Objetivando a regulamentação de responsabilidades e deveres para quem armazena e realiza o tratamento de dados pessoais, estabelecendo os direitos dos Brasileiros; em 2018 foi promulgada a LGPD, inscrevendo o Brasil em uma lista com mais de cem países que possuem leis para proteção de dados pessoais. É recomendável que se inicie as adequações, as quais devem ser com base em um mapeamento de todo o ambiente relacionado com o “Tema”.
Nesta publicação temos o objetivo de chamar a atenção para uma matéria que estará em pauta nos próximos meses das atividades operacionais de Empresas que efetuam tratamento de dados pessoais. Em oportunidades anteriores citamos sobre a LGPD. “Lei Geral de Proteção de Dados Pessoais”, que foi aprovada em agosto de 2018 e visa regulamentar os dados pessoais coletados, tratados e armazenados pelas Empresas, entre outras organizações. Esta nova Lei cria um cenário de segurança jurídica para padronizar boas práticas, promovendo a proteção igualitária aos dados pessoais de todos os clientes, aplicada aos dados de pessoas naturais, coletados ou tratados.
Conforme a Lei, toda informação que resulte na identificação direta ou indireta uma pessoa ou torná-la identificável são dados pessoais. Assim, exemplos destes dados são: nome, endereço, números únicos identificáveis (RG, CPF, CNH), geolocalização, endereço de IP (protocolo da internet), cookies e outros. Há uma subcategoria de dados pessoais, que são “dados sensíveis”: dada a sua relevância e importância demandam de mais proteção do que o dado comum. Esses dados são relativos à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico quando vinculado a uma pessoa natural. Também aborda o “dado anonimizado” que é relativo ao “titular” que não possa ser identificado, considerando a utilização de meios técnicos disponíveis na ocasião de seu “tratamento”. Esse dado é aquele que perde a possibilidade de associação direta ou indireta do “Titular”.
Depois de conceituar sobre os três tipos de dados que a LGPD , entendemos que o “Titular” dos dados pessoais é a pessoa a quem estes dados referem-se sendo efetuado tratamento, outra percepção é que a lei afeta qualquer órgão que capte qualquer tipo de dados pessoais de seus clientes ou usuários. Na LGPD (Artigo 46) Prevê a privacidade desde a concepção. Isso determina que as empresas devem incorporar a privacidade dos dados em todos os estágios: modelagem, operação, gerenciamento e encerramento, de um determinado sistema, projeto ou negócio. Visando transparência, todas as empresas que, para exercer suas atividades com fins econômicos, obtêm ou trabalham com dados pessoais, sejam eles por meios digitais ou não, devem respeitar as regulamentações da Lei n° 13.709. Na primeira impressão, a implementação da LGPD pode ser vista como despesas, além da necessidade de se enquadrar em regras, possuir relatórios, auditorias e outras questões, seu descumprimento acarreta em penalidades que podem ser financeiras (multas), advertências formais e até proibição parcial ou total das atividades relacionadas a “coleta” e “tratamento” de “dados pessoais”.
Em uma perspectiva de investimento, os dados coletados e armazenados podem ser utilizados como estratégias de vendas, já que a transparência no manuseio dos dados gera credibilidade para a empresa, consequentemente maior confiança e fidelidade dos clientes. Além disso, um banco de dados estratégico, com informações selecionadas e filtros mais precisos, possibilita que inovações, novos produtos ou serviços tenham maior percentual de aceitação, aquisição e aderência. Todo negócio que capte informações pessoais deve se adaptar, isso vai desde uma loja que faça cartão de fidelidade com base no CPF até redes sociais, consultórios, empresas que enviam e-mail marketing ou propagandas enviadas por aplicativos; se possui um dado pessoal, deve-se cumprir a LEI. É importante destacar que a lei não aborda apenas dados de terceiros como clientes, o setor de RH, por exemplo, possui em seus processos diários diversas informações de colaboradores que devem ser mantidas em sigilo. A mudança que mais afeta é a necessidade de possuir base legal para tratar os dados, ou seja, para coletar e processar um dado do usuário, precisa existir um motivo. A lei segue os Princípios da Finalidade e da Necessidade: coletar estritamente o necessário para propósitos legítimos, específicos e explícitos.
Em base legal, as hipóteses que autorizam o tratamento de dados, é o “consentimento”, que deve ser claro, explícito e evidente, sendo necessários documentos comprobatórios da permissão de uso dos dados. As empresas também precisam possuir relatórios com tudo que foi coletado de um “Titular”, já que é um direito da pessoa solicitá-los, e até mesmo exigir que seus dados sejam excluídos permanentemente da base de dados da empresa. O consentimento é uma das dez bases legais que compõem essa legislação.
O “tratamento” é toda operação realizada com os dados, referente a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Os agentes de tratamento, de acordo com a lei, são o “controlador” e o “operador” de dados pessoais. O controlador é uma pessoa natural ou jurídica, que decide como os dados serão processados, qual será o tratamento e a finalidade. O operador, por sua vez, realiza o tratamento de dados pessoais em nome do controlador, e não possui nenhum papel decisivo. Têm a responsabilidade de prestar contas, demonstrando a adoção de medidas capazes de comprovar a eficácia da segurança da informação no cumprimento das normas de proteção dos dados pessoais. Os agentes de tratamento devem utilizar medidas tecnológicas e administrativas para proteger os dados pessoais de acessos não autorizados e incidentes que possam levar a quebra da sua integridade.
A empresa pode estabelecer uma outra função para administrar os processos da LGPD, o “encarregado de dados” ou DPO (Data Protection Officer), sua atividade consiste em criar procedimentos e protocolos internos para que as empresas possam efetuar “tratamento de dados” em conformidade com a LEI. Algumas de suas responsabilidades são aceitar reclamações, prestar esclarecimentos aos titulares e as autoridades, orientar as empresas, executar diretrizes, desenvolver relatórios, analisar e reportar condutas fora da conformidade.
A Inovação Tecnologia tratará as demandas dos clientes com relação a LGPD de forma individualizada, sendo que cabe a cada Empresa alinhar com a sua equipe a implementação de boas práticas relacionadas a Lei, infraestrutura em recursos tecnológicos e segurança da informação até mesmo no que diz respeito a parte física para acesso às dependências de uma organização. Portanto recomendamos que seja efetuado um estudo sobre as responsabilidades e obrigações, sendo necessário o envolvimento de todo o quadro de pessoal, estabelecendo lideranças que possam conduzir o processo de adequação de forma a criar documentação interna para fins de consulta e aprimoramentos.