Esmiuçando a LGPD: A proteção de dados e a conformidade para além do óbvio

Noroara Moreira / Direito Digital, LGPD
22 novembro, 2019

É que certo que depois de agosto deste ano, muito já se ouviu falar sobre Lei Geral de Proteção de Dados Pessoais – LGPD (n.º 13.709/2018).

Muito também já se expôs sobre a necessidade de adequação das empresas que promovem o tratamento de dados de titulares pessoas físicas – e, não raras vezes, as matérias que se ocupam do tema conjugam-no a eventos de incidentes de vazamento, de pagamento de multas altíssimas.

Em resumo

Antes mesmo de entrar em vigor (o que ocorrerá em 08/2020), a LGPD já foi, por muitos, demonizada.

Este artigo não pretende entornar, ainda mais, o caldo; antes, intenta desmistificar a aplicação da lei e trazer dicas práticas de como a conformidade pode ser iniciada.

O caminho das pedras começa pela alta gerência da empresa: é preciso que ela entenda a relação direta entre o negócio e os dados existentes e coletados, armazenados (frise-se, de titulares pessoas físicas).

Mais especificamente, é preciso que identifique o tipo de dados tratados (se pessoais – como nome, RG, CPF, endereço, estado civil; ou se pessoais sensíveis – que revelam particularidades do titular pessoa física: origem étnica ou racional, convicção religiosa, opinião política, filiação sindical, partidária, situação de saúde, vida sexual, dados genéticos ou biométricos) e as razões pelas quais os solicitam e os mantém.

Para além disso, é crucial que sejam feitos os testes de necessidade, adequação e transparência.

Necessidade

Precisamos mesmo de todos estes dados para desenvolver nossa atividade?

Adequação

“Os dados que estão sendo tratados servem, realmente, para a finalidade que apontamos; ou são inúteis, inapropriados”?

Transparência

os titulares dos dados sabem o porquê do tratamento, onde serão armazenados, se serão compartilhados, quando deixarão de ser usados”.

De posse deste mapeamento inicial – que deve envolver os líderes de equipe, porque, como sabemos, eles identificam como a operação realmente acontece no chão de fábrica – é possível cruzar informações e avançar no plano de conformidade. É que uma vez identificados os dados, as finalidades e feitos os testes acima descritos, o próximo passo é apontar a (ou as) base(s) legal(is) que autoriza(m) o tratamento.

Neste cenário, há duas notícias boas. A primeira é que a LGPD exige apenas uma base para que o tratamento seja considerado conforme; a segunda, é que de todas elas, somente uma demanda, de fato, o envolvimento direto do titular (o consentimento).

Dados Pessoais

Para os dados pessoais, as bases estão listadas no art. 7º da LGPD; dentre elas se encontram o cumprimento de obrigação legal ou regulatória, a execução de contrato ou procedimentos preliminares relacionados, exercício regular de direito, o legítimo interesse daquele que toma as decisões sobre o tratamento do dado – além do consentimento já mencionado.

Sobre este último, aliás, é importante frisar que deve envolver manifestação livre, informada (ciclo de vida do dado, finalidades de tratamento, compartilhamento; em suma, transparente) e inequívoca do titular.

Justamente em razão destes atributos necessários, não se recomenda, por exemplo, que o tratamento de dados de colaboradores seja pautado na base legal consentimento, já que há uma relação de emprego em jogo (o que acaba “viciando” a liberdade na exteriorização da vontade).

Dados Pessoais Sensíveis

Para os dados pessoais sensíveis, as bases estão previstas no art. 11 da LGPD. Em linhas bastante gerais, várias das hipóteses listadas no art. 7º aplicam-se também neste cenário, à exceção da execução de contrato, da proteção ao crédito e do legítimo interesse (tal como firmado para o tratamento de dados pessoais).

A propósito, sobre ele – legítimo interesse – reservaremos um artigo exclusivo, tamanha a discussão que envolve o respectivo uso.

O fato é que com a adoção dos passos descritos (recapitulando: mapeamento inicial e identificação das bases legais) uma parcela bastante importante e robusta do caminho terá sido percorrida.

Nos artigos seguintes, abordaremos as próximas etapas do plano de conformidade, com a preocupação de trazer concretude para a teoria (e, por que não, um respiro aos empresários amedrontados com a chegada da LGPD).

COMPARTILHAR

Quer receber conteúdos exclusivos da Moreira Suzuki Advogados por e-mail? Cadastre-se!