A Lei Federal número 13.709/2018 – a já conhecida Lei Geral de Proteção de Dados (LGPD) vigora no Brasil desde 18 de setembro de 2020 e redação traz as coordenadas de como realizar tratativas e armazenamento de informações pessoais (tanto de pessoas naturais quanto de pessoas jurídicas), entes de Direito Privado ou Público.
Em discussões internas nas empresas um dos assuntos mais comentados é de que forma se utilizará as informações pessoais cedidas de forma voluntária pelas pessoas com as quais as empresas fecham negócios.
Lei de Proteção de Dados – LGPD: o que é?
LGPD é um compilado de leis que determina os processos de coleta e utilização de dados pessoais e dados sensíveis no Brasil; seja por pessoas naturais e por pessoas jurídicas de Direito Público ou Privado, assim como as sansões em caso de descumprimento das obrigações impostas por força legal.
Dado pessoal e dado pessoal sensível
Dado pessoal é toda informação relacionada à pessoa natural identificável ou identificada. Exemplificando: nome completo, endereço eletrônico (e-mail), o IP do computador, fotografias pessoais, endereço residencial, número de telefone e números dos documentos pessoais e registros profissionais.
Dado pessoal sensível é a informação sobre pessoa natural que trate de origem racial ou étnica, opinião política, convicção religiosa, filiação a sindicato ou a organizações de caráter filosófico, político ou religioso, informação sobre saúde ou vida sexual, dado genético ou biométrico.
Mudanças nas empresas com a Lei Geral de Proteção de Dados
Houve mudanças relevantes na forma das instituições públicas ou privadas coletar, bem como de utilizar e armazenar dado. Com a vigência da LGPD, só serão realizados com a expressa autorização do cedente (ou do responsável legal, se menor ou incapaz). A empresa informará por qual motivo está solicitando tal dado, com garantias de utilização exclusivamente para aquele fim e de que a pessoa terá livre acesso à integralidade dos dados mantidos em posse da empresa, desde que com prévia requisição. Também poderá requerer alterações ou a exclusão dos seus dados a qualquer momento. A exceção é quando essa coleta de dados tiver finalidade tributária.
A pessoa que fornecer os dados também terá o direito de ser informada de que forma seus dados serão armazenados e durante quanto tempo.
Operação empresarial para se adequar às exigências da Lei
Inicialmente, recomendamos que a empresa eleja um profissional que será responsável pelo tratamento dos dados (denominado Data Protection Officer (DPO) ou encarregado) e também será o representante da empresa controladora dos dados perante o titular dos dados e as autoridades. Se possível, contratar a assessoria de advogados com conhecimento em direito digital, com foco em estratégia empresarial e direito do consumidor.
Sugerimos criar um registro de operações de tratamento de dados pessoais. Além de ser uma obrigação do artigo 37 da LGPD, esse controle permitirá uma visão global dos dados armazenados, seus titulares e de que forma esses dados circulam dentro da corporação. As empresas ou instituição públicas precisam criar uma nova cultura na forma de tratamento dos dados pessoais que armazenam em seus sistemas, visando evitar o descumprimento da LGPD.
Aconselhamos que todos os setores, empregados, parceiros comerciais e terceirizados que tenham acesso aos dados pessoais de terceiros estejam cientes da existência dessa lei e sejam treinados para o cumprimento das obrigações impostas por força na norma legal. Com protocolos bem definidos, execução consistente do fluxo de coleta e tratamento de dados, a chance de ocorrerem falhas ou desvios do padrão operacional da empresa é reduzida, evitando a possibilidade de problemas legais futuros.
A depender do volume de informação contida no banco de dados a ser protegido, seria viável a contratação de anonimização ou criptografia de dados. Com o objetivo impedir que terceiros estranhos leiam, comprometam, editem ou roubem os dados que foram criptografados, a criptografia também permite que os dados sejam compartilhados em segurança, pois garante a confidencialidade, integridade e identidade dos dados sensíveis da sua empresa.
Por fim, a empresa deve desenvolver termos e políticas de privacidade que sejam sucintos, com linguagem de fácil compreensão para os clientes e que realmente sejam lidos e compreendidos pelos usuários antes de validar a autorização de coleta e utilização de dados. Após isso, o próximo passo seria criar os fluxos de armazenamento, atualização dos dados e forma de descarte depois de finda a motivação da coleta, para que o ciclo dos dados se feche de forma segura.
O conteúdo deste artigo é meramente informativo e não pode ser comparado a um parecer profissional sobre o assunto abordado. Os esclarecimentos sobre mudanças nas empresas em virtude da vigência da Lei Geral de Proteção de Dados devem ser sanados em consulta com profissional habilitado. Sugerimos sempre consultar um advogado.