Lei Geral de Proteção de Dados

Para quem se aplica a LGPD?
A LGPD é aplicável a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país no qual estejam localizados os dados, desde que a operação de tratamento de dados seja realizada no Brasil;
O que é dado pessoal e dado pessoal sensível?
Os dados pessoais são a base da LGPD e também de outras leis e normas de privacidade e proteção, como a GDPR (General Data Protection Regulation), na Europa, e a CCPA (California Consumer Privacy Act), na Califórnia, nos EUA.
De acordo com a LGPD, no Art. 5º, dado pessoal é qualquer “informação relacionada a pessoa natural identificada ou identificável”.
Na verdade, a lógica para entender a definição de dado pessoal é simples. Se uma informação permite que você identifique uma pessoa, essa informação pode ser considerada um dado pessoal. Os exemplos mais comuns de dados pessoais são nome, RG, CPF, data de nascimento, endereço e telefone.
A lei cita ainda o termo dado pessoal sensível, que se refere a uma categoria especial ou diferenciada de dado pessoal.
Segundo a LGPD, dado pessoal sensível é qualquer “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.
Estas definições são importantes porque a LGPD versa muito sobre a questão do propósito, sobre a finalidade com a qual o dado foi coletado e será posteriormente tratado. Vamos falar mais sobre isso adiante, nos princípios estabelecidos pela LGPD para o tratamento de dados.

No Art. 6º, a LGPD determina 10 princípios que devem nortear o tratamento de dados pessoais. Estes princípios é que vão ajudar a garantir que a empresa esteja em conformidade e adequada à lei.

Como já comentamos, a LGPD obriga que as empresas tenham propósitos bem determinados ao tratar dados pessoais. Mas não apenas isto. Elas precisam também deixar claras as suas intenções para o titular dos dados, justificando e apontando o uso dos dados pessoais.

Ou seja, ao coletar um endereço de e-mail com a finalidade exclusiva de enviar um boleto bancário ou uma fatura para o cliente, por exemplo, a empresa não pode utilizar o e-mail para enviar ofertas e promoções.

Sobre o princípio da finalidade, a LGPD diz: “realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades”.

O princípio da adequação, segundo a LGPD, refere-se à “compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento”. 

Em outras palavras, a empresa precisa justificar e garantir que os dados coletados tenham valor e sejam condizentes com o modelo de negócio da organização.

Vamos criar exemplos. Primeiro, você é proprietário de uma farmácia. Ao fazer compras on-line, os clientes precisam preencher um cadastro e fornecer informações sobre orientação sexual.

Segundo, o seu negócio é uma academia e você solicita, na matrícula, informações de caráter religioso e político.

De fato, nos dois exemplos apresentados, o tratamento dos dados não é compatível com o seu negócio e, consequentemente, com a lei, tornando a coleta e o tratamento injustificáveis e, inclusive, passíveis de punições e multas.

O princípio da necessidade é interessante sob o ponto de vista da LGPD porque ele leva em consideração a responsabilidade das empresas acerca dos dados tratados. 

Na prática, quanto mais dados pessoais você trata, maior é a sua responsabilidade e, por consequência, maior é a cobrança e mais caras são as multas em casos de erros e falhas.

A LGPD afirma que o princípio da necessidade envolve “limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados”.

A sua empresa precisa garantir que apenas os dados pessoais essenciais para o desenvolvimento do seu negócio sejam coletados e tratados. Basicamente, a LGPD diz: prenda-se ao necessário e essencial, e elimine os excessos.

O princípio do livre acesso é um dos pontos fundamentais da LGPD. De acordo com a lei, o livre acesso é a “garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais”.

Na prática, a empresa deve criar mecanismos para que o titular dos dados tenha o direito de consultar os seus próprios dados e informações de forma gratuita. Além disso, a empresa precisa deixar evidente os seus objetivos e o período de tempo que os dados serão utilizados.

O princípio da qualidade dos dados se refere à “garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento”.

Ou seja, para respeitar as normas da LGPD, garanta que a base de dados pessoais que a sua empresa mantém seja verdadeira e esteja atualizada. Além disso, ela tem que estar alinhada com o propósito do seu negócio.

A transparência é outro princípio essencial da LGPD. Em suma, este princípio determina que as empresas precisam ser honestas com os titulares dos dados. Inclusive, devem informar aos proprietários dos dados sobre os respectivos agentes de tratamento, que são, basicamente, outras empresas envolvidas no processo de tratamento dos dados.

O princípio da transparência, de acordo com a lei, é a “garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial”

Como o próprio nome sugere, o princípio da segurança envolve a adoção de procedimentos, tecnologias e soluções que garantam maior proteção dos dados pessoais em casos de acessos não autorizados, como em ataques hackers, e de situações acidentais ou ilícitas de perda e alteração, por exemplo.

Sobre o princípio de segurança, diz a LGPD: “utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão”.

A velha máxima que diz que é melhor prevenir do que remediar também vale para a LGPD. O princípio da prevenção versa justamente sobre o ato de estar preparado para lidar com eventuais problemas envolvendo o tratamento de dados pessoais antes mesmo que eles surjam.

O princípio da prevenção determina a “adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais”.

O tratamento de dados pessoais jamais pode ser realizado com objetivos de discriminar ou de promover abusos contra os seus titulares. Neste caso, geralmente, estamos falando dos dados pessoais sensíveis, como os que tratam sobre origem racial ou étnica, convicção religiosa e opinião política, por exemplo.

O principio da não discriminação, de acordo com a LGPD, refere-se à “impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos”.

O princípio da responsabilização e prestação de contas dispõe sobre o cumprimento da lei tendo em vista provas e evidências de que medidas e procedimentos foram tomados pela empresa a fim de garantir a proteção dos dados

Sobre o princípio de segurança, diz a LGPD: “demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas”.