Entenda como se manter em conformidade com a chegada da LGPD

Compartilhar no linkedin
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no whatsapp

A LGPD apareceu para regulamentar as práticas de coleta e tratamento de dados que são feitas até mesmo sem o conhecimento do titular. Hoje, todos os usuários passam a ter o direito de saber como as empresas coletam, armazenam e utilizam seus dados pessoais.

O ponto focal da nova lei é que nenhuma companhia pode utilizar os dados de nenhum cidadão sem o seu consentimento explícito. A Lei também garante que a pessoa física solicite que seus dados sejam deletados, revogando um consentimento, transferir os dados para outro fornecedor de serviços, etc. E o tratamento dos dados pode ser feito levando em conta alguns aspectos, como finalidade e necessidade, que devem ser previamente acertados e informados ao cidadão.

No Brasil, as regras ainda não estão valendo. Segundo a Lei 14.010/20, a sanção começa a partir de 01 de agosto de 2021.

O regulamento geral de proteção de dados na Europa entrou em vigor no dia 25 de maio de 2018 e houve um estudo na qual se constatou que somente 28% das empresas se declararam em conformidade. Pesquisa realizada pela Capgemini em setembro de 2019.

É normal que as empresas não estejam preparadas quando a lei entrar em vigor, pois se trata de uma quebra de paradigma muito grande, muita coisa para se levar em conta com pouco tempo.

Criação de novos direitos a partir da sanção da LGPD

A primeira dúvida que surge é: exercitados em face de quem?

Segundo o Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento mediante requisição. Porém, no mesmo artigo, no parágrafo 3º, diz que os direitos previstos neste artigo serão exercidos mediante requerimento expresso do titular ou de representante legalmente constituído, a agente de tratamento.

Sendo que o agente de tratamento pode ser tanto o controlador, quanto o operador conforme a definição constante da Lei Geral de Proteção de Dados. Isso pode transparecer que o titular pode solicitar ao operador para o exercício do seu direito? É uma hipótese razoável, pois o titular dos dados pessoais não conhece a sua organização, não é do conhecimento dele como a empresa está estruturada em relação aos dados pessoais, Não tem como ele saber se a empresa opera por conta ou com ajuda de um terceiro.

As próprias organizações têm dúvidas quanto a sua qualificação jurídica dentro dessa relação, pois essa qualificação não é muito evidente. Então, em determinadas relações, você pode ser controlador para um dado ou em determinada circunstância, ou operador dentro da mesma relação entre duas pessoas jurídicas distintas.

Então, o titular do dado não irá saber, mas uma prática eventual nesses casos é, quando houver uma solicitação de exercício de direito titular, que o operador comunique, não é ético ele se abster sem dar vasão ao requerimento.

É importante que o controlador tenha domínio da comunicação, a LGPD é vista como um obstáculo ou como um freio por muitas organizações, mas ela é também uma excelente oportunidade para reforçar a comunicação com seus clientes, no caso os titulares dos dados com os quais a empresa trabalha.

Há direitos da LGPD além do Art. 18. Conheça alguns deles

Art. 9º – O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso.

Art. 17. – Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantido os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos desta lei.
Pode parecer algo simples, mas o Art. 17. reforça essa visão sobre dados pessoais, no qual o titular é o “proprietário” dos seus dados pessoais. Esses dados não pertencem a empresa que coletou, como era a visão que predominava até então.

Desafios Preliminares

Como autenticar o titular? Isso depende muito do segmento da sua empresa e da forma que ela está organizada. Um exemplo: Uma indústria online, um site de atendimento ao consumidor, uma das formas é a cadastro pelo login. Uma vez que o titular da conta está “logado” na sua plataforma, teoricamente ele já passou por uma fase de autenticação.

Entretanto, isso não se aplica a todo mundo. Essa recomendação não faz sentido para uma mineradora, por exemplo. Pois são perfis distintos, logo há fórmulas distintas de autenticar. Como a solução de elementos adicionais dessa pessoa

Novos direitos dos titulares dos dados 

– Confirmação da existência de tratamento;
Acesso;
– Correção de dados incompletos, inexatos ou desatualizados;
– Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
– Portabilidade dos dados;
– Eliminação dos dados tratados com consentimento;
– Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado dos dados;
– Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
– Revogação do consentimento.

O que é considerado por dados pessoas?

  • Saúde: dossiê médico e tratamentos;
  • Comportamento: navegação e consumo;
  • Comunicação: relações, redes sociais, interesses, grupos e opiniões;
  • Conteúdo: mídias, fotos, vídeos, podcast, conversas e ligações;
  • Identidade (identificação, biométrica e ideologia): nome, e-mail, telefone, número do IP, idade, sexo, religião, etc.;
  • Geolocalização: trajetos habituais;
  • Finanças: rendimentos e transações.

Art. 19. A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular:

I – em formato simplificado, imediatamente;

II – por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, fornecida pelo prazo de até 15 dias, contado da data do requerimento do titular.

Por se tratar de um prazo curto, a própria Lei diz que os dados serão armazenados em formatos que favoreçam o exercício do direito ao acesso.

“Eu interpreto isso como uma incitação ao utilizar dados estruturados. Quando você entra em uma empresa, a maioria dos dados estão em planilhas ou listas e é muito difícil identificar onde há os tratamentos, uma vez que os tratamentos estão desestruturados. Se a empresa trabalhar com sistema, com dados estruturados, isso se torna mais fácil”, relata Fernando Santiago, DPO e Sócio da Chenut Oliveira Santiago Advogados no evento de DPO Mastery realizado pela Blue Printt.

Na Europa, a Lei dá até 30 dias para essa tramitação. É provável que exista um lobby por determinados setores para rever o prazo de 15 dias no Brasil.

LGPD: Decisões automatizadas

Art. 20. O titular dos dados tem direito a solicitar a revisão de decisões tornadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.

Bom, quando o artigo cita as decisões tomadas unicamente com base em tratamento automatizado, ele não diz que a decisão é automatizada. E sim, tomada com base em tratamento automatizado, ou seja, o contador mastiga os dados, devolve o resultado para uma pessoa física, coleta as informações e toma a decisão com base em tratamento automatizado.

Quer saber mais sobre a LGPD? Acesse o nosso site para maiores informações.

Sobre o autor

Artigos relacionados

Estratégias baseadas em grandes ideias vencem

Cadastre-se para receber mais artigos como este e domine sua função

Usamos cookies e outras tecnologias semelhantes para melhorar a sua experiência com nossos serviços, personalizar publicidade e recomendar conteúdos de seu interesse. Ao continuar navegando, você concorda com tal monitoramento. Para mais informações, clique aqui.