A Lei Geral de Proteção de Dados (LGPD) foi publicada em 14 de agosto de 2018, e desde então, muito se fala sobre as mudanças que ela trouxe para a sociedade e para a forma com que as empresas e as pessoas se relacionam com os dados pessoais.Se antes uma pessoa informava seus dados deliberadamente a qualquer interessado, agora ela se questiona do porquê de determinado dado ter sido solicitado. Ela reflete se o seu fornecimento realmente é necessário e quais são os riscos envolvidos neste caso.

Esta preocupação também se tornou presente no dia a dia das outras partes envolvidas nesta relação, como empresas, organizações e até mesmo pessoas físicas que eventualmente tratam referidos dados de terceiros. Estes, aos olhos da LGPD, são intitulados de Agentes de Tratamento.

Os Agentes de Tratamento dividem-se entre Controlador e Operador, sendo o Controlador aquele responsável pelas decisões envolvendo o tratamento de dados pessoais de um determinado titular. Já o Operador é aquele que, ocasionalmente, trata dados em nome do Controlador.

Quanto ao tratamento de dados, entende-se como sendo a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Há algum tempo, a segurança dos bancos de dados das empresas é pauta de debates e investimentos, principalmente quando nos deparamos com manchetes jornalísticas como “3 milhões de números de CPF vazam do banco de dados da…” ou “Grupo de hackers invade e criptografa as credenciais de acesso de 10 milhões de usuários do…”.

Instituições financeiras, por exemplo, investem milhões por ano em sistemas de cibersegurança e mecanismos de proteção virtual, entretanto, esta não é a realidade da maior parte do país.

A grande maioria dos envolvidos no tratamento de dados pessoais ainda estão se adequando a esta nova realidade. É muito comum ver-se o compartilhamento deliberado de informações pessoais de clientes, sócios ou familiares, por meio de e-mail, mensagens de WhatsApp, entre outros, sem qualquer critério. Não é à toa que os golpes envolvendo engenharia social estão cada vez mais frequentes.

A Lei Geral de Proteção de Dados não foi criada apenas para dizer o que pode ou não ser feito quanto ao tratamento. Ela foi criada para proteger os titulares destas informações e definir meios de fiscalização, controle e até mesmo sanções, em razão do uso irregular ou ilegal destas informações.

Considerando alguns questionamentos feitos no dia a dia por aqueles envolvidos no tratamento de dados pessoais, destacaremos aqui 4 pontos da LGPD que merecem atenção. São eles: 1) Consentimento; 2) Finalidade; 3) Direitos dos Titulares; e, 4) Medidas de Segurança.

1º CONSENTIMENTO: A LGPD define o consentimento como sendo “a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”, ou seja, nada mais é do que o direito da pessoa física – titular de dados pessoais – de ser informada pelo interessado no tratamento destes, acerca da necessidade de utilizar determinados dados para certa finalidade, podendo o titular consentir ou não.

Mas e se o titular não autorizar? Bom, a legislação prevê em seu artigo 11, inciso II, algumas possibilidades em que os dados pessoais de um indivíduo poderão ser tratados sem o seu consentimento prévio, no entanto, não sendo verificada nenhuma dessas hipóteses, e, sendo INDISPENSÁVEL o tratamento de dados para uma determinada finalidade, por exemplo permitir o acesso à uma plataforma de streaming, o titular que não consentir poderá ser impedido de utilizar o serviço.

Haverá casos em que o tratamento de determinados dados não é essencial para a utilização e/ou aquisição de certos serviços e produtos, sendo utilizados apenas para garantir benefícios extras. Nestas hipóteses, mesmo o titular de dados não consentindo com o seu tratamento, ele poderá utilizar ou adquirir o serviço ou produto que lhe interessa, no entanto, não terá acesso aos eventuais benefícios disponíveis.

Um exemplo muito comum é o fornecimento de nome e CPF para obtenção de descontos em produtos ou pontos em promoções e sorteios. Em regra, o cidadão não precisa fornecer seus dados para adquirir o produto desejado, no entanto, caso queira participar das promoções de sorteios ou obter descontos eventualmente fornecidos através de programas de fidelidade, deverá fornecer e consentir com o tratamento das respectivas informações.

2º FINALIDADE: Como dito acima, o tratamento de dados pessoais deverá ser feito mediante consentimento prévio, salvo as exceções prevista em lei e, para obter tal consentimento, o titular deve ser informado sobre a sua real e específica finalidade, sem definições genéricas, sob pena de nulidade da declaração de consentimento.

Nada impede que o Controlador utilize estes dados para outros fins, entretanto, o Titular deverá ser informado previamente da alteração da finalidade e deverá consentir expressamente com o tratamento dos seus dados para este novo fim.

3º DIREITOS DOS TITULARES: Quem nunca escutou aquela famosa frase “eu conheço meus direitos”? Pois bem, o Capítulo III da LGPD, que vai do artigo 17 ao 22, trata inteiramente dos direitos do cidadão acerca do tratamento dos seus dados pessoais.

Os seus direitos são vários, assim como as formas de exercê-los, porém de forma resumida, o titular poderá confirmar quais dos seus dados exatamente estão sendo tratados. Também poderá requerer o acesso aos seus dados, solicitar sua correção, complementação, atualização, anonimização, bloqueio ou até mesmo a eliminação de dados desnecessários, excessivos ou tratados indevidamente.

Também podem ser requeridas informações sobre as entidades públicas e privadas com as quais o Controlador realizou uso compartilhado destes dados, requerer sua portabilidade para outra instituição ou revogar o consentimento outrora concedido. Em caso de revogação, o Titular também poderá solicitar a eliminação dos dados até então tratados, salvo exceções previstas no artigo 16 da LGPD.

O Titular também pode obter informações sobre a possibilidade de não fornecer o consentimento para tratamento de dados pessoais e as consequências da negativa, conforme exposto 1º tópico.

É fundamental aos Controladores e Operadores conhecerem e respeitarem os direitos destes Titulares conforme previstos na LGPD, sob pena de sanções administrativas pela Agência Nacional de Proteção de Dados.

4º MEDIDAS DE SEGURANÇA: A LGPD também prevê a obrigação dos Agentes de Tratamento em adotar medidas de segurança, técnicas e administrativas, para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas.

Estas medidas não se resumem meramente na utilização de softwares de segurança ou procedimentos técnicos altamente complexos. O fator humano também deve ser trabalhado, isto significa que todas as pessoas envolvidas no tratamento dentro de uma empresa ou organização deverão ser treinadas e orientadas acerca das boas práticas da segurança de dados pessoais.

Neste sentido recomenda-se a criação de uma política interna voltada à segurança da informação e boas práticas.

Ainda, se possível, recomenda-se ao Agente de Tratamento a consulta de profissionais ou empresas especializadas em segurança da informação, para validar os procedimentos que eventualmente já estejam sendo aplicados dentro da organização, ou, se for o caso, adequá-los.

Buscamos sintetizar aqui 4 pontos que mais geram dúvidas aos Titulares de Dados Pessoais e aos Agentes de Tratamento, mas isto não é tudo. Há diversos outros tópicos da legislação que merecem atenção, principalmente os envolvendo dados pessoais de crianças e adolescentes, dados pessoais sensíveis, transferência internacional de dados, entre outros, dos quais falaremos um pouco mais nas próximas semanas.

Se você ainda tem dúvidas o tratamento dos seus dados ou se sua empresa está operando de acordo com o estabelecido na LGPD, não hesite em procurar um profissional adequado para auxiliá-lo.