O que é a LGPD e por que você deve entendê-la melhor
O que é a LGPD e por que você deve entendê-la melhor, conheça os princípios: diretrizes para o tratamento de dados e como endereçar isso dentro da sua empresa
Este conteúdo foi escrito pelo time do escritório de advocacia Opice Blum.
Dentre as diversas novidades que 2020 nos trouxe no mundo da tecnologia e proteção de dados, poucas tiveram mais impacto no Brasil do que a entrada em vigor da Lei nº 13.709/2018, também conhecida por Lei Geral de Proteção de Dados — ou, simplesmente, LGPD. Mesmo que sua promulgação tenha ocorrido há mais de 2 anos, ainda há muitas empresas que não se adequaram a essas novas regras ou que não tenham ideia sobre por onde começar. Pensando nisso, o objetivo deste artigo é resumir as principais mudanças trazidas pela LGPD e como elas podem impactar a empresa.
Por que a LGPD é importante?
Até 2018, o Brasil não tinha regulação centralizada sobre proteção de dados. Este assunto era abordado por uma série de regulamentos esparsos e, por vezes, conflitantes entre si. De um lado, os indivíduos tinham pouca ou nenhuma transparência sobre o uso que era feito de seus dados pessoais; de outro, as empresas também sofriam com labirinto legislativo difícil de navegar — o que poderia ser desestímulo às companhias estrangeiras que pretendessem fazer negócios por aqui.
A LGPD foi criada para tornar este cenário mais claro, garantindo maiores direitos para os indivíduos (os titulares de dados), dando parâmetros mais seguros para que empresas realizem operações de tratamento de dados com maior transparência e eficiência, além de posicionar o Brasil entre os players que contam com regra suficientemente clara e rígida sobre o tema. Ela abrange tanto pessoas físicas, quanto jurídicas de direito público e de direito privado e vale tanto para o tratamento de dados pessoais em meios físicos ou digitais.
Além disso, com a criação da Autoridade Nacional de Proteção de Dados (ANPD), uma de suas metas também é fomentar a cultura de proteção de dados no país criando estrutura de governança eficiente, incentivando avanços tecnológicos de maneira responsável e transparente.
Os princípios: diretrizes para o tratamento de dados
Toda atividade de tratamento deve ter a finalidade previamente informada ao titular, que deve ser atingida pelos meios adequados, utilizando os dados minimamente necessários.
Além disso, os dados pessoais devem manter sua qualidade, correspondendo à realidade das informações que representam. Seu tratamento deve ser transparente para o titular e, na medida do possível, permitir o livre acesso desse titular às informações que lhe digam respeito — ressalvando-se os segredos comerciais da empresa. Do mesmo modo, dados pessoais não devem ser utilizados para fins discriminatórios (não-discriminação).
O agente de tratamento deve respeitar a segurança e a prevenção — ou seja, adotar medidas técnicas e administrativas capazes de proteger os dados pessoais. Por fim, o agente de tratamento deve, por responsabilidade e prestação de contas, comprovar que implementou e está em dia com todas essas medidas
Quem é quem: agentes de tratamento
A LGPD introduziu no direito brasileiro os agentes de tratamento, que podem ser controlador ou operador.
O controlador é a quem competem essas decisões sobre o tratamento. Decidirá quais dados serão tratados, as finalidades do tratamento, o tempo de retenção, bases legais utilizadas, entre outros aspectos. Fica a cargo dele garantir que os direitos dos titulares de dados serão observados, responder eventuais solicitações do titular e da ANPD e nomear um Encarregado, responsável por fazer a intermediação com os titulares e a ANPD.
O operador é o agente que realizará o tratamento em nome do controlador e segundo suas instruções. Ele pode até delimitar certos parâmetros técnicos, mas em última instância ainda cabem ao controlador as decisões principais sobre o tratamento.
Novas justificativas para tratamento de dados
Uma das grandes novidades da LGPD são as novas justificativas ou bases legais para se tratar dados pessoais. Anteriormente, sob o Marco Civil da Internet, tal tratamento somente poderia ocorrer com o consentimento do indivíduo. A nova lei trouxe outras hipóteses, que abrangem mais contextos de forma mais adequada, dentre elas, a execução de contrato e o legítimo interesse.
Pela execução do contrato o tratamento de dados justifica-se por relação contratual estabelecida com o titular. Ela pode abranger também os procedimentos pré-contratuais, como a assinatura de uma proposta. Esta base legal também é aplicável aos contratos do tipo clickwrap, como os modelos oferecidos pelo Docusign eSignature.
Já o legítimo interesse é uma base abrangente, que pode justificar diversas medidas de promoção e apoio das atividades do controlador, oferecendo ao titular serviços que o beneficiem. É necessário que esse tratamento seja justificado por finalidade legítima e realizado de forma transparente, a fim de evitar que o titular seja surpreendido de maneira negativa.
O consentimento continua sendo uma das bases principais. De acordo com a LGPD, ele precisa ser não apenas livre, informado e expresso, como também inequívoco — ou seja, dependendo de ato positivo do titular de dados que expresse sua vontade e que seja devidamente registrado.
Esses novos moldes do consentimento foram acompanhados de certos direitos do titular, como a possibilidade de retirar o consentimento para determinados tratamentos, ou ainda solicitar a eliminação dos dados tratados com o consentimento. Nesse ponto, soluções do mercado como o Docusign Click podem auxiliar o controlador a gerenciar este consentimento de maneira eficiente e em conformidade.
Para além dos direitos relacionados ao consentimento, a LGPD também dispõe sobre aplicações práticas relacionadas à transparência, ao livre acesso e autonomia informativa, permitindo que o titular tenha acesso facilitado a uma série de informações sobre seus dados, inclusive sobre compartilhamento com outras entidades, confirmação do tratamento e até mesmo quais e como seus dados são tratados. Por isso, é importante que a empresa tenha documentos como Termos de Uso e Políticas de Privacidade contendo todas estas informações e com a indicação de qual canal o titular pode utilizar para exercer seus direitos.
Parece muito desafiador, mas com as informações e ferramentas certas, este momento pode ser a oportunidade ideal de estar em conformidade com a nova lei e, também, implementar operações de tratamento de dados mais seguras e eficientes para sua empresa e para os titulares.
Para saber mais sobre LGPD baixe o Ebook que o time da Opice Blum preparou.
Publicações relacionadas