfico para a sociedade se usado da maneira correta.

Por conta de todos esses fatores, diversos países, como Canadá, Argentina, Suiça, Nova Zelândia, Japão, e, em especial, os da União Europeia (UE), criaram leis que buscam esclarecer e regular a matéria. O Brasil, para integrar esse rol de países e receber os benefícios comerciais que a confiança na transmissão internacional de dados proporciona, cria a LGPD, baseando-se na atual lei de proteção de dados da UE, a General Data Protection Regulation (GDPR).

Na prática, a Lei Geral de Proteção de Dados Pessoais gera uma necessidade de adequação das empresas, não apenas em uma reestruturação das normas internas de compliance, como de toda sua cultura em relação ao tratamento de dados. Isso porque, a nova lei cria um órgão fiscalizador próprio, e o não cumprimento das adequações exigidas gerará sanções, entre elas, custosas multas.

A quem a LGPD se aplica e quais suas exigências mínimas

De início, é importante saber a quem essa lei se aplica. Sua abrangência engloba todo tratamento de dados pessoais realizado em território nacional, com as seguintes exceções:

1. For realizado por pessoa natural para fins particulares e não econômicos;
2. For realizado para fins jornalísticos, artísticos ou acadêmicos;
3. For realizado para fins de segurança nacional ou para investigação e repressão de crimes.

A própria lei define tratamento de dados como sendo toda operação realizada com dados pessoais, como as que se referem à coleta, produção, classificação, reprodução, transmissão, processamento, armazenamento, eliminação, avaliação ou controle da informação.

Assim, toda empresa que coleta e utiliza dados pessoais, ou seja, dados que identificam ou podem identificar uma pessoa natural, deverá seguir as normas estabelecidas pela LGPD.

Com esse entendimento, o próximo passo é conhecer os fundamentos e princípios da lei, para que se saiba em que foi baseada e como deve ser interpretada.

Seus fundamentos, elencados em seu Artigo 2, são:

1. Liberdade;
2. Privacidade e intimidade;
3. Livre concorrência e defesa do consumidor;
4. Cidadania e dignidade;
5. Inovação e desenvolvimento;
6. Autodeterminação informativa.

Esses fundamentos apontam para a essência da LGDP, uma legislação que busca tornar as relações envolvendo dados pessoais mais transparentes, informativas e seguras.

Seus princípios, elencados no Artigo 6, são:

• Finalidade, adequação e necessidade: os propósitos devem ser legítimos, específicos, explícitos e informados ao titulares; deve haver compatibilidade do tratamento de dados com o informado; e o tratamento deve ater-se ao mínimo necessário para a realização de suas finalidades.
• Livre Acesso, qualidade de dados e transparência: é garantida ao titular consulta facilitada e gratuita sobre a forma, duração e integridade do tratamento; os dados devem ser exatos, claros, relevantes e atualizados; e as informações ao titular sobre o tratamento e sobre os agentes devem ser claras e precisas;
• Não discriminação, impossibilidade de tratamento para fins discriminatórios, ilícitos ou abusivos;
• Segurança, prevenção, responsabilização e prestação de contas: devem ser utilizadas medidas técnicas e administrativas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas, e para prevenir a ocorrência de danos; e deve ser demonstrada pelo agente a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais.

Esses princípios são norteadores e devem ser observados como exigência mínima para uma boa atividade de tratamento de dados pessoais, além de serem utilizados nos casos em que houver alguma dúvida interpretativa ou nos casos em que a legislação for omissa.

Uma vez entendidas as bases da criação da lei e suas exigências mínimas, as empresas devem, finalmente, criar seu plano de adequação para garantir que suas condutas sejam regulares e não incorram em penalidades.

O que acontece se a empresa descumprir as regras da LGPD?

A LGPD entrará em vigor em 2021, e para garantir que suas normas serão cumpridas, foi criado em dezembro de 2018 um órgão próprio que terá como um de seus principais objetivo fiscalizar e aplicar sanções.

Esse órgão é a Autoridade Nacional de Proteção de Dados (ANPD), e dentro das sanções possíveis temos:

• Advertência e prazo para adoção de medidas corretivas;
• Publicização da infração;
• Suspensão parcial do banco de dados e do exercício da atividade de tratamento por 6 meses, prorrogáveis por igual período;
• Proibição parcial ou total do exercício da atividade de tratamento de dados;
• Bloqueio e eliminação dos dados pessoais;
• Multa diária;
• Multa simples, de até 2% (dois por cento) do faturamento, limitado a R$ 50.000.000,00 por infração.

A LGPD segue uma lógica para a aplicação da penalidade administrativa, baseando-se na gravidade da infração e a condição econômica do infrator. Para fazer essa determinação, leva-se em consideração o número de pessoas atingidas, o tipo de dado vazado, o motivo do incidente, reincidência da empresa, boa-fé, existência de políticas na empresa sobre privacidade de dados, entre outros elementos.

Felizmente, em casos de vazamento de dados, a lei dá um parâmetro, especificando o que o encarregado deverá fazer. Entre as ações está a elaboração de um plano sobre o incidente de segurança, detalhando o que aconteceu, que tipo de dados foram afetados, quais sistemas foram utilizados, quais os possíveis riscos, e quais medidas de mitigação a empresa irá adotar. Com esse plano, será possível uma diminuição da sanção.

Ao mesmo tempo, a partir desse parâmetro, será possível implementar na empresa treinamentos para que esse sistema possa estar preparado para funcionar, antes mesmo de incidentes ocorrerem.

A partir disso, é importante que a empresa desenvolva sistemas tanto para prevenir o vazamento e uso indevido de dados, como também para lidar com essas situações indesejadas. Dessa forma, a empresa terá segurança para tratar dados e evitar sanções.

O que sua empresa precisa fazer para se adequar

A LGDP traz às empresas uma mudança cultural: antes se via os dados pessoais como sendo de propriedade da empresa, podendo ela fazer o que bem quisesse com eles; agora, tem-se a visão de que os dados pessoais pertencem às pessoas, e que toda operação envolvendo-os necessita de especial atenção.

O processo de adequação exige a criação de um programa de governança em privacidade, que engloba dois escopos:

1. Alterações administrativas e estabelecimento da cultura da proteção de dados pessoais no âmbito da organização;
2. Articulação de um projeto que leve em consideração as adequações técnicas necessárias.

Sobre as alterações administrativas e a cultura de proteção de dados:

1. Para tal, de acordo com o porte de cada empresa, é importante eleger um comitê de adequação, representando os diferentes setores da empresa. Ele será responsável por oferecer o suporte necessário na execução do projeto de adequação;
2. Essa adequação deve, primeiramente, ser feita a partir de ações educativas, normas de segurança internas e corretos procedimentos para tratamento de dados pessoais;
3. É fundamental ter um profissional específico responsável pela segurança da informação;
4. Deve-se realizar a revisão de contratos e relacionamentos. Isso porque, a legislação coloca que a responsabilidade é compartilhada por todos que lidam com a informação, então se deve garantir que toda a cadeia de compartilhamento esteja de acordo com as regras;
5. É necessário que a empresa tenha um processo de exportação de dados, caso solicitado pelo usuário, o qual deve ser seguro, rápido e simples;
6. As empresas devem avisar ao usuário no momento em que qualquer falha de segurança ocorrer, ou o mais rápido possível, para que se possa mitigar os danos. Assim, é necessário um planejamento específico para lidar com essas situações;
7. Também deve haver proteção à empresa caso vazamentos ocorram. Uma boa opção, são seguros contra roubos de informação. Já existe uma série de produtos de seguro para proteção contra situações de vazamento ou descumprimento da legislação, analisá-los é fortemente recomendado;
8. Outro ponto importante de se ter é uma política de exclusão de dados do usuário. Isso porque, o chamado “direito do esquecimento” é um dos mais complicados de se lidar, uma vez que, se por um lado o usuário tem direito de pedir para ser esquecido, por outro, muitas regulamentações proíbem a remoção de dados.

Sobre as adequações técnicas necessárias:

1.  Para garantir a segurança do sistema e da informação, é importante: segregar as permissões e acessos; realizar testes de penetração e vulnerabilidade; monitorar o acesso aos sistemas; atualizar ferramentas como firewalls e antivírus; instalar redes privadas para comunicação; e redesenhar os processos internos, ligados ao fluxo dos dados, armazenamento e controles;
2. Deve-se também utilizar a criptografia de informações no dia-a-dia de todos que trabalham com dados pessoais;
3. Outra medida técnica importante é a comprovação da origem e do direito de uso dos dados, deve-se ter certeza sobre os dados que se está utilizando, uma vez que não basta apenas trabalhar de maneira correta, deve-se também garantir que a informação que está sendo utilizada tem as origens certas e está de acordo com a legislação. 
4. Por último, deve haver auditoria e rastreio dos tratamentos de dados, é importante que se saiba de tudo que está sendo feito o tempo todo. Com a auditoria, haverá maior facilidade em identificar eventuais problemas e sua solução.

Recomenda-se ainda que as empresas implantem um Programa de Governança em Privacidade, que, no mínimo:

• Demonstre o comprometimento do controlador com as boas práticas de proteção de dados pessoais;
• Seja aplicável a todo o conjunto de dados pessoais;
• Possa ser adaptável à estrutura, escala e volume de operações;
• Estabeleça políticas e salvaguardas adequadas para impactos e riscos;
• Busque relação de confiança e transparência com o titular;
• Preveja um plano de respostas a incidentes;
• Possua monitoramento, para ser avaliado e atualizado periodicamente;
• Ofereça provas de efetividade;
• Mantenha regras de boas práticas e de governança publicadas.

Diante do exposto, é importante considerar a necessidade da contratação de apoio especializado, tanto técnico quanto jurídico, a fim de garantir um processo de adequação correto e seguro.

LGPD e as Relações Trabalhistas

Para tratar das relações trabalhistas, é interessante começar analisando as hipóteses em que se podem tratar dados pessoais:

• Consentimento do titular;
• Cumprimento de obrigação legal ou regulatória;
• Execução de políticas públicas;
• Estudos por órgãos de pesquisa;
• Execução de contrato ou de procedimentos preliminares de contrato;
• Processo judicial, administrativo ou arbitral;
• Proteção à vida/ incolumidade física;
• Tutela da saúde;
• Legítimo interesse;
• Proteção ao crédito.

Dessas bases legais, talvez venha à mente o consentimento como base legal mais indicada para as relações trabalhistas, o que é um equívoco, visto que, por haver relação de subordinação dos empregados em relação ao empregador, o consentimento não será livre.

A base legal mais adequada para isso é a execução de contrato, e, em casos de processos seletivos, de procedimentos preliminares de contrato.

Caso haja necessidade de investigações internas sobre o cometimento de algum ato ilícito, a base legal mais adequada será o legítimo interesse.

Além disso, há alguns pontos que devem receber atenção na rotina trabalhista:

Recebimento de currículos: muitas vezes a empresa pode receber currículos sem nem mesmo pedir. O que deve ocorrer é o aviso ao titular sobre o que está sendo feito com os dados, e a obtenção do consentimento dos que não forem selecionados, para que o currículo integre a base de dados da empresa;

Elaboração de programa de manutenção e descarte de informações dos funcionários: é importante verificar quais informações devem ser mantidas, principalmente depois de o vínculo empregatício ser quebrado, e quais bases legais têm-se para isso;

Atenção com dados pessoais sensíveis: esses são os que revelam origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical, questões genéticas, biométricas e sobre a saúde ou a vida sexual de uma pessoa. Setores de RH são os que mais lidarão com esse tipo de dado, deve-se limitar o acesso apenas para os profissionais que de fato os utilizam.

Escolha das bases legais de acordo com o tratamento de dados: seja transparente com os funcionários sobre a finalidade do tratamento.

Com essas diretrizes, as relações trabalhistas estarão amparadas pela LGPD, vale lembrar que todos os princípios e normas já explicados valem também para as relações trabalhistas, bem como as multas em caso de irregularidades.

O que é o DPO? Sua empresa vai precisar de um?

Em seu artigo 41, a LGPD afirma que toda empresa controladora de dados deve indicar um Encarregado pelo Tratamento de Dados Pessoais, também chamado de DPO (Data Protection Officer).

Nesse mesmo artigo, é também previsto que a autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do DPO, podendo haver hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

O DPO será o responsável por fazer a comunicação interna e externa da empresa em relação ao tratamento de dados.

Ele garantirá que as iniciativas de adequação à LGPD sejam criadas, mantidas e aplicadas em toda a empresa.

Na comunicação interna

• Ele deverá conhecer muito bem a legislação e garantir que todos os funcionários entendam as implicações da lei e consigam se adequar;
• É importante que ele trabalhe de perto com os funcionários de tecnologia de informação, para que mecanismos de proteção contra acessos não autorizados sejam criados;
• Além disso, ele também é responsável por orientar a empresa e treinar funcionários para lidar com eventuais vazamentos de dados.

Na comunicação externa

• Ele é quem fará o contato da empresa com os titulares de dados e com a ANPD (Agência Nacional de Proteção de Dados).

De forma prática, o DPO deverá

• Criar um comitê de privacidade, composto pelo DPO e os altos executivos da empresa. Isso porque decisões que impactam toda a organização serão tomadas;
• Definir as políticas de privacidade, como serão aplicadas dentro da empresa, e qual a responsabilidade de cada funcionário;
• A partir disso, criar treinamentos e difundir essas políticas por toda a empresa;

Uma vez definidas as políticas a serem aplicadas dentro da empresa, elaborar políticas de relacionamento com fornecedores, com órgãos de regulação, e com o público.

Caso a empresa resolva indicar um funcionário para esse cargo, a recomendação é que ele não acumule essa função com as que ele já exerce, pois o cargo de DPO pode receber uma grande demanda de trabalho.

Na contratação, é importante frisar que a lei não determina a obrigatoriedade de uma certificação para o exercício dessa função. Porém, profissionais de direito ou TI e com especialização em LGPD ou certificação em DPO acabam sendo o mais recomendado.

Como a LGPD afeta a área da saúde?

A área da saúde, em especial os hospitais, consultórios e clínicas médicas, é um dos segmentos que mais precisará se preocupar com a Lei Geral de Proteção de Dados. Isso porque, tratam dados sensíveis de seus pacientes, ou seja, que são referentes à origem racial ou étnica, convicções religiosas ou filosóficas, questões genéticas, biométricas e sobre a saúde ou a vida sexual.

A atenção para lidar com esses dados deve ser ainda maior do que para lidar com dados pessoais comuns, pois esses são mais íntimos e podem ser classificados como direito ao segredo, que é uma forma de proteção de atos e fatos que se deseja manter sem o conhecimento de terceiros e que dizem respeito somente ao titular, cabendo a este o direito de revelar ou não. Consequentemente, as multas pelo vazamento são maiores.

Como já mencionado em artigos anteriores, é necessário haver conscientização dos funcionários a respeito do tema. Na área da saúde, 3 pontos são importantes:

• O sigilo online e offline sobre os pacientes;
• A forma de obtenção, armazenamento e acesso de dados;
• A forma de descarte desses dados.

Sobre o primeiro ponto, é importante que todos do hospital entendam que não apenas vazar prontuários é ilícito, mas que a própria conversa em relação a um paciente em locais que outras pessoas podem ouvir já configura uma quebra de sigilo de informações. O entendimento que se deve ter é que a proteção de dados vai além do mundo digital, e que se deve ser cauteloso também com as informações passadas em conversas, e com as pessoas que podem ouvi-la.

O segundo ponto trata sobre a obtenção de informações, a permissão para se trabalhar com dados nessa área é facilitada, pois além das hipóteses de permissão e de execução contratual, encaixam-se também as hipóteses de “proteção da vida” e de “tutela da saúde”.

A partir disso, é importante destacar o princípio da necessidade. Não se devem coletar dados desnecessários ao tratamento do paciente. Porém, dependendo da área, há uma necessidade de coleta grande de dados pessoais e sensíveis, por exemplo, nas áreas da psicologia e psiquiatria.

Como consequência, o acesso aos dados deve restringir-se apenas aos profissionais que os utilizam, em vez de serem colocados em uma grande base em que todos do consultório têm acesso. Isso garante maior segurança e sigilo das informações.

Por último, deve-se entender por quanto tempo o armazenamento de dados de pacientes é uma obrigação legal do consultório. Segundo a Lei 13.787 de 2018, o armazenamento permanente deixou de ser necessário. De acordo com o Artigo 6º da norma, a guarda de exames é obrigatória por 20 anos. Passado esse tempo, a partir do último registro no prontuário do paciente, o documento em papel ou digitalizado poderá ser eliminado ou entregue ao paciente. 

Além disso, a forma de descarte de dados deve acontecer de forma que terceiros não possam ter acesso a eles. Portanto, fichas físicas não podem simplesmente ser descartadas e jogadas no lixo, antes é necessário garantir que fiquem ilegíveis, uma boa opção é a utilização de trituradores de papel.

03 principais dúvidas sobre a LGPD

Com a LGPD vou ter que apagar toda a minha base de dados e contatos, ou parte dela?

Caso a base de contatos seja formada pelos clientes da empresa, não será necessário apagar. Contudo, o tratamento dos dados deve ser para a finalidade específica que justifique o seu uso de acordo com as bases legais, como já tratado em artigos anteriores.

Se alguma base de dados pessoais ou parte dela não estiver adequada quanto à finalidade e não possua uma base legal para o seu tratamento, recomenda-se o descarte destes dados, após estudo por um advogado.

Caso a base de dados tenha sido adquirida por meio de terceiros, provavelmente ela deverá ser apagada, caso os titulares dos dados não saibam que a empresa trata estes dados pessoais.

Uma forma de remediar o problema é solicitar o consentimento dos titulares.

Como conciliar as obrigações legais com o direito de esquecimento?

Se por um lado o usuário tem direito de pedir para ser esquecido, por outro, muitas regulamentações proíbem a remoção de dados.

Por exemplo, no mercado financeiro a regulação especifica que se deve manter as informações do cliente e das transações por 5 a 15 anos, dependendo do tipo de cliente e do tipo de transação.

Deve-se equilibrar as duas coisas, montar uma estratégia para, caso aquela informação esteja aberta ou compartilhada, acabar com o compartilhamento. A partir disso, marca-se o dado como indisponível para estudo ou análise, mas ele continua dentro da base de dados para poder atender a requisitos regulatórios externos.

Esses requisitos variam de mercado para mercado. Cada empresa precisa conciliar o direito do esquecimento com os requisitos regulatórios aos quais cada uma delas está submetida.

Outro complicador do direito de esquecimento é que não basta você apagar as informações da base de dados da empresa, é necessário apagar as informações em toda a cadeia de fornecedores para quem foram compartilhados aqueles dados.

Devo apagar os dados de um contato sempre que for solicitado?

É importante entender quando deve ocorrer o término do tratamento de dados:

A regra geral, ao se terminar de tratar os dados é a eliminação. Porém, a conservação é autorizada quando:

• Cumprir uma obrigação legal/regulatória;

Outro exemplo disso são as obrigações trabalhistas que podem ser demandadas judicialmente por até 2 anos após o fim do vínculo. Nesse caso, ter os dados do funcionário por esse período é essencial.

• Estudos por órgãos de pesquisa, garantida a anonimização;

• Transferências a terceiros, respeitados os requisitos da LGPD;

• Uso exclusivo do controlador, vedado o acesso por terceiros, e desde que anonimizados os dados;

Muitas vezes a empresa não precisa de dados identificáveis, estatísticas como quantos acessos se teve no site por determinado período de tempo.