Definição de dados pessoais, de dados sensíveis, o significado de tratar dados, respostas sobre quais empresas serão afetadas pela #LGPD e formas de planejar uma Política de Privacidade. Conheça, aqui, conceitos-chave sobre proteção de dados para sua empresa.
Texto escrito por Emanuella Halfeld e por Yuri dos Santos
* Atualizado em 18 de setembro de 2020 por Yuri dos Santos
Dois motivos para se preocupar com proteção de dados
A LGPD já está em vigor! A Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2019) cria uma série de obrigações para empresas brasileiras que tratam, armazenam ou guardam dados pessoais, seja em meio físico ou digital. Isso inclui desde bancos de dados mais complexos às meras fichas de registro de consumidores ou de trabalhadores dentro das empresas.
Proteção de dados é segurança. Cada vez mais nos relacionamos, comunicamos e trabalhamos nas redes. É importante garantir uma boa política de segurança da informação a fim de evitar problemas e vazamentos.
Quais dados a LGPD protege?
A LGPD protege dados pessoais, ou seja, qualquer "informação relacionada à pessoa natural identificada ou identificável".
A ideia central da LGPD é garantir que as empresas utilizem esses dados da forma mínima necessária. Alguns exemplos de dados pessoais são:
Nome
Número de RG
Número do CPF
E-mail
Endereço
Além destes, em relação aos quais não há dúvidas, também são considerados dados pessoais todos aqueles que possam ser utilizados para a identificação de alguém, ainda que indiretamente.
Assim, um endereço de IP e dados de geolocalização, se permitirem a identificação de uma pessoa ou perfil específico ou, ainda, se gerarem consequências para uma pessoa determinada, são considerados dados pessoais.
Proteção especial de dados sensíveis
A LGPD fornece proteção especial a dados sensíveis. Tratam-se de dados que dizem respeito à intimidade de uma pessoa e que, se tratados de forma pouco criteriosa, podem levar a algum tipo de discriminação indesejada.
As empresas que coletam esse tipo de dado devem ficar ainda mais atentas para seu tratamento, que exigirá, via de regra, o consentimento do titular. Há, porém, casos em que o consentimento não é exigido, presentes no art. 11, II da LGPD.
Os dados sensíveis são dados vinculados à pessoa natural que dizem respeito à:
Origem racial ou étnica
Convicção religiosa
Opinião política
Filiação a sindicato
Filiação a organização de caráter religioso, filosófico ou político
Saúde ou vida sexual
Além destes, também são considerados dados sensíveis os dados genéticos ou biométricos.
O que significa tratar dados?
Tratamento de dados é tudo que você pode fazer com um dado pessoal (Art. 5º, X da LGPD). O conceito é amplo e abrange, dentre outros:
Armazenamento
Arquivamento
Acesso
Coleta
Produção
Transmissão
Utilização
Classificação
Controle
Difusão
Distribuição
Extração
Eliminação
Processamento
Quais empresas serão afetadas pela LGPD?
O art. 3º da LGPD define que ela se aplica para pessoas jurídicas que:
Tratem dados no Brasil; ou
Coletem dados pessoais no Brasil; ou
Usem dados pessoais para ofertar ou oferecer bens ou serviços no Brasil; ou
Tratem dados de pessoas que estão no Brasil.
Para se enquadrar na lei, basta que a pessoa jurídica se encontre em um ou em mais de um destes quatro casos.
Bases de dados antigas ou desativadas precisarão ser adequadas?
Sim. O mero arquivamento e armazenamento de dados são considerados atividades de tratamento de dados, nos termos da lei. Na prática, a LGPD impõe às empresas a obrigação de revisitar e cuidar de todos os dados que possuem, bem como de observar todos os princípios de proteção de dados pessoais desde o início da coleta até a eventual exclusão dos dados.
Quais as sanções previstas pela LGPD?
Em seu art. 52, a LGPD prevê uma série de sanções administrativas aplicáveis àqueles que descumprirem as normas de proteção de dados:
Advertência, com indicação de prazo para adoção de medidas corretivas;
Multas de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
Bloqueio ou eliminação dos dados pessoais referentes à infração.;
Suspensão dos bancos de dados ou do exercício da atividade de tratamento de dados da empresa;
Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
O que as empresas devem observar ao tratar dados?
A LGPD estabelece alguns princípios gerais a serem observados e requisitos para justificar o tratamento de dados por empresas, de modo a respeitar a proteção de dados do usuário. É importante que as empresas que tratam dados saibam responder às seguintes perguntas básicas:
Quais dados são tratados? (mapeamento)
Para que eles são tratados? (finalidade)
Como eles são tratados? (modo)
Quem trata os dados?
Qual o fluxo desses dados?
Nesse sentido, é necessário determinar a finalidade dos dados antes mesmo de coletá-los, e garantir o cumprimento do dever de transparência sobre as atividades de tratamento realizadas.
Adequação à LGPD
A construção e a execução de um Projeto de Adequação à Lei Geral de Proteção de Dados Pessoais é uma boa estratégia àqueles que buscam se adequar a lei. Um bom projeto incluirá, dentre outras, as seguintes atividades:
Mapeamento de todos os dados pessoais tratados pela empresa.
Identificação dos fluxos de dados pessoais na empresa.
Catalogação dos dados pessoais tratados.
Compreensão das finalidades pelas quais os dados são coletados, dos meios de coleta, de seu uso e dos mecanismos de transferência de dados para outros entes ou empresas, se existirem;
Realização de uma Política de Gestão de Informação em conformidade à Lei Geral de Proteção de Dados.
Criação de um Plano de Ação a ser utilizado em todos os tratamentos futuros.
Fiscalização e monitoramento dos procedimentos adotados.
Além disso, a adequação à LGPD deve, preferencialmente, ser considerada desde o início da concepção de um sistema ou de uma atividade que se valerá do tratamento de dados pessoais, de modo que as cautelas e medidas necessárias possam ser adotadas desde o início.
Evitando riscos
O objetivo da LGPD não é impedir o tratamento de dados no território brasileiro, mas sim garantir que eles sejam feitos de forma transparente e segura. Algumas empresas tomam medidas para evitar riscos, como:
A publicação de uma Política de Privacidade que dê visibilidade aos usuários sobre o tratamento de dados realizados pela empresa, bem como à sua finalidade e justificativa.
A escolha de um Encarregado de Proteção de Dados, responsável por protocolos e procedimentos para um tratamento de dados adequado à LGPD.
Na sua opinião, quais os maiores desafios relacionados à adequação à LGPD por empresas brasileiras? Deixe seu comentário!
Comments