Академический Документы
Профессиональный Документы
Культура Документы
Nessa minha primeira colaboração para o blog do Capterra, tento descomplicar um pouco
a tal da LGPD, da qual tanto se fala e que passa a valer em agosto de 2020. Vamos
começar pela sopa de letrinhas: LGPD, de Lei Geral de Proteção de Dados.
Há dois pontos importantes nessa sigla para os quais gostaria de chamar a sua atenção: o
primeiro é o “G” de Geral. Ele quer dizer que a lei se aplica a todos os setores da
economia (empresas de internet e tecnologia são só a ponta do iceberg) e até mesmo ao
governo.
Há outro ponto importante nessas quatro letrinhas: na verdade, deveria haver uma quinta
letra na sigla, o “P”, de pessoais. A lei só se aplica ao tratamento de dados pessoais, ou
seja, dados que possam identificar uma pessoa física, de carne e osso. Dados de pessoas
jurídicas, por exemplo, estão fora do alcance da LGPD(P). Mas, afinal, o que quer dizer
“tratamento de dados pessoais”?
Antes de mais nada, uma sugestão. O texto da lei está disponível no site do Congresso
brasileiro. Proponho que você abra o link e vá até os artigos que mencionarei
neste post para ver, na prática, o que parece teoria. À primeira vista vai parecer
complicado, mas leis, apesar do vocabulário estranho, estão aí para serem lidas (e
entendidas) por qualquer um. Ajudarei aqueles que se encorajarem, indicando alguns
artigos específicos que vale a pena consultar.
Sigamos!
O artigo 5º traz várias definições importantes, entre elas a de “dados pessoais” (qualquer
dado que diga respeito a uma pessoa, o que vai do número do RG a uma fotografia,
passando por informações financeiras, filiação política, endereço, orientação sexual, etc.).
O mesmo artigo define “tratamento” com uma lista de 20 verbos diferentes (!) e ainda diz
que são só exemplos.
Ou seja, virtualmente, tudo o que se pode fazer com um dado pessoal –coletar,
compartilhar, armazenar, filtrar, etc.– é considerado tratamento e, portanto, está sujeito à
lei.
Essas definições, e outras, estão no artigo 5º da LGPD –as que faço referência aqui estão
nos incisos I, VI, VII e X.
São dez bases legais possíveis. As que mais interessam ao setor de tecnologia são:
consentimento (inciso I)
cumprimento de obrigação legal ou regulatória (inciso II)
cumprimento de contrato com o titular dos dados (inciso V)
legítimo interesse (inciso IX)
Será necessário identificar uma base legal para essa coleta (exemplo: cumprimento de
contrato com o titular dos dados –art. 7º, V). Se essa mesma empresa compartilhar esses
dados com um terceiro, isto é considerado outra atividade de tratamento e também precisa
ter uma base legal específica (digamos, consentimento).
3. Consentimento
As atividades de tratamento que se baseiam no consentimento precisam observar
algumas regras específicas. Por exemplo, ele precisa ser “livre, informado, inequívoco e
específico” (artigo 5º, XII) e pode ser revogado a qualquer momento (artigo 8º, parágrafo
5º).
4. Legítimo interesse
O legítimo interesse é uma saída interessante para quando não é viável obter o
consentimento ou quando não há um contrato com o titular dos dados. Isso permite, por
exemplo, que o Google trate dados pessoais em sua atividade de indexador.
Mas atenção: o tratamento de dados com base em legítimo interesse precisa observar as
regras do artigo 10, não se aplica a dados sensíveis (definidos no art. 5º, II) ou dados de
crianças e adolescentes. Implica também cuidados maiores, como a elaboração de um
relatório de impacto que pode ser exigido pela futura autoridade nacional (o chamado
relatório de impacto à proteção de dados ou LIA –legitimate interest assessment).
5. Princípios
Qualquer operação de tratamento deve seguir alguns princípios, que constam do artigo 6º
da lei. Os mais importantes –vale consultar a lei aqui para entender o que cada um deles
significa– são:
finalidade
adequação
livre acesso
transparência
segurança
prevenção
não-discriminação
Esses “princípios” podem parecer teóricos, mas não são. É justamente isso, junto com a
“base legal” sobre a qual falamos acima, que deve nortear a avaliação, pela futura
autoridade nacional, sobre a legitimidade de cada atividade de tratamento.
Esse ponto interessa especialmente às PMEs, por conta do custo adicional que um DPO –
caso a empresa decida contratar alguém externo para exercer esse papel– geraria. Mas
isso é assunto para um próximo artigo.
Há muito mais a falar sobre a LGPD, e isso só o começo. Prometo voltar aqui em breve,
para conversarmos sobre outros pontos interessantes. Alguns deles: transferência
internacional de dados, como LGDP e GDPR (General Data Protection Regulation, a
regulação europeia sobre o tema) dialogam entre si e no que consiste um programa
de compliance de dados pessoais.
Até breve!