A LGPD, lei sancionada em agosto de 2018 e que entrou em vigor em setembro de 2020, estipula uma série de obrigações para empresas e organizações sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, tanto online quanto offline, e também aqueles armazenados em meio físico (papel). Essa lei só se refere a dados de pessoas físicas, e prevê multas e penalidades consideráveis no caso de não cumprimento dos seus requisitos.
Este artigo deve ser considerado como uma introdução ao assunto. Para a implantação de uma política de adequação à LGPD em uma empresa, é importante buscar assessoria especializada.
De maneira muito resumida, pode-se dizer que a LGPD determina que a propriedade do dado é da pessoa a quem ele se refere, independente de ele ter sido produzido por outra pessoa ou empresa, e quem quiser armazenar e dar qualquer tipo de tratamento a esse dado deve estar protegido por uma das 10 bases legais previstas, que serão vistas mais adiante, caso contrário deve excluir esse dado.
Dado Pessoal e Dado Pessoal Sensível
Dado Pessoal é toda e qualquer informação que identifique ou que possa vir a identificar uma pessoa, e Dado Pessoal Sensível é aquele sobre “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.
Tratamento de Dados
Tratamento é qualquer operação realizada com um dado, da coleta ao descarte. A LGPD estipula normas para qualquer ação de tratamento de dados pessoais: como a coleta, classificação, utilização, compartilhamento, reprodução, processamento, arquivamento, armazenamento etc.
Atores e Papéis
Existem dois principais agentes, com papéis e responsabilidades específicas: o controlador e o operador.
Controlador é a empresa/organização que toma as decisões em relação aos dados pessoais, que define quando e como os dados serão coletados, para quais finalidades serão utilizados, onde e por quanto tempo serão armazenados;
Operador: É a empresa/organização que realiza o processamento dos dados sob as ordens do controlador. O operador não toma decisões em relação ao uso dos dados.
Bases Legais
As bases legais são hipóteses da LGPD que autorizam o tratamento de dados pessoais. A lei estabelece que para que qualquer pessoa, física ou jurídica, possa realizar qualquer operação com um dado pessoal – seja coletar, transmitir ou processar – é necessário possuir uma base legal presente na LGPD que justifique o tratamento desses dados. São 10 as hipóteses previstas na lei, sendo 4 as principais: Consentimento, Obrigação Legal, Contratos e Legítimo Interesse.
O Consentimento é definido como uma declaração clara e inequívoca da concordância da pessoa com o uso dos seus dados para as finalidades propostas pela empresa.
A Obrigação Legal, como o nome já diz, é quando a empresa trata dos dados pessoais por força de uma legislação vigente ao qual ela está submetida.
Os Contratos permitem o tratamento de dados pessoais em dois casos: para que seja cumprida uma obrigação prevista naquele contrato, ou quando o tratamento dos dados serve para a validação e início da vigência de um acordo.
O Legítimo Interesse pode ser uma hipótese de difícil comprovação, mas pode ser usada quando o consentimento do usuário for muito difícil de ser obtido ou considerado desnecessário, quando houver um impacto mínimo no indivíduo, ou ainda quando houver uma justificativa legal e convincente para a sua utilização. Deve ser analisado caso a caso com muito cuidado.
As demais bases legais para tratamento de dados pessoais são: Execução de Políticas Públicas, Estudos por órgãos de pesquisa, Processo Judicial, Proteção da Vida, Tutela da Saúde, e Proteção de Crédito.
Helmuth Grossmann Jr.
Gerente de TI