Outros

LGPD: Tudo o que você precisa saber

Em agosto do ano de 2021, entrou em vigor a Lei Geral de Proteção de Dados – a famosa LGPD. Ela veio com o objetivo de colocar regras e limites na forma como as empresas captam e utilizam os dados de seus usuários, além de regulamentar a venda de informações e exigir certos níveis de segurança em seu armazenamento.

A legislação visa dar uma forma aos consumidores e usuários de saberem quais de seus dados as empresas possuem, além de poder exigir sua total exclusão. Nesse texto, vamos te explicar um pouco melhor sobre direitos e obrigações, tanto dos empresários quanto dos usuários.

Por que surgiu a LGPD?

Suponha que você vai a uma loja comprar uma roupa para você. Chegando lá, o atendente te diz que você precisa fazer um cadastro para poder realizar a compra. Você entrega seu nome, idade, endereço, alguns outros dados pessoais e os itens que você comprou.

Só com os seus dados e os de outras pessoas, a loja consegue filtrar informações como faixa etária e gênero dos consumidores dela, determinando assim um público alvo. Através dessa análise, a empresa consegue direcionar a publicidade para as pessoas que de fato são clientes em potencial, ou seja, transformou dados em conhecimento!

Fazer esse tipo de análise de dados não é errado, porém com o passar dos anos isso evoluiu, tanto no mercado privado quanto no âmbito público, o que fez surgirem problemas e abusos. Os dados começaram a ser vendidos, trocados, e os titulares passaram a ser vistos como métricas, transformando as informações dos usuários no principal ativo para as empresas.

A nova lei de sigilo de dados, a LGPD, foi criada com o objetivo de regular a forma que o tratamento de dados é realizado por empresas, órgãos públicos e pessoas físicas que tratam dados com finalidade econômica. Em outras palavras, proteger você tanto como usuário quanto como empresa.

O que muda com a LGPD?

Vivemos hoje na cultura do “Não li, aceito”, e a LGPD veio para mostrar a importância dos cuidados com o tratamento e armazenamento de dados. Ela trouxe regulamentações que autorizam empresas e órgãos públicos a terem os dados, desde que respeitem os direitos e liberdades fundamentais do titular.

Ou seja, o objetivo não é que os dados parem de ser analisados, mas sim que a pessoa dona deles possa saber no que eles serão utilizados e tenha controle caso não concorde com alguma coisa.

As empresas precisam agora mapear quais dados são de fato necessários para suas análises, sem coletar nada a mais que não seja primordial. O objetivo é manter o mínimo de informações possível dos usuários e clientes. Afinal, cada dado precisa ser devidamente justificado e autorizado pelo titular, além de ter um planejamento de segurança em cima.

E quais dados a LGPD protege?

A lei regulamenta os dados pessoais, que por definição é toda e qualquer informação que identifique ou possa identificar uma pessoa física. Os dados de CNPJ não estão protegidos pela LGPD.

Pelo senso comum, todos nós sabemos o que são dados pessoais: nome, identidade, CPF, título de eleitor… Mas a lei protege mais do que nós conhecemos por padrão.

Imagine um jogo de quebra cabeças: várias peças que individualmente não fazem muito sentido, porém quando se tem várias peças juntas é possível formar uma imagem. A mesma coisa acontece com os dados pessoais. 

Ter o dado de gênero sozinho, por exemplo, não identifica uma pessoa. A partir do momento que você juntar com outros dados, possivelmente você conseguirá identificar alguém.

Por exemplo:

  • Homem branco;
  • Tem 50 anos de idade;
  • É uma das pessoas mais ricas do mundo;
  • É CEO da Tesla Motors;

Junte todas essas informações e você conseguirá chegar num nome: Elon Musk. Veja que eu não precisei dizer os dados pessoais deles, mas junto esse conjunto de dados consegue identificá-lo com certeza

Então, a cor do cabelo, placa de um carro, IP do computador, podem ser considerados pessoais se juntos conseguirem identificar alguém!

Mas claro que por definição temos uma diferença na sensibilidade desses dados, o que chamamos de dados comuns e dados sensíveis.

Os dados comuns de forma geral são aqueles que todo mundo está mais do que acostumado a passar por aí: CPF, RG, endereço, nome completo, etc.

Já os dados sensíveis são aqueles que têm uma vulnerabilidade em comum: eles podem levar as pessoas a situações de discriminação. São dados que tratam sobre a etnia, raça, filiação a partido político, orientação religiosa, orientação política, filiação a sindicatos, e também a dados de saúde, genéticos e biométricos – um resultado de exame de HIV, por exemplo, pode levar uma pessoa a uma situação de discriminação.

Dados genéticos e biométricos também são sensíveis porque eles identificam para o resto da sua vida. Uma vez que a empresa tem a sua digital, ela te identifica pelo resto da vida, mesmo que você mude de nome. Se ocorrer um incidente de segurança, como vazamento de dados sensíveis, o risco aumenta.

Normalmente imaginamos que para o vazamento de dados acontecer é preciso que um hacker invada o sistema, ou algo do tipo, mas também é possível que os dados sejam vazados por funcionários que cometeram erros.

Um exemplo que aconteceu: a Anvisa tem uma lista das pessoas que usam remédios à base de Cannabis, o princípio ativo da maconha. Uma funcionária foi enviar um e-mail para essa lista de pessoas e ao invés de colocar os endereços de e-mail em cópia oculta, ela colocou todos os endereços no envio normal, ou seja, dados vazaram e o risco desses era maior, porque eram dados sensíveis.

Mas então é só pedir permissão para o usuário, certo?

Errado! A LGPD não é só consentimento! Para toda finalidade de uso dos dados você precisa ter uma base legal, que são as hipóteses de autorização para que a empresa possa tratar dados, ou seja, só pode-se tratar os dados desde que você esteja enquadrado em uma das hipóteses dispostas na lei.

A LGPD conta com 10 bases legais. Uma delas é o consentimento, que é uma autorização livre, inequívoca e específica para o tratamento dos dados. 

Livre: Porque não tem as opções de “aceito tudo” ou “não aceito nada”. É aqui que entra o conceito do Consentimento Granular, que é pedir a autorização do dado específico e somente quando o dado for necessário. Sabe aqueles apps que para acessar você é obrigado a consentir em entregar seus dados? Está errado! Os dados precisam ser consentidos livremente!

Inequívoco: O titular não pode ficar confuso, em dúvida sobre o que está consentindo, se está consentindo para ir ao evento ou para receber um contato da empresa, por exemplo. Se a pessoa ficar confusa, o consentimento não está adequado à LGPD.

Específico: O consentimento precisa ser específico. Não podem ser para várias coisas. Ele é especificamente para aquele momento, para aquela finalidade. Quando um aplicativo precisa utilizar alguma permissão ele pede no momento do uso, e não tudo na instalação.

Além do consentimento ainda existem mais 9 bases legais.

Obrigação Legal

Você utiliza essa base legal quando existe uma norma, uma lei, um regulamento, que te obriga a tratar dados, quando o tratamento de determinados dados são obrigatórios. 

Um exemplo é que existe uma legislação no âmbito da saúde que obriga o armazenamento de prontuário médico pelo período de 10 anos – documento físico, e 20 anos – documentos eletrônicos. Você, médico, não precisa de consentimento para armazenar os dados do prontuário médico do titular, porque existe uma lei que te obriga a fazer isso.

Políticas públicas

Só pode ser utilizada por órgãos públicos. A Prefeitura fará um estudo que precisará analisar o número de pessoas que usam transporte público para ir para o trabalho, por exemplo. Para isso, ela terá que tratar dados. Como o tratamento de dados está relacionado à Políticas Públicas de transportes, o Consentimento não é necessário.

Órgão de pesquisa

Quando um Órgão de Pesquisa precisa tratar dados para realizar uma pesquisa – científica, tecnológica ou histórica, por exemplo. Você pode sim, tratar dados para fazer uma pesquisa na sua empresa, por exemplo. Entretanto, não poderá utilizar essa base legal. Será preciso procurar outra base para enquadrar a necessidade desse tratamento.

Execução de contrato

A lei permite o tratamento de dados pessoais para cumprir obrigação prevista em um contrato. Contrato não é apenas o papel escrito, assinado, averbado, mas sim todo negócio jurídico – quando uma parte entrega uma coisa e a outra parte entrega outra, uma contraprestação entre as duas partes. 

Exemplo: Pedi um sanduíche no iFood. O iFood, para me entregar o que eu pedi, para cumprir a obrigação contratual, ele precisa compartilhar os meus dados com o restaurante, para que façam o sanduíche que eu pedi, e com o motoboy, que trará o sanduíche até a minha casa. 

Neste caso, eu não preciso dar o meu consentimento, porque para cumprir a obrigação contratual – me entregue o meu hambúrguer porque eu paguei por ele – ele precisa fazer esse compartilhamento de dados.

Exercício Regular do Direito em Processo

Bati no carro do Diogo (nosso CTO). Lá veio ele me falar que eu vou ter que pagar… Lógico que respondi que não vou pagar! Mandei ele me processar e fui embora. Imagina se ele precisasse do meu consentimento para poder entrar com o processo judicial contra mim? 

É para casos assim que existe essa base legal. Ela protege o nosso direito ao acesso à justiça, ao contraditório, e a ampla defesa – direitos resguardados na Constituição Federal. Se você precisar de tratamento de dados em processo administrativo, judicial ou arbitral, você pode usar essa base legal, a fim de exercer o seu direito.

Proteção da vida

Essa base autoriza o tratamento de dados pessoais para proteger a vida ou a integridade física do titular. 

Exemplo: Supondo que uma pessoa foi sequestrada. Sabe-se que a última coisa que ela fez foi entrar em um Uber. A Polícia poderia entrar em contato com a Uber, pedindo a geolocalização daquele motorista, com o objetivo de tentar proteger a vida daquela pessoa que pode ter sido sequestrada. 

Essa base legal é utilizada em situações concretas, que tenham uma vida em risco.

Tutelar a saúde

A Tutela da Saúde é para procedimentos realizados por profissionais da saúde, por serviço ou que prestem Serviços de Saúde, e autoridades sanitárias. Hospitais, médicos, psicólogos, nutricionistas, todos os profissionais ligados à saúde.

Proteção ao crédito

Ela autoriza o tratamento de dados para evitar o famoso “calote”, para evitar que a pessoa pegue crédito e não pague. Por exemplo, para você financiar alguma coisa, alguém terá que tratar diversos dados seus para avaliar se você é um bom ou mau pagador. Tratam seus dados com o objetivo de proteger o crédito de quem está te emprestando o dinheiro.

Legítimo interesse

Ela autoriza o tratamento de dados desde que sejam respeitados determinados critérios para o interesse da empresa. A empresa precisa ter um interesse super legítimo. Ela tem que precisar fazer aquele tratamento de dados, porque ele é importante para manter o negócio da empresa, e ela acaba não se enquadrando em nenhuma outra base legal naquela situação. 

Normalmente são situações em que o dado foi coletado para uma finalidade, mas agora a empresa quer utilizá-lo para outra. Ela tem interesse legítimo muito forte para usar esse dado para uma outra finalidade. Para utilizar o legítimo interesse, a empresa precisa passar por um teste. Esse teste é composto por 4 etapas: 

Legitimidade do interesse: Analisar se aquilo que você quer fazer não é ilegal perante alguma outra legislação. Por exemplo, solicitar teste de gravidez no processo de recrutamento. Isso é proibido por lei. 

Necessidade: Para essa finalidade que você vai usar o legítimo interesse, aquele dado é realmente necessário? Ou você poderia usar outros dados, ou optar por outra base legal? ​​Para o envio de publicidade pelo WhatsApp, por exemplo, você só tem aquele dado que o titular mesmo te deu, então o dado é necessário.

Legítima expectativa ou teoria do susto: O titular não pode se assustar ao receber o seu contato, ou seja, ele precisa ter uma expectativa legítima de que você está usando o dado para determinada ação. Você já recebeu alguma ligação de empresas que você nunca viu ou que nunca comprou? Se a empresa utilizar os dados dessa forma, ela reprova nessa terceira fase. É o momento de equilibrar o legítimo interesse com a expectativa do titular. 

Salvaguarda: São proteções ao titular – é sobre oferecer mecanismos para que ele se oponha ao tratamento de seus dados, que ele tenha como solicitar que parem de utilizar os dados. Existir um botão ou uma forma de contato com o desenvolvedor para solicitar que os dados de um usuário sejam removidos definitivamente já é uma salvaguarda. 

Bases legais para dados sensíveis

Todas essas 10 bases legais que vimos servem para os dados comuns. Já para os dados sensíveis, essas categorias caem para 8 – excluem-se Execução de Contrato, Legítimo Interesse, Proteção ao Crédito, e é acrescentada a Segurança. O Consentimento se torna a base legal protagonista. Antes de pensar em qualquer uma das outras 7 bases legais, você precisa tentar conseguir o Consentimento.

O objetivo de tudo isso é criar cultura de proteção de dados!

Toda legislação brasileira tem o que chamamos de “Princípios”, que é a base da lei. É o espaço que o legislador encontra para direcionar o que ele quer que a lei reflita, destacando a principal ideia, a cultura – o objetivo é criar cultura de proteção de dados.

As empresas são obrigadas a cumprir todos os princípios presentes na LGPD.

Boa-fé

Nada mais é do que a empresa provar que fez tudo que estava ao seu alcance para cumprir a legislação. A LGPD não fala nada sobre ter o sistema mais complexo do mercado.

O empreendedor terá que mostrar que teve boa-fé, ou seja, que dentro das possibilidades dele, ele fez o que dava conta ou que era possível, pensando sempre na melhor relação com o titular.

Boa-fé é você fazer o que você dá conta, com os recursos que você tem, desde que você queira fazer o melhor para o titular. Pegar modelos de Política de Privacidade na internet e mudar o nome da empresa, não é boa-fé!

Finalidade

A finalidade nada mais é do que o objetivo daquele tratamento de dados. Então agora, a partir da vigência da LGPD, todo tratamento de dados precisa ser motivado por um objetivo. Essa é a hora que, se você se perguntar o motivo de se coletar determinados dados e a resposta for que não se sabe, o alerta já acende na mesma hora: não tem finalidade.

Adequação

Você precisa tratar os dados adequados para aquela finalidade e os coletar pelo meio adequado. Então, você precisa sempre ter a forma adequada de tratamento daquele dado.

Por exemplo, para fazer publicidade direcionada, aqueles anúncios que aparecem para você, nós colocamos algumas referências dentro do Google e do Facebook: pessoas que têm interesse em advocacia, pessoas que têm interesse em segurança da informação… Em casos assim, você não escolhe o nome da pessoa que receberá o seu anúncio, tampouco sabe para quem o seu anúncio aparece.

Diferentemente, se eu pegar uma lista de aprovados no concurso de PM, por exemplo, e eu quiser fazer uma publicidade direcionada para essas pessoas. Imaginemos que eu importo essa lista, e consigo entregar os anúncios para essas pessoas. Eu estarei utilizando o meio errado para entregar essa publicidade, ele não é o meio adequado.

Você tem sempre que buscar o meio adequado para coletar aquele dado e coletar apenas os dados necessários!

Necessidade

Será que a empresa precisa realmente de todos esses dados? Será que esses dados são necessários para atingir a finalidade desejada? Poderíamos reduzir os dados necessários?

Para cada finalidade, você coleta os dados pelo meio adequado e apenas os dados necessários para aquela finalidade.

Transparência

A LGPD quer que o titular, dono do dado, saiba o que a empresa está fazendo com aquela informação. No momento em que o titular te entrega os dados, uma relação de confiança é estabelecida. O mínimo que você faz é ser transparente com ele sobre o que de fato você está fazendo com os dados que são dele.

Quanto mais transparente a empresa é, mais o titular vai confiar nela. Isso melhora a experiência daquele usuário.

Qualidade dos dados

A qualidade dos dados significa que em todo banco de dados, as informações têm que estar atualizadas, corretas e completas para não prejudicar o titular.

Perceba a importância dos dados: eles podem falar que uma pessoa pode fazer um concurso ou não, que uma pessoa é boa pagadora ou não, que a pessoa pode se candidatar a uma vaga de emprego ou não. Dados mostram o que aquela pessoa pode ou não fazer!

Não-discriminação

A empresa não pode fazer um tratamento de dados com o objetivo de discriminar uma pessoa. A LGPD deixou isso muito forte, inclusive quando fala de dados sensíveis, de não querer que aconteçam discriminações baseadas em tratamento de dados.

Isso é muito importante, principalmente para quem trabalha na área de tecnologia com machine learning – máquinas que aprendem com o ser humano, tanto coisas boas quanto ruins.

Prevenção

A LGPD não é uma lei reativa, e sim preventiva, ela quer prevenir para depois remediar. A lei exige a prevenção! Você tem que prevenir o risco, o dano. Depois que o dano acontecer, não adianta chorar se você não tiver feito nada antes. Você precisa agir de maneira prévia e não remediar.

Um exemplo de ato preventivo é fazer um Programa de Adequação – que é o conjunto de ações que a empresa vai tomar para mudar a forma que faz as coisas para se adequar a nova lei. Inclusive, a LGPD traz expressamente que ela vai valorizar, no momento de aplicar as sanções, o que que foi feito previamente, se a empresa tinha um programa de adequação e se ela tinha parâmetros de segurança.

Segurança

A lei exige que as empresas busquem parâmetros e medidas técnicas para proteger a informação. Ou seja, não adianta nada você ter uma base legal e todos os documentos se os dados não estão protegidos. É preciso ter algum meio de segurança para evitar tanto uma atitude de funcionários ou colaboradores que, intencionalmente ou não, cometem um equívoco, quanto para evitar ataques ou invasões externas.

Livre acesso

Muito ligado ao Direito do titular: o livre acesso é o titular ter como acessar e saber quais dados a empresa tem dele, como ela conseguiu, por que ela conseguiu e o que ela faz com os dados. O titular tem direito a ter essas informações e precisa ter livre acesso de forma gratuita.

Prestação de contas

A LGPD valoriza a prestação de contas, porque você tem como mostrar a sua boa-fé. Então documente tudo que você fizer em relação a LGPD!

Documente tudo que for possível, para que você consiga provar que fez tudo que estava ao seu alcance e você agiu com boa-fé, por menores que fossem as ações.

É sobre isso

E tá tudo bem. A lei não veio para punir, mas sim para iniciar uma mudança na forma como os dados das pessoas são vistos. Vivemos numa era em que informação é o novo petróleo e isso precisa ter regras para que não saia do controle. 

Por mais que pareça burocrático para o lado empresarial, tenha algo sempre em mente: em algum momento para alguma aplicação ou serviço, você é o cliente e os seus dados também estão em jogo.

 

Fonte: LGPD comentada por Mariana de Toledo

 

Texto por Leonardo de Souza Kramer