Muito se fala sobre a Lei Geral de Proteção de Dados Pessoais (LGPD) e os riscos à proteção da privacidade no meio digital.
Afinal, quem precisa se adequar? Por quê? Como implementar? Que direitos a lei traz para o cidadão? O objetivo deste texto é responder a essas perguntas básicas, deixando de lado o malfadado “juridiquês”.
O que é a LGPD?
A Lei 13.709, intitulada como Lei Geral de Proteção de Dados Pessoais, ou simplesmente LGPD, foi aprovada em 2018. Seu objetivo é garantir ao brasileiro mais controle do uso de seus dados pessoais por terceiras pessoas. Assim, respeitando o direito constitucional à privacidade.
Quais são as partes envolvidas?
De um lado, temos o cidadão como titular de dados pessoais. De outro, instituições públicas e privadas, tais como empresas e órgãos governamentais, como agentes de tratamento desses dados. Ou seja, pessoas jurídicas que coletam, utilizam, manipulam e controlam dados pessoais.
O que são dados pessoais?
Além do nome, telefone, endereço e informações que constam nos documentos do cidadão, há outras informações que compõem essa lista.
As características físicas de uma pessoa, bem como sua imagem conceitual, são entendidas como dados pessoais. Outro exemplo interessante são as referências comerciais para limite de crédito e os dados financeiros do cidadão.
Dados sensíveis
Existem dados pessoais muito delicados, que expõem uma condição de fragilidade social, minoria ou sectarismo capaz de gerar preconceito. Por isso mesmo, são chamados na LGPD de dados sensíveis.
Um boletim médico que acusa uma doença grave, a opção religiosa, bem como informações étnico-raciais e de identidade de gênero se enquadram nessa categoria. Para usar esse tipo de dado pessoal, é preciso muita cautela e uma justificativa razoável.
Onde os dados pessoais circulam?
Atualmente, os dados pessoais compõem não apenas os cadastros físicos e digitais para podermos nos relacionar. Eles também são captados de forma menos visível, por meio de cookies e outros mecanismos digitais.
Nesse caso, são utilizados para o direcionamento de campanhas de marketing, oferta de produtos e estudos de hábitos, navegação na internet e preferências de compras.
Como fica o compartilhamento de dados?
Com a LGPD, o tratamento de dados pessoais, incluindo o compartilhamento por parte da empresa que os recebeu, precisa ser cuidadosamente documentado e informado ao titular. Portanto, não quer dizer que nenhum dado pessoal poderá mais ser compartilhado.
O objetivo da LGPD não é restringir a utilização de dados pessoais para fins econômicos. Ela surgiu para garantir que eles serão tratados com mais transparência, controle e segurança. Caso contrário, serão aplicadas punições severas a quem desrespeitar a lei.
O papel do controlador e do operador de dados
Tanto a empresa que coleta os dados pessoais, como suas parceiras comerciais que operam tais dados, são responsáveis por esse tratamento adequado. A primeira é chamada de controladora e a segunda, de operadora. As duas devem garantir que os dados sejam utilizados estritamente para os fins necessários.
Juntos, controladores e operadores de dados são considerados como agentes de tratamento. Em se tratando de dados sensíveis, a LGPD determina que o processamento requer cuidados especiais. Isso porque a divulgação pode resultar em danos imediatos. Portanto, os dados devem ser solicitados apenas para finalidades bem específicas.
O que é tratamento de dados?
Interessante notar que a LGPD tem um conceito bem abrangente do que é tratamento de dados. Na prática, estão sujeitos à lei todos os procedimentos envolvendo dados pessoais, como coleta, produção, difusão, classificação, utilização e processamento dos dados. O simples fato de manter tais informações em arquivo, ainda que sem qualquer uso direto, configura tratamento de dados. Assim, vai sujeitar o controlador e o operador às regras da LGPD.
Direitos do titular
A LGPD garante ao titular dos dados pessoais o acesso às informações coletadas ou compartilhadas por empresas ou órgãos públicos. Ele pode exigir correções ou mesmo revogar o consentimento de uso, de modo a solicitar a exclusão de tais informações daquela base de dados.
Esse é um direito apenas das pessoas físicas, e faz sentido. Isso porque seria um contrassenso falar de dados pessoais de organizações, sejam elas comerciais ou governamentais.
Deveres dos agentes de tratamento
Do lado das empresas e órgãos públicos, a LGPD faz uma série de exigências para justificar o bom uso de dados pessoais de terceiros. Deve haver um objetivo razoável nesse uso.
Ele pode ser por legítimo interesse da empresa controladora para o cumprimento de um contrato ou de uma obrigação legal. Além disso, para fins de promoção da saúde, proteção do crédito ou pesquisa.
Se nenhuma dessas hipóteses for aplicável, só poderá fazer o uso de dados pessoais por consentimento expresso e consciente do titular.
Uma opção que não fere os direitos dos titulares é tornar os dados anônimos. Aqui, a ideia é usar de meios técnicos razoáveis e disponíveis durante o tratamento das informações para que elas deixem de estar associadas a um indivíduo. Isso vale para aqueles usos que buscam estatísticas, parâmetros gerais e médias, sem a necessidade de individualização das informações.
Para se adequarem à LGPD, as organizações precisam fazer um levantamento de quais dados pessoais elas efetivamente tratam. Assim, propõem soluções que respeitam a privacidade dos titulares. Para isso, devem contar com uma equipe liderada por um encarregado de dados. Ele criará documentos, relatórios, normas e procedimentos internos de coleta, uso e armazenamento dessas preciosas informações.
Como funciona a fiscalização?
Para zelar, implementar e fiscalizar o cumprimento da LGPD, o governo federal criou a Autoridade Nacional de Proteção de Dados, conhecida como ANPD. Trata-se de uma agência governamental responsável por disseminar a cultura de proteção de dados pessoais.
A ANPD, pela lei, deve ser comunicada em caso de vazamento de dados e deverá fiscalizar as empresas. Cabe a elas demonstrar que os dados estão sendo tratados, conforme as determinações legais. Em caso de descumprimento da lei, as multas podem chegar a 2% do faturamento líquido anual da empresa, com potencial de alcançar até 50 milhões de reais por infração.
Como reduzir o risco de punições?
Há vários procedimentos a serem adotados pelos agentes de tratamento para proteger a integridade dos dados pessoais tratados. Manter todos os sistemas com a versão atualizada e não compartilhar senhas com terceiros são formas de reduzir os riscos de segurança da informação. Colaboradores devem ser instruídos a só instalar programas e aplicativos autorizados nas máquinas e nunca baixar arquivos ou clicar em links sem saber do que se trata.
Também é importante antever os riscos e falhas possíveis dentro daquela organização. Ou seja, criar um plano de contingências a ser aplicado quando ocorrer um incidente de vazamento de dados ou outra falha de segurança da informação.
O que todos precisam saber sobre a LGPD?
Em poucas palavras, pode-se dizer que a Lei Geral de Proteção de Dados Pessoais chegou para impedir que informações sejam utilizadas de forma indiscriminada. Assim, evita gerar conflitos de privacidade e segurança da informação aos cidadãos.
Numa sociedade cada vez mais digital, esses dados se tornaram valiosos não apenas para seus titulares, já que compõem a sua própria personalidade. Eles também são muito importantes para as organizações, pois são estratégicos para fins sociais e comerciais.
Assim, o tratamento de dados pessoais só estará em equilíbrio quando as duas partes envolvidas fizerem o seu papel. Por um lado, o cidadão precisa cobrar das organizações o cuidado garantido pela lei, exigindo a exclusão de dados mal utilizados.
Por outro, as empresas e órgãos governamentais precisam criar mecanismos de controle e adequação de uso, de forma a respeitar o direito constitucional à privacidade. Quem ganha é a sociedade, que caminha para um futuro digital que precisa ser minimamente seguro.
Veja também:
O digital também se consome: a internet e os novos hábitos de consumo
