Dando início adequação à Lei Geral da Proteção de dados - LGPD.

A Lei Geral da proteção de dados - LGPD - um dos assuntos mais comentados da semana, excluindo as considerações de vigência ou não, é realidade no Brasil.

É normal que possamos estar nos perguntando. Tudo bem, mas e aí? Ninguém me explicou o que eu faço agora! Estou em desacordo? Preciso contratar alguém? Tem um sistema? Têm multa? É só mais uma lei?

Todos estamos iniciando pela letra da Lei Federal nº 13.709 de 14/08/2018 com redação alterada pela Lei nº 13.853 de 08/07/2019, com suas medidas provisórias e emendas. Já de início é possível observar que se aplica a todas as pessoas jurídicas de direito privado ou pessoas físicas que tratem dados. Compreenderá que dados são informações dos indivíduos, que pela lei podem ser considerados pessoais e sensíveis. Esse conceito é muito inclusivo. Então, se dados são tratados, é necessário observar a Lei, tanto pelas suas inclusões, quanto exceções. Em quaisquer dos casos, é importante que ao seu modo, a empresa faça registros que demonstrem sua conformidade.

É primordial que a empresa pare, faça uma reunião e analise seu cenário. É possível que esteja em conformidade com a lei. Pode ter criado um sistema de segurança da informação eficiente. Pode agir eticamente com informações que coleta do seu cliente. Pode detectar que precisa de pequenos ajustes. Ou pode ser um momento crítico para mudar suas estratégias, implementar um programa que permita alinhar parâmetros de tratamento de dados dos seus clientes de modo que continuem atendendo seu negócio e respeitando o direito do titular dos dados.

Não perca oportunidade de observar onde sua empresa pode evoluir com aplicação da lei.

Pode ser um marco para personalizar seu relacionamento com cliente, gerar credibilidade, proximidade, segurança e ética. Todos os indivíduos querem este tipo de tratamento e podem te escolher por isso.

Philip Kotler, um dos autores mais referenciados no ambiente de marketing, lá em 1967, já defendia que empresas precisam vender valor e estar focadas na satisfação dos clientes. A aplicação dos princípios da LGPD vai reforçar o posicionamento de sua empresa.

É imprescindível, antes de pensar em sistema de informação, formulários, consentimentos, que faça um trabalho de mapear sua empresa frente aos seguintes fatores que começam pelo entendimento da boa-fé e prosseguem pelos 10 princípios que norteiam a lei, conforme seguem:

1 - Finalidade: Ter um porquê de coletar o dado para tratamento. Ter um fim específico.

2 - Necessidade: Coletar apenas os dados necessário à realização da atividade. Focar na minimização. A empresa mais eficiente é a que com menor número de dados realizar a mesma finalidade.

3 - Adequação: Este princípio interage diretamente aos anteriores, pois além de ter um porquê e ser necessário, têm que ser colhido através do meio e momento propício.

4 - Livre acesso: Garantia ao titular do acesso aos seus dados de forma simples e gratuita. É dar empoderamento ao titular dos dados.

5 - Qualidade dos dados: Alerta os que tratam dados com finalidade econômica, que estes devem ser mantidos fidedignos, atualizados, e mais coerentes o possível, a fim de viabilizar o interesse dos titulares.

6 - Transparência: A relação entre empresa e cliente deve ser às claras. Cliente está ciente do que está acontecendo e empresa sendo transparente nas suas intenções.

7 - Segurança: A empresa precisa dispor de meios técnicos de segurança dos dados, tanto externa, quanto internamente.

8 - Prevenção: Princípio muito ligado à segurança, que antecede o processo. Busca prevenir que haja danos aos titulares no caso de problemas com os dados.

9 - Não discriminação: Os dados não podem ser tratados com objetivos discriminatórios, de segregação.

10 - Prestação de contas: Documentar seus processos de tratamento de dados e de controles ligados à adequação de forma que consiga prestar contas dos procedimentos e iniciativas específicas.

Após nivelamento com os 10 princípios o próximo passo precisa ser o alinhamento da finalidade de tratamento dos dados com uma os mais, das dez bases legais dispostas na Lei. Todas as bases legais estão num mesmo patamar. Não existe uma mais forte ou mais fraca, uma principal e outras subsidiárias. Elas representam as dez hipóteses que resguardam sua empresa para legalmente tratar os dados dos indivíduos.

1 - Consentimento: É ação do titular autorizar o tratamento dos dados por compreender a finalidade de execução dos mesmos. Este ato precisa ser livre. O consentimento não é o ato do "Li e aceito" apenas, o titular deve estar empoderado da informação, tendo consciência da finalidade do fornecimento e tratamento de seus dados.

2 - Obrigação legal: A obrigação legal acontece quando há uma lei, um instrumento normativo, uma portaria ou um regulamento que determine o tratamento de determinados dados.

3 - Exercício regular do direito em processo: Nessa situação, não há possibilidade de consentimento para utilização dos dados. Para que as pessoas possam exercer o seu direito de justiça, de contraditório, ampla defesa, previstos na constituição, a pessoa tem a autorização para tratar dados para a finalidade de processos judiciais, administrativos e arbitrais. Com isso, faz-se desnecessário o consentimento de uma pessoa para que utilização de seus dados para iniciar um processo contra ela.

4 - Execução de contrato: Algumas vezes, para executar uma obrigação que advém de um contrato firmado entre partes, é preciso tratar dados dos titulares.

5 - Tutela da saúde: Essa base legal visa autorizar que serviços de saúde, sanitários e serviços realizados por profissionais da área da saúde, possam tratar dados com o objetivo de tutelar a saúde do titular - de proteger a saúde do titular.

6 - Proteção da vida: Diferente da Tutela da Saúde, a Proteção da Vida dá embasamento para qualquer pessoa tratar dados do titular, caso ele esteja em risco iminente, ou seja, caso essa pessoa esteja tentando proteger a vida do titular - que tem risco real e concreto de vida.

7 - Políticas públicas: Essa base legal é, como o próprio nome já diz, para realização de políticas públicas, previstas em lei, regulamentos ou em algum contrato público. Essa Base Legal somente é usado por órgãos públicos. Esses órgãos públicos, por sua vez, podem tratar dados com o objetivo de desenvolver políticas públicas.

8 - Pesquisa: Apenas órgãos de pesquisa, constituídos no CNPJ com esta finalidade, podem utilizar essa base legal para tratar dados. Essas pesquisas podem ser de cunho acadêmico, científico, tecnológico etc.

9 - Proteção ao crédito: Essa base legal está presente na legislação de proteção de dados unicamente no Brasil! A Proteção ao Crédito define que instituições financeiras poderão tratar dados com o objetivo de proteger o crédito, ou seja, com o objetivo de evitar dar crédito a pessoas que tenham uma chance de não quitar o que se é devido.

10 - Legítimo Interesse: É a base legal que leva em consideração o interesse legítimo da empresa. São casos em que, por exemplo, a empresa, na promoção de suas atividades, precisa muito tratar determinados dados. Essa base é de uso exclusivo de membros da iniciativa privada, para pessoas jurídicas de direito privado e pessoas físicas que tratam dados com finalidade econômica. A Base Legal de Legítimo Interesse será utilizada nos casos em que empresas e/ou pessoas precisarem tratar determinados dados, sempre se atentando para a justificativa e a necessidade - se é para promover seus interesses, para alcançar seus objetivos, para inovar, empreender, gerar empregos, movimentar a economia, entre outros. Trata-se de uma base legal bem flexível, entretanto, para utilizá-la, é necessário fazer um teste, conhecido como LIA (Legitimate Interests Assessment).

Ainda com relação as bases legais antes apresentadas, cabe relevância ao tratamento de dados sensíveis que são dados de saúde, genéticos e biométricos que, por sua sensibilidade natural, podem levar pessoas a situações de discriminação.

Em se tratando de dados sensíveis, haverão apenas oito bases legais e o consentimento se torna a base legal “mãe” - a principal -, ou seja, a empresa sempre deve buscar o consentimento do titular em primeiro lugar. O consentimento, nesses casos, só não será utilizado se por ventura o uso de outra base seja imprescindível - como, por exemplo, Tutela da Saúde, pois para tutelar a saúde é necessário tratar dados. Ao analisar as Bases Legais quando estamos falando de dados sensíveis, verificamos que não existe o Legítimo Interesse, Proteção ao crédito e Execução de Contrato (expressamente). Em contrapartida, surge uma nova base legal: Proteção à Fraude.

Apresentar os princípios e as bases legais constitui uma forma de consolidar o propósito da lei. Demonstrar que existe uma motivação ética em sua aplicação, que proporcionará as empresas estar em Compliance.

Ademais vamos tratando das nuances, como por exemplo: órgão regulador - ANPD, prazos, sanções, exceções, regulamentações, e tantas outras particularidades que ainda estão a se desenhar e consolidar para adaptação aos mercados e a sociedade.

Andréa Viana Ferreira

Gerente de Relacionamento SICOOB - Formação em Compliance Financeiro