Baixe o app para aproveitar ainda mais
Prévia do material em texto
1 2 INFORMAÇÕES GERAIS APRESENTAÇÃO DO CONTEÚDO POR QUE VOCÊ DEVE LER ESTE LIVRO? CAPÍTULO I INFORMAÇÕES GERAIS SOBRE O TEMA 1. Por que é importante proteger dados pessoais? 2. O que são dados pessoais? 3. Que lei é esta? 4. Do que essa lei trata? 5.Por que essa lei foi criada no Brasil? 6. Quando a LGPD entrou em vigor? 7. Quais dados são protegidos pela LGPD? 8. Quais são os fundamentos desta lei? 9. A quais operações esta lei se aplica? 10. A quais operações esta lei não se aplica? CAPÍTULO II CONCEITOS QUE VOCÊ PRECISA ENTENDER CAPÍTULO III TRATAMENTO DE DADOS: O QUE VOCÊ PRECISA SABER III.I – TRATAMENTO DE DADOS 11. O que é tratamento de dados pessoais, de acordo com a LGPD? 12.O que é preciso observar para tratar os dados? 13. Quais princípios devem ser observados no tratamento de dados? 14.. Em quais hipóteses pode ser realizado o tratamento de dados pessoais? 15. Quais são as bases legais para o tratamento de dados pessoais? 16.O que é legítimo interesse do controlador? ÍN D IC E 3 17. Quais são as bases legais para o tratamento de dados pessoais sensíveis? 19. Quais são as bases legais para o tratamento de dados de menores? 20. É preciso consentimento para o uso de dados tornados públicos pelo titular? 21. Qual a diferença entre o tratamento de dados pessoais comuns e sensíveis? III.II - CONSENTIMENTO 22. O que você precisa fazer para usar os dados de uma pessoa? 23. Como deve ser esse consentimento? 24. O controlador pode usar uma autorização geral que lhe permita tratar os dados de todas as formas que desejar? 25. A utilização de pixels e cookies no site institucional ou na página de vendas também precisa de consentimento do titular dos dados? 26. O que o controlador deve fazer quando desejar utilizar os dados para finalidade diversa da previamente autorizada? 27. O controlador poderá utilizar os dados pessoais do titular sem o seu consentimento? 28. A empresa pode vender sua base de dados ou sua lista de e-mails, telefone ou whatsapp? 29. O que o controlador precisa fazer caso queira compartilhar seu banco de dados com outra empresa? 30. Caso o titular negue ter dado autorização, a quem cabe provar que a mesma foi concedida? 31. O consentimento do titular é por prazo determinado? 32. Como o titular revoga o consentimento concedido ao controlador? 33. Caso o titular revogue o consentimento para usar os seus dados, o que o controlador deverá fazer? ÍN D IC E 4 34. Caso o titular revogue a autorização, como ficam os atos já praticados pelo controlador? 35. Quando o controlador será obrigado a eliminar os dados do titular do seu banco de dados? 36. O controlador pode ficar com os dados pessoais arquivados após o término do tratamento? III.III – TRANSFERÊNCIA INTERNACIONAL DE DADOS 37. O que é transferência internacional de dados? 38. Em quais casos é permitida a transferência internacional de dados? 39. Quais assuntos referentes à transferência internacional de dados serão objeto de regulamentação pela ANPD? CAPÍTULO IV DIREITOS DO TITULAR DOS DADOS 40. Quem são os titulares dos direitos previstos na LGPD? 41. Quais são os direitos dos cidadãos com a entrada em vigor da LGPD? 42. Caso o titular queira usar de qualquer dos direitos acima, como deverá proceder? 43. O titular dos dados pode se opor ao tratamento dado pela empresa em relação aos seus dados? 44. Caso qualquer desses direitos seja desrespeitado pelo controlador, o que o titular pode fazer? 45. Caso o controlador receba um requerimento do titular acerca dos seus direitos, o que deverá fazer? 46. É possível impugnar tratamento automatizado dos dados pessoais feito pelo controlador? ÍN D IC E 5 47. O que acontece se o controlador não atende à solicitação do titular? 48. Quais procedimentos devem ser adotados para o registro, perante à ANPD, de reclamações sobre o tratamento de dados pessoais em desconformidade com a LGPD? 49. Quais providências podem ser adotadas pelo titular de dados no caso de recebimento de chamadas telefônicas frequentes oferecendo serviços ou produtos? 50. Quais os impactos dos direitos dos titulares na sua empresa? CAPÍTULO V AGENTES DE TRATAMENTO DE DADOS 51. Quem são os agentes de tratamento? 52. O que são os controladores? 53. O que são os operadores? 54. Quais as obrigações dos agentes de tratamento? 55. Quais cuidados o controlador deve ter em relação ao operador? 56. Quem é o encarregado pelo tratamento de dados pessoais? 57. Toda empresa precisará ter um encarregado? 58. O controlador deverá contratar um novo empregado para exercer a função de encarregado? 59. Quais devem ser as características de um encarregado? 60. Quais são as obrigações do encarregado no tocante ao âmbito externo da empresa (titular e ANDP)? 61. Quais são as obrigações do encarregado no âmbito interno da empresa? 62. O encarregado precisa ser empregado da empresa ou pode ser uma empresa contratada? 63. Quais as responsabilidades do controlador e do operador? ÍN D IC E 6 64. Existe alguma situação que exclui a responsabilidade dos agentes de tratamento? 65. Quando mais de um controlador estiver envolvido no tratamento do qual decorram danos ao titular, a quem caberá a responsabilidade? 66. O que é considerado tratamento irregular de dados pessoais? 67. Podem ser encaminhados à ANPD documentos a serem revisados e aprovados pela autoridade? CAPÍTULO VI SEGURANÇA DOS DADOS 68. C omo os agentes de tratamento devem proteger os dados pessoais? 69. Caso ocorra um incidente de segurança o que o controlador deve fazer? 70. Como deverá ser feita a comunicação de sinistro? 71. Caso ocorra um sinistro, quais medidas de poderão ser adotadas pela ANPD? 72. Diante de um incidente de segurança, de que forma o controlador pode demonstrar sua boa-fé? 73. O que são boas práticas e governança? 74. Por que é importante para o seu negócio ter normas de boas práticas e governança? 75. Como os titulares poderão ter acesso às regras de boas práticas e governança de um controlador? CAPÍTULO VII SANÇÕES ADMINISTRATIVAS 76. O que é sanção jurídica? ÍN D IC E 7 77. O é sanção administrativa? 78. Quais tipos de sanções administrativas estão previstas na lei? 79. As sanções administrativas já estão valendo? 78. Como serão aplicadas as sanções? 79. Quais critérios a LGPD estabeleceu para a aplicação das sanções? 80. Uma mesma infração pode gerar sanções administrativas, civis ou penais concomitantemente? 81. A empresa que sofreu sanção administrativa também poderá ser condenada a pagar indenização por danos morais ao titular pela mesma infração? 82. Como a Autoridade Nacional fará o cálculo da multa a ser aplicada? 83. O que acontece se o controlador ou operador multado não pagar a multa aplicada? 84. O que a ANPD fará com o valor arrecadado com as multas? 85. Em alguma hipótese o controlador poderá entrar em acordo com o titular dos dados para se isentar da aplicação da penalidade? CAPÍTULO VIII Autoridade Nacional DE PROTEÇÃO DOS DADOS 86. O que é Autoridade Nacional de Proteção de Dados Pessoais? 87. Qual é o papel da Autoridade Nacional de Proteção de dados? 88. Quando a ANPD foi criada? 89. Qual é a estrutura da ANPD? 90. A ANPD é uma autoridade independente? 91. A ANPD pode aplicar sanções pelo descumprimento da lei? 92. A Autoridade Nacional de Proteção de Dados Pessoais se ÍN D IC E 8 articula com outras entidades e órgãos públicos no exercício das suas competências? 93. Qual é o perfil dos diretores da ANPD? Como eles são escolhidos? 94. Para que serve o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade – CNPD? 95. Como serão escolhidos os membros do CNPD? 96. Como ocorrerá a participação da sociedade nos trabalhos da ANPD? 97. As pessoas físicase jurídicas, públicas e privadas, que realizam atividades de tratamento de dados pessoais terão de transferir para a ANPD seus bancos de dados? CAPÍTULO IX PLANO DE ADEQUAÇÃO DO SEU NEGÓCIO À LGPD CONCLUSÃO BIBLIOGRAFIA SOBRE A AUTORA ÍN D IC E 9 INFORMAÇÕES GERAIS Antes de você seguir adiante com a sua leitura, vamos fazer uma pequena enquete pra maximizar o aproveitamento deste livro e vamos fazer isso com uma simples pergunta ... Será que esse livro é para você? 10 “Será que esse livro é para você?” Para responder a essa pergunta, veja se você se enquadra em uma das categorias abaixo: a. Você faz eventos e divulga online, coletando informações das pessoas interessadas em participar do seu evento d. Você trabalha com marketing digital e faz campanhas publicitárias em alguma plataforma de busca (como o Google, por exemplo) ou em plataformas de redes sociais (como o FaceBook ou Instagram), coletando informações das pessoas interessadas naquilo que você está oferecendo f. Você tem uma loja física e ou um e-commerce (loja virtual) e você tem informações das pessoas interessadas no que você oferece ou que já adquiriram seu produto/ serviço g. Você pensa em montar um negócio online e, pra isso, você terá que montar sua lista de e-mails (utilizando uma plataforma de autoresponder) pra divulgar seu produto/ serviço pra essa lista h. Você divulga ou faz vendas de produtos físicos ou digitais através de grupos de whatsapp e. Você faz campanhas de publicidade online para promover determinado produto (físico ou digital) ou evento (palestra, webinário, live, etc) e você coleta o nome, o e-mail e o telefone (normalmente o Whatsapp) das pessoas em troca de um “brinde digital” b. Você vende algum produto físico ou oferece algum serviço online e coleta informações das pessoas interessadas em comprar seu produto ou seu serviço c. Você vende um infoproduto (e-book, curso online ou presencial, consultoria, aplicativo, software, etc) online e coleta informações das pessoas interessadas em adquirir seu infoproduto ? 11 Se você respondeu “sim” para quaisquer dessas categorias, esse livro É PARA VOCÊ! Se você respondeu “não” para quaisquer dessas categorias, mas pensa em montar um negócio físico ou online que envolva a coleta de dados pessoais que permitam que você entre em contato com essas pessoas, seja por e-mail, telefone ou mensagens, esse livro É PARA VOCÊ. Se você respondeu “não” e não pensa em montar um negócio online, mas você pensa em trabalhar com marketing digital (ou dar consultoria nessa área) que envolve a coleta de dados pessoais para divulgar seu produto ou serviço pra essas pessoas, esse livro É PARA VOCÊ. Pode ser que o fato do seu negócio ser B2B (voltado para empresas) leve você a pensar que este livro não seja pra você. Porém, se você tem empregados na sua empresa você necessariamente precisará adequá-la para tratar dos dados dos seus empregados com observância à Lei de Proteção de Dados. Agora, se você respondeu “não”, não pensa em montar um negócio online nem físico e não vai trabalhar com marketing digital, esse livro NÃO É PARA VOCÊ. Nesse caso, peça o reembolso porque nada do que será abordado aqui será útil pra você. Devolveremos seu dinheiro sem problemas e seguiremos, você e nós, nossos caminhos, sem ressentimentos nem mágoas. O importante é que nós possamos te ajudar e se você não vai ser beneficiado com esse livro, sugiro que você pegue seu dinheiro de volta e invista em algo que vai lhe trazer algum benefício, estamos combinados? Se você continua aqui, é porque você se enquadra em algumas das categorias que mencionamos e/ou pensa em trabalhar (ou já trabalha) com marketing digital, coletando informações pessoais (nomes, e-mails, telefones, Whatsapp, etc) e, nesse caso, esse livro vai ser EXTREMAMENTE útil, importante e vai te salvar de sérios problemas que poderão comprometer o seu negócio (financeiramente e judicialmente) ou mesmo, forçar você a fechar seu negócio. Isso mesmo ... o que abordaremos nesse livro é muito sério e envolve um assunto de altíssima importância hoje em dia ... a proteção de dados pessoais. Essa questão não é apenas no Brasil, mas no mundo inteiro em maior ou menor grau. No caso desse livro, nosso foco será o que está acontecendo no Brasil através da nova Lei Geral de Proteção de Dados Pessoais (LGPD). Este livro é, na realidade, um MANUAL PRÁTICO para que você possa se adequar às exigências da nova Lei Geral de Proteção de Dados Pessoais e evitar as consequências legais que poderão ter um impacto muito negativo nas suas atividades, no seu negócio, na sua vida financeira e jurídica. Aqui você vai encontrar todas as informações que você vai precisar saber para 12 evitar que você (ou sua empresa) viole essa nova Lei (LGPD) e incida em ilegalidades com sérias consequências para você e seu negócio, isso tudo de uma maneira simples, didática, prática e objetiva. Pra darmos uma visão geral inicial sobre essa lei (LGPD), vamos fazer isso através de perguntas e respostas, destrinchando essa Lei antes de mergulharmos a fundo nos detalhes de que ela trata e do que você precisa estar ciente (e que deverá cumprir) para evitar infringi-la e ter que arcar com as consequências. As perguntas serão simples e objetivas ... as respostas serão (quando necessário) divididas em duas partes: a primeira parte é com a visão de um advogado, uma vez que estamos lidando com leis e, a segunda parte da resposta, será uma tradução para o linguajar utilizado no nosso dia-a-dia para ajudar no entendimento. Pronto? Vamos lá ... 13 POR QUE VOCÊ DEVE LER ESSE LIVRO? Se você continua aqui, é porque você se enquadra em uma das categorias que serão, direta ou indiretamente, afetadas pela nova LGPD, mas uma coisa é você estar dentro do perfil das pessoas que terão parte do seu negócio regulado por essa lei, outra é saber o porquê. Você sabe POR QUÊ você deve ler esse livro? A resposta é simples, mas não é sem importância ... você deve ler esse livro porque SE VOCÊ NÃO SE ADEQUAR às normas e diretrizes da nova LGPD, você e o seu negócio poderão sofrer sanções (penalidades previstas nessa lei) que poderão não somente tirar o seu sono, mas poderão acabar com seu negócio, seja ele físico ou digital. É isso mesmo, não estou exagerando ... se você não se adequar ao que a nova LGPD exige, em última análise e no caso mais grave, você pode PERDER SEU NEGÓCIO, PERDER SUA FONTE DE RENDA, além de outras sanções que poderão comprometer o seu nome. Sim, isso é muito sério ... essa é a nova realidade imposta pela LGPD. As sanções são diversas e variam em função da gravidade da infração. Essas sanções (penalidades) são tão sérias que elas serão tratadas num capítulo específico para elas mais à frente neste livro, mas queremos frisar isso logo no início, antes mesmo de você conhecer a nova LGPD, para que você tenha a dimensão da seriedade e das consequências de não se adequar a essa lei. 14 Veja algumas das sanções que você poderá sofrer caso você viole alguma das normas e diretrizes da nova LGPD: Advertência Multa simples ... que pode chegar a R$50.000.000,00 por infração (isso mesmo, cinquenta milhões de reais!!!! Você tem esse dinheiro?) Multa diária ... de até R$5.000,00 por dia! Deixe-me repetir ... R$5.000,00 por dia! Publicização ... sua infração se tornará pública e todos saberão que você é um infrator da nova LGPD, ou seja, não é uma empresa confiável, porque não respeita os dados pessoais de seus clientes Bloqueio dos dados Suspensão parcial do uso dos dados...você já pensou o prejuízo financeiro que terá se for suspenso de tratar dados de forma parcial ou total? Você simplesmente para de faturar (vender), quebra o seu negócio! Suspensão total do uso dos dados e outros ... Isso sem contar as penalidades previstas por outras instâncias jurídicas como, por exemplo: • Danosmorais • Danos por prejuízos financeiros • Processos judiciais criminalistas • E tudo o mais que as leis impõem aos que violam suas normas 15 Esses últimos NÃO SÃO SANÇÕES PREVISTAS PELA NOVA LGPD, mas saiba que a aplicação de uma penalidade prevista pela nova LGPD não elimina as punições prevista por outras leis. É isso mesmo, você poderá sofrer diversos tipos de penalidades, não apenas as previstas pela nova LGPD. Como você pode ver, o assunto é sério e as consequências podem ser muito severas e, por isso, como foi dito, dedicamos um capítulo inteiro para que você saiba, exatamente, o que pode acontecer com você e seu negócio caso você não se adeque ao que essa lei exige. Seja prudente, adeque-se para se proteger. Com diz o ditado, “é preferível prevenir do que remediar” ... e é esse o nosso objetivo, ajudar você a se prevenir das sanções previstas pela nova LGPD para evitar as possíveis devastadoras consequências que podem, em última análise, inviabilizar o seu negócio e comprometer o seu nome perante a lei. É por essas razões que você deve ler esse livro. Pronto pra começar? Então vamos lá ... 16 CAPÍTULO I INFORMAÇÕES GERAIS SOBRE O TEMA Este capítulo lhe trará noções gerais sobre o tema para que você possa entender a sua importância, onde ele se encontra, quando passará a valer, de forma que você possa se familiarizar com o conteúdo. A partir disso, começaremos a aprofundar. Então, vamos lá... 1. POR QUE É IMPORTANTE PROTEGER DADOS PESSOAIS? Antes de mais nada é preciso compreender por que é importante proteger dados pessoais! E acredito que você possa estar pensando: “Poxa...a minha vida estava tão boa, pra quê inventaram de criar essa lei de proteção de dados? Pra quê isso?” Eu vou lhe explicar e acredito que vai fazer muito sentido! Vivemos hoje em uma sociedade de informação onde o uso, a criação, a distribuição, a manipulação e a integração da informação é uma atividade significativa1 É uma sociedade que busca, através da inovação tecnológica, tornar os processos de comunicação mais ágeis e eficientes para auxiliar no desenvolvimento das organizações e instituições de ensino unindo pesquisa e informação. Esse termo surgiu no século XX e diz respeito a nossa sociedade atual. 1 www.meuartigo.brasilescola.uol.com.br. A Sociedade da informação – Brasil Escola 17 “O termo ‘informação’ é descrito como os dados estruturados, organizados e processados, apresentados dentro do contexto, o que o torna relevante e útil para a pessoa que o deseja. A informação serve para divulgação, compartilhamento e assimilação de conhecimentos, emoções e intensões. A capacidade de processar informações e transmiti-la entre os seus semelhantes é o que distingue o homem dos outros seres habitantes da Terra.” 2 E por que é desejável uma sociedade de informação? Porque o novo paradigma oferece perspectivas de avanços significativos para a vida individual e coletiva, elevando o patamar de conhecimentos gerados e utilizados na sociedade, oferecendo o estímulo para constante aprendizagem e mudança, facilitando a salvaguarda da diversidade e deslocando o eixo da atividade econômica em direção mais condizente com o respeito ao meio ambiente. Um exemplo claro da importância da informação para a sociedade contemporânea é o aplicativo WASE. O Wase hoje funciona muito bem porque todas as pessoas que o utilizam compartilham seus dados de geolocalização. Através da sua inteligência artificial, ele identifica os locais onde o fluxo do trânsito está mais livre e informa ao usuário. Se não houvesse o compartilhamento dos dados, as pessoas ficariam presas no trânsito. Quando o Wase foi criado ele não era tão bom quanto é hoje, pois não haviam dados suficientes. É que quanto mais pessoas utilizam o aplicativo, mais eficiente e inteligente ele se torna e, consequentemente, melhores informações ele presta ao usuário. Outro exemplo é o uso da inteligência artificial para fins de medicina. No Japão 3 uma paciente que tinha um tipo raro de leucemia ficou aguardando nove meses para obter um diagnóstico. Inconformados, os médicos decidiram utilizar o Watson 4 , ferramenta de inteligência artificial da IBM, que gastou nada mais que 11 minutos para dar o diagnóstico correto. E por que isso foi possível? Poque a ferramenta analisou centenas de milhares de diagnósticos (dados, informações) para então chegar ao diagnóstico final. Essa é uma contribuição valiosíssima para a sociedade à medida em que pode evitar ou amenizar o sofrimento humano e permitir que as pessoas vivam muito melhor. Conforme se vê, em uma sociedade de informação, a informação é um grande valor! Na verdade, pode-se dizer sem medo de errar que na atualidade informação vale mais que petróleo. E por que informação vale tanto? Porque quanto mais se conhece uma pessoa, quanto mais se entende o que ela gosta, como ela age, quais são seus sonhos, seus medos e as suas dores, mais adequado será o produto ou o serviço que você pode oferecer para ela ou a criação de políticas públicas pelo Estado. E são os dados das pessoas que fornecem essas informações tão valiosas. 2 www.meuartigo.brasilescola.uol.com.br. A Sociedade da informação – Brasil Escola 3 https://youtu.be/EuXueJnYP7o LGPD – Lei Geral de Proteção de Dados - LECCAST 12, Podcast Marcio El Kalay recebe Camilla Jimene 4 https://www.ibm.com/br-pt/cloud/ai?p1=Search&p4=43700055864819414&p5=b&gclsrc=aw. ds&gclid=Cj0KCQjwnueFBhChARIsAPu3YkSd8s_ OV5oBf18mhPQGTPcPSrbCMd2oTtoz87vP4E5K3VoPOnA44jQaAot3EALw_wcB 18 O compartilhamento de informações é, então, algo positivo que contribui para a melhoria da qualidade de vida das pessoas? Claro que sim, mas é preciso protege- la de abusos. Por isso, tornou-se necessária a criação de regras de conduta que estabelecessem parâmetros mínimos de ética na utilização desses dados, surgindo daí Lei Geral de Proteção de Dados Pessoais - LGPD. 2. O QUE SÃO DADOS PESSOAIS? Como o próprio nome diz, são dados de pessoas, seres humanos, não se incluindo aí animais nem empresas (pessoas jurídicas). A LGPD adota um conceito amplo de dado pessoal, segundo a qual dado pessoal pode ser entendido como: a) Dados que identificam a pessoa, informações relativas ao nome, número de inscrição no Registro Geral (RG) ou no Cadastro Nacional de Pessoas Físicas (CPF) e endereço residencial, seus hábitos de consumo, sua aparência e aspectos de sua personalidade. b) Dados que permitam a identificação de uma pessoa. São aqueles que tornam a pessoa identificável, tendo em vista tratar-se de alguma característica sua, como por exemplo, placa do carro, geolocalização, número de cartão de crédito, dentre outros. Em determinadas situações até o sexo pode tornar uma pessoa identificável. Suponhamos que num processo seletivo para vaga de emprego participem 5 homens e apenas 1 mulher. Finalizado o processo, vaza a informação de que a candidata aprovada é mulher. Ora, neste caso, a candidata mostra-se perfeitamente identificável, tendo em vista ter sido a única a participar do processo seletivo. c) Dados pessoais sensíveis, que são aqueles que podem gerar discriminação das pessoas. Tratam-se de dados relacionados à vida sexual, origem racial ou ética, opção política, convicção religiosa e dados relativos à saúde, genéticos ou biomédicos. Um exemplo seria uma empresa, em processo seletivo, pedir ao candidato que informe se ele é sindicalizado ou não. Esse dado é sensível por que? Porque dependendo da visão da empresa, a resposta pode contribuir para a desclassificação do candidato. 3. QUE LEI É ESSA? A Lei de que trata este manual é a lei 13.709, de 14 de agosto de 2018, que é a Lei Geral de Proteção de Dados Pessoais, designada a partir de agora apenas LGPD. Em 2019 alguns artigos da Lei 13.709 (LGPD) foram alterados pela Lei 13.853. 19 Além disso, sobre essa Lei, há ainda o Decreto 10.474, de 26 de agosto de 2020, que cria e regulamenta a Autoridade Nacional de Proteção de Dados queé a Autoridade Estatal responsável pela fiscalização e aplicabilidade da LGPD. É esperado que muitas outras normas sejam elaboradas pela Autoridade Geral de Proteção de Dados no intuito de regulamentação desta lei. 4. DO QUE ESSA LEI TRATA? A Lei Geral de Proteção de Dados – LGPD – dispõe sobre o tratamento de dados pessoais das pessoas naturais 5 , definindo as hipóteses em que tais dados podem legitimamente ser utilizados por terceiros e estabelecendo mecanismos para proteger os titulares dos dados contra usos inadequados, abusos, vazamento de informação, dentre outros. A Lei é aplicável ao tratamento de dados realizado por pessoas naturais ou por pessoas jurídicas de direito público ou privado, e tem o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa. Ou seja, essa Lei regulamenta o que pode e o que não pode ser feito com os dados pessoais que são coletados presencialmente ou via Internet, seja por você, por sua empresa ou por terceiros (contratados por você), tudo com uma única finalidade .... proteger os dados dessas pessoas e evitar que sejam utilizados de forma inadequada e contra a vontade delas. 5. POR QUE ESSA LEI FOI CRIADA NO BRASIL? O Brasil há alguns anos vem dando passos lentos no sentido de regulamentar minimamente a proteção dos dados pessoais. Foi assim em 1990 quando foi inserido no Código de Defesa do Consumidor (Lei 8.078) o art. 43, que prevê que o consumidor “terá acesso às informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre as suas respectivas fontes.” Em 2013, tratando especificamente do comércio eletrônico, o Decreto 7.962, previu em seu art. 4, VII, norma sobre segurança no tratamento de dados, disposta assim: “Para garantir o atendimento facilitado ao consumidor no comércio eletrônico, o fornecedor deverá utilizar mecanismos de segurança eficazes para pagamento e para tratamento de dados do consumidor”. Em 2014 foi promulgado o Marco Civil da Internet, através da Lei 12.965, que em seu art. 7, garante uma série de direitos ao usuário, dentre eles o direito à intimidade, à privacidade, sigilo de suas comunicações armazenadas, direito à informações constantes dos contratos e práticas de gerenciamento de rede, não 5 Pessoa natural é o ser humano dotado de capacidade, titular de direitos e obrigações a partir do seu nascimento com vida 20 compartilhamento de dados à terceiros, informações sobre o tratamento dos seus dados, consentimento, exclusão definitiva, aplicação de normas de proteção e defesa do consumidor, dentre outras. Contudo, embora o Brasil já tivesse uma legislação incipiente sobre proteção dos dados pessoais, a criação da LGPD não foi uma escolha livre, mas fruto de pressão internacional, notadamente da União Europeia, que tendo promulgado seu RGPD - Regulamento Geral de Proteção de Dados em 2018. A RGPD proibiu o comércio ou a transferência de dados pessoais de seus membros para países não membros que não tivessem o mesmo nível de proteção e segurança previsto em lei própria, com previsão de constituição de uma Autoridade destinada à proteção dos dados. Assim, em 2018, o Brasil promulgou a LGPD para não ser prejudicado economicamente por essa barreira comercial. A constituição de um ambiente jurídico voltado à proteção de dados pessoais corresponde também a um alinhamento com as diretrizes da Organização para a Cooperação e Desenvolvimento Econômico – OCDE, que há décadas vem desempenhando um relevante papel na promoção do respeito à privacidade como um valor fundamental e como um pressuposto para o livre fluxo de dados. Além disso, o Brasil foi um dos últimos países da América Latina a se adequar às exigências internacionais de proteção aos dados pessoais. Tendo por objetivo proteger os direitos fundamentais relacionados à esfera informacional do cidadão, a LGPD introduziu uma série de novos direitos que asseguram maior transparência quanto ao uso dos dados e conferem protagonismo ao titular quanto ao seu uso. Antes da lei, a ideia praticada pelas empresas era a de que os dados eram de sua propriedade, tendo em vista serem elas as guardiãs dos dados. Contudo, a lei veio dizer de forma clara e objetiva que os dados são das pessoas e por isso elas têm direitos sobre os mesmos e as empresas deveres em relação a eles. Por fim, mas não menos importante, a LGPD traz a oportunidade de aperfeiçoamento das políticas de governança de dados, com adoção de regras de boas práticas e incorporação de medidas técnicas e administrativas que mitiguem os riscos e aumentem a confiança dos titulares dos dados na organização. Numa linguagem coloquial, a Lei foi criada no Brasil para proteger os dados pessoais que foram confiados a você, sua empresa ou terceiros, de tal forma que haja uma maior transparência no que será feito com esses dados, evitando que eles sejam utilizados para finalidades diversas das que foram obtidos. 21 6. QUANDO A LGPD ENTROU EM VIGOR? A Lei entrou em vigor de maneira escalonada a partir de 2018: Em 28 de dezembro de 2018, a lei entrou em vigor quanto aos arts. 55-A, 55-B, 55-C, 55-D, 55-E, 55-F, 55-G, 55-H, 55-I, 55-J, 55-K, 55-L, 58-A e 58-B, que tratam da constituição da Autoridade Nacional de Proteção de Dados – ANPD – e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade – CNPD. Em 18 de setembro de 2020, a lei entrou em vigor quanto aos demais artigos, com exceção dos dispositivos que tratam da aplicação de sanções administrativas; Em 1º de agosto de 2021, entrarão em vigor os arts. 52. 53 e 54, que tratam das sanções administrativas. Data essa em que a LGPD passará a vigorar na sua totalidade. Resumindo, a LGPD entrou em vigor no final de 2018 e foi sendo implementada, gradativamente, a fim de que as pessoas (pessoas físicas) e empresas (pessoas jurídicas) pudessem tomar consciência e se adequarem a essa lei. No entanto, a partir de 01 de agosto de 2021, aqueles que não cumprirem essa Lei e não se adequarem a ela, poderão sofrer as punições previstas nessa Lei (trataremos disso mais adiante no livro) É preciso ficar atento para o fato de que estrutura física da Autoridade Nacional de Proteção de Dados foi criada sem dotação orçamentária específica e sem aumento de despesa, sendo certo que a sua constituição foi feita valendo-se de servidores emprestados de outros órgãos, compartilhamento de espaço físico destinado a outras atividades. Contudo, fato é que pela importância das atividades a serem desenvolvidas pela Autoridade, bem como o crescimento de suas demandas, ela precisará investir na sua estrutura e para fazê-lo precisará de dinheiro. E esses recursos virão, prioritariamente, da arrecadação das multas aplicadas. Em razão disso, este é um momento importante para que você e sua empresa se adequem às normas da lei, a fim de evitar penalidades desnecessárias. 7. QUAIS DADOS SÃO PROTEGIDOS PELA LGPD? A LGPD garante proteção a todos os dados pessoais, estejam eles em formato físico ou digital. Isso significa dizer que a LGPD protege desde o dado que está no arquivo morto físico ou naqueles fichários antigos como os dados que estão nas nuvens sob a custódia de alguma empresa. A LGPD protege os dados de pessoas, não abrangendo dados de pessoas jurídicas – os quais não são considerados dados pessoais para os efeitos da Lei. 22 Apenas a título de informação, as pessoas jurídicas que tenham seus dados violados ou utilizados indevidamente também poderão pleitear reparação e indenização. Contudo, não o farão com base na LGPD, mas com base no Código Civil Brasileiro. Resumindo, a LGPD protege os dados dos seres humanos, mas NÃO PROTEGE OS DADOS DE PESSOAS JURÍDICAS (empresas), tampouco de animais! 8. QUAIS SÃO OS FUNDAMENTOS DESTA LEI? A LGPT tem como fundamento princípios protegidos pela Constituição Federal relacionados ao direito de personalidade, privacidade,informação, liberdade de expressão, desenvolvimento econômico, dentre outros. Seus preceitos buscam coordenar valores importantes e contraditórios como o desenvolvimento econômico (que pressupõe o avanço tecnológico, a necessidade de compartilhamento de dados) e o direito à privacidade (que pressupõe a proteção à intimidade, à autodeterminação informativa, à liberdade de expressão, dentre outros) Assim, são fundamentos da LGPD: a) O Respeito à privacidade. A privacidade diz respeito ao direito de garantia da inviolabilidade da intimidade, da vida privada. Isso significa dizer que você não poderá usar os dados de uma pessoa de modo a expor as suas relações pessoais, a sua intimidade ou a sua honra ou a sua imagem e caso isso não seja respeitado, você e/ou a sua empresa estarão sujeitos a ação de indenização para reparação de dano material e/ou moral decorrentes de sua violação. b) A autodeterminação Informativa. A autodeterminação é um termo filosófico e aristotélico que tem como base a possibilidade de um indivíduo agir ou não agir, de ter a liberdade e a possibilidade de determinar a si mesmo, de decidir por si próprio. Assim, quando falamos em autodeterminação informativa, estamos falando sobre a possibilidade do indivíduo, titular do dado, exigir que seus dados deixem de ser tratados 6, sejam modificados, revistos, retificados, dentre outros. Para se autodeterminar, o titular dos dados precisa saber como e para que os dados por ele cedidos serão usados, daí a previsão do consentimento do titular que é a manifestação de vontade através da qual o indivíduo se autodetermina. 6 https://paduanseta.jusbrasil.com.br/artigos/762224470/o-que-e-autodeterminacao-informativa-e-como-isso-tem-a-ver-com-a-lgpd 23 c) A liberdade de expressão, de informação, de comunicação e de opinião. A liberdade de pensamento que abrange toda forma de expressão artística, jornalística, cultural, religiosa, etc, é prevista pelo artigo 220 da Constituição que dispõe que “A manifestação do pensamento, a criação, a expressão e a informação, sob qualquer forma, processo ou veículo, não sofrerão qualquer restrição, observado o disposto nesta constituição”. Assim, nenhuma lei poderá limitar a liberdade de expressão, de informação jornalística, em qualquer veículo de comunicação social 7. Isto significa dizer que é vedada toda e qualquer censura de natureza política, ideológica e artística. E exatamente o que vemos nesta lei quando excetua do seu campo de sua abrangência o tratamento de dados para fins exclusivamente particulares e não econômicos e, ainda, para fins jornalísticos, artísticos e acadêmicos. d) A inviolabilidade da intimidade, da honra e da imagem. A intimidade, a honra e a imagem são protegidas pelo inciso X, do art. 5 da Constituição, que garante ao titular o direito de indenização por danos morais e materiais, caso tenha seus direitos violados. A ‘intimidade’ diz respeito ao círculo de relações mais próximas de um indivíduo, tais como as relações mantidas com seus familiares. Proteger a intimidade é impedir a intromissão de estranhos na vida privada e familiar de cada um, limitando o compartilhamento de informações pessoais e íntimas dos indivíduos sem seu consentimento 8. A honra, por sua vez, traduz-se pelo sentimento de dignidade própria e a imagem pelo apreço social, relacionado à reputação e à boa fama do cidadão na sociedade. e) O desenvolvimento econômico e tecnológico e a inovação. É um direito humano inalienável, em virtude do qual toda pessoa está habilitada a participar do desenvolvimento econômico, social, cultural e político, para ele contribuir e dele desfrutar, no qual todos os direitos humanos e liberdades fundamentais possam ser plenamente realizados. Em outras palavras, é o direito que garante a você e à sua empresa a possibilidade de crescerem e participarem do desenvolvimento econômico, tecnológico, social, cultural e político do país, desde que respeitando os direitos individuais de cada pessoa. f) A livre inciativa, a livre concorrência e a defesa do consumidor. A livre iniciativa, a livre concorrência e a defesa do consumidor são princípios constitucionais da ordem econômica que visam coibir práticas de concorrência desleal e atos que configurem infração contra a ordem econômica. A livre iniciativa diz respeito à liberdade dos cidadãos constituírem seus próprios negócios e a livre concorrência diz respeito à liberdade de competição entre essas empresas. A LGPD incentiva a iniciativa privada e prevê que ela deve ser exercida em respeito ao direito do consumidor e do titular dos dados. 7 https://www.conjur.com.br/2021-fev-28/opiniao-direito-esquecimento-lgpd-liberdade-expressao 8 https://www.politize.com.br/artigo-5/intimidade/ 24 g) Os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas. Os direitos humanos, o livre desenvolvimento da personalidade e a dignidade dizem respeito às liberdades individuais, do direito do indivíduo decidir como construir sua personalidade, sem a interferência de terceiros, assegurando uma autodeterminação própria do seu desenvolvimento. Dizem respeito também às relações sociais e ambientais em que a pessoa está inserida, uma vez que afetam o seu desenvolvimento 9. 9. A QUAIS OPERAÇÕES ESTA LEI SE APLICA? A LGPD é aplicável a qualquer operação de tratamento de dados pessoais que tenham sido coletados dentro do território brasileiro ou que tenham como objetivo fornecer bens ou serviços a pessoas localizadas no Brasil, independentemente se esses dados pessoais terem sido coletados offline ou online, em meios físicos ou virtuais. A LGPD se aplica a empresas que têm estabelecimento no Brasil e/ou oferecem produtos e serviços ao mercado brasileiro e/ou coletam e tratam de dados de pessoas que estejam no país. Conforme se vê a LGPD adotou o critério da territorialidade no tocante à coleta dos dados para definir o seu âmbito de aplicação. Em outras palavras, isso significa dizer que esta lei se aplica a todas as operações de captura de leads, fechamento de contratos, envio de mensagens de publicidade, conteúdo e oferta de e-mails, mensagens no Whatsapp, telefone, dentre outros, de pessoas localizadas no Brasil ou cujos dados tenham sido coletados no Brasil. EXEMPLO RECENTE DA EMPRESA WHATSAPP Em janeiro de 2021, o WhatsApp anunciou que promoveria uma mudança em sua política de privacidade. Na nova versão, o aplicativo de mensagens detalhava práticas de tratamento de dados pessoais dos usuários, afirmando não expandir a habilidade de compartilhamento de informações com o Facebook, proprietário do WhatsApp. Algum tempo depois do anúncio, a empresa decidiu prorrogar a entrada em vigor da nova política, com o objetivo de fornecer aos usuários mais informações sobre privacidade e segurança. Diante dessa informação, o CADE - Conselho Administrativo de Direito Econômico, o MPF – Ministério Público Federal, a ANPD - Autoridade Nacional de Proteção de Dados e a Senacon – Secretaria Nacional do Consumidor emitiram uma recomendação ao aplicativo de mensagens e ao Facebook indicando a adoção 9 https://www.google.com/amp/s/vieiravictor.jusbrasil.com.br/artigos/1108676532/o-que-e-o-livre-desenvolvimento-da- personalidade/amp 25 de providências relacionadas à nova política, enquanto não forem adotadas as recomendações sugeridas após as análises dos órgãos reguladores. Nessa recomendação, as instituições apontaram que a política de privacidade e as práticas de tratamento de dados apresentadas pelo WhatsApp podem, em princípio, representar violações aos direitos dos titulares de dados pessoais. As instituições ainda demonstrarampreocupação com os potenciais efeitos sobre a concorrência e sob a ótica da proteção e defesa do consumidor 10. Em resposta, a empresa whatsapp informou que irá adiar a implementação da nova política de segurança da empresa. 10. A QUAIS OPERAÇÕES ESTA LEI NÃO SE APLICA? Se a legislação brasileira adotou o princípio da territorialidade da captura dos dados, isso significa dizer que, em linhas gerais, a lei não se aplicada a dados coletados fora do território nacional. Também não se aplica ao tratamento de dados realizados: a) para fins exclusivamente particulares e sem finalidade econômica. (Ex.: enviar um e-mail a um amigo) b) para fins jornalísticos (informação jornalística que menciona os dados pessoais de uma pessoa em uma notícia) c) para fins acadêmicos (a menção aos dados de pessoas, com exemplo trazido por um professor aos seus alunos) d) p ara fins artísticos (uma pintura que retrata um indivíduo de forma caricata ou uma foto artística que pega a imagem de um grupo de pessoas) e) para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais, cujos tratamentos de dados serão objeto de legislação específica. Esta hipótese só poderá ser utilizada por agente de tratamento público, sendo vetada a utilização por empresa privada. Ex.: o tratamento de dados de um titular suspeito de ser terrorista ou da prática de algum crime contra a segurança nacional.) 10 https://www.gov.br/anpd/pt-br 26 f) dados coletados fora do território nacional e que não sejam objeto de comunicação ou compartilhamento com empresas brasileiras ou objeto de transferência internacional de dados com outro país diverso do país onde os dados são coletados, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei. Ex.: um brasileiro que, estando de férias nos EUA, entra em um aplicativo de relacionamento estrangeiro. A proteção dos seus dados, nesse caso, será regida pela legislação norte-americana e não pela LGPD, tendo em vista que os dados foram coletados fora do país, a empresa não comunica seus dados com nenhuma empresa brasileira de tratamento de dados e o serviço foi oferecido fora do país) 27 CONCEITOS QUE VOCÊ PRECISA ENTENDER 28 CAPÍTULO II CONCEITOS QUE VOCÊ PRECISA ENTENDER Pra entender a lei, a gente precisa entender a terminologia utilizada para que ela faça sentindo. Se a gente não entender o significado das palavras, a informação não será compreendida ou pior, a compreensão pode ser equivocada e a gente vai errar achando que está acertando. O problema é que, perante a Lei, não podemos alegar desconhecimento. Por isso, vamos entender, primeiramente, algumas terminologias utilizadas na LGPD antes de nos aprofundarmos nela. Se você já conhece essas terminologias, pule para o próximo capítulo, mas se você desconhece ou não tem certeza se conhece ou não, continue lendo. Vamos fazer isso de uma forma direta e objetiva, apresentando a terminologia e o seu significado. Vamos lá ... DADO PESSOAL – É qualquer informação relacionada à pessoa física, seja ela uma pessoa identificada ou identificável como, por exemplo, nome (e sobrenome), e-mail, telefone, Whatsapp, endereço, redes sociais, etc DADO PESSOAL SENSÍVEL - Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa. DADO ANONIMIZADO - Dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento BANCO DE DADOS - Conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico TITULAR – É a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento (continue lendo que existe uma explicação sobre a palavra “tratamento”) CONTROLADOR – É a pessoa natural (física) ou jurídica (empresa), de direito público ou privado, responsável pelas decisões referentes ao que será feito com os dados pessoais coletados OPERADOR – é a pessoa natural (física) ou jurídica (empresa), de direito público 29 ou privado, que utiliza os dados pessoais em nome do controlador, ou seja, é a pessoa ou empresa que você contratou para cuidar da coleta e uso dos dados pessoais ENCARREGADO – é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD) AGENTES DE TRATAMENTO – é o controlador e o operador TRATAMENTO – É toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Em resumo, é tudo que você faz com os dados pessoais desde a coleta até sua utilização ANONIMIZAÇÃO – É a utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. O que significa isso? Significa você ter os dados mas não poder relacioná-los ao seu titular. Mas pra quê isso me serve? Para análise, pesquisa, histórico e tomada de decisão da sua atividade. Suponhamos que você tenha feito uma campanha para venda de um produto para pessoas de 30 a 60 anos. Após o término da campanha ao invés de você descartar os dados, como seria o correto a ser feito já que a finalidade foi alcançada, você poderá anonimizar os dados (desassociá-los dos seus titulares) para fazer uma pesquisa mais detalhada sobre o seu público, o comportamento de consumo, suas dores, sonhos, se a comunicação foi assertiva, dentre outros. CONSENTIMENTO: É a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada BLOQUEIO: É a suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados ELIMINAÇÃO: Exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado TRANSFERÊNCIA INTERNACIONAL DE DADOS: É a transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro USO COMPARTILHADO DE DADOS: É a comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados 30 RELATÓRIO DE IMPACTO À PROTEÇÃO DE DADOS PESSOAIS: É a documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco ÓRGÃO DE PESQUISA: É o órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico AUTORIDADE NACIONAL: É o órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional. 31 O QUE É TRATAMENTO DE DADOS? 32 CAPÍTULO III TRATAMENTO DE DADOS: O QUE VOCÊPRECISA SABER Agora é a hora de começarmos a aprofundar na LGPD e vamos fazer isso em partes para facilitar a sua compreensão. Usando uma analogia, seria como se fôssemos construir uma casa. A gente não começa a casa pelo telhado nem pelo acabamento ... a gente começa a casa pelas fundações e é isso que iremos fazer aqui. Se você começar pelo telhado, não vai dar certo ... então vamos começar pelas fundações e, pra isso, vamos utilizar o método das perguntas e respostas para facilitar sua compreensão. Vamos lá ... 11. O QUE É TRATAMENTO DE DADOS PESSOAIS DE ACORDO COM A LGPD? Segundo a LGPD, “tratamento de dados pessoais” é toda operação realizada com dados pessoais como, por exemplo, as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Em outras palavras, “tratamento de dados pessoais” é tudo que você faz com os dados coletados das pessoas interessadas no seu produto e/ou serviço, simples assim. Se você observar bem, a conceituação da lei considera tratamento a prática de 20 ações, ou seja, tudo que você faz com os dados pessoais desde a coleta até sua utilização. Vejamos: 1. Coleta, 2. Produção, 3. Recepção, 4. Classificação, 5. Utilização, 6. Acesso, 7. Reprodução, 8. Transmissão, 9. Distribuição, 10. Processamento, 11. Arquivamento, 12. Armazenamento, 13. Eliminação, 14. Avaliação ou 15. Controle da informação, 16. Modificação, 17. Comunicação, 18. Transferência, 19. Difusão ou 20. Extração. 33 É difícil imaginar o uso de um dado que não se enquadre no conceito de tratamento previsto pela LGPD. Até o arquivamento e armazenamento que você faz em arquivo morto de papel é considerado tratamento, bem como o descarte ou a eliminação desse dado, que também é uma forma de tratamento. Assim, todas estas práticas deverão observar os preceitos da lei. 12. O QUE É PRECISO OBSERVAR PARA TRATAR DADOS? Essa é uma pergunta importante, porque a LGPD trouxe mudanças significativas que vão alterar impactar a vida de todas as pessoas, eis que traz uma mudança de cultura que precisa ser assimilada por nossa sociedade. O Brasil sempre se cultuou a prática da ‘big data’, ou seja, a ideia de quanto mais informação melhor. Desta forma, as empresas estavam acostumadas à coleta do máximo de dados possíveis, independentemente da necessidade e finalidade. Isso era comum porque o tratamento de dados não gerava responsabilidade para os controladores. A LGPD, contudo, trouxe a ideia da ‘small data’, ou seja, deve-se coletar o mínimo de dados possível, ou seja, apenas os necessários às finalidades do tratamento desejado. Exemplo: Suponhamos que você vá a uma livraria comprar um livro e na hora de fazer o seu cadastro, além do nome e CPF a loja lhe peça para informar o endereço, a data de aniversário, sexo, tipo de leitura que gosta, signo, religião e idade. Ora, qual a finalidade de todas essas informações? São compatíveis com a finalidade da empresa (vender livros)? Será realmente necessário saber o signo, religião, idade, sexo e endereço? Lembre-se que hoje você pode se negar a informar seus dados caso o controlador não justifique a finalidade para a qual eles estão sendo coletados. E ainda assim, você poderá optar por não fornecer, caso o tratamento dependa do seu consentimento. Com base nisso, todo tratamento de dados deverá observar princípios que garantam ao titular proteção aos seus dados pessoais, conforme veremos a seguir. 34 13. QUAIS PRINCÍPIOS DEVEM SER OBSERVADOS NO TRATAMENTO DE DADOS? O tratamento de dados pessoais deverá observar alguns princípios. O primeiro deles, considerado fundamento do tratamento de dados, é o da BOA-FÉ. A boa-fé pressupõe a existência de um padrão ético de conduta para as partes nas mais diversas relações obrigacionais. A boa-fé está relacionada tanto à intenção entre os contratantes (boa-fé subjetiva), como também às atitudes por eles tomadas (boa-fé objetiva). No princípio da boa-fé estão implícitos uma série de direitos anexos, tais como o ‘dever de cuidado em relação à outra parte negocial; dever de respeito; dever de informar a outra parte sobre o conteúdo do negócio; dever de agir conforme a confiança depositada; dever de lealdade e probidade 11; dever de colaboração ou cooperação; dever de agir com honestidade; dever de agir conforme a razoabilidade, a equidade e a boa razão’ 12 O tratamento de dados deverá respeitar também os princípios abaixo: PRINCÍPIO DO QUE SE TRATA FINALIDADE realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades ADEQUAÇÃO compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento NECESSIDADE limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados 11 Probidade significa agir de acordo com os princípios éticos e morais aceitos em uma sociedade. Significa ter integridade de caráter. É uma característica de pessoas que costumam agir com ética e honra nas suas decisões.” https://www. significados.com.br/probidade/ Significado de Probidade (o que é, Conceito e Definição) 12 https://www.aurum.com.br/blog/principio-da-boa-fe/ Boa-fé: saiba TUDO sobre esse importante princípio jurídico. 35 LIVRE ACESSO garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais QUALIDADE DOS DADOS garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento TRANSPARÊNCIA garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial SEGURANÇA utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão PREVENÇÃO adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; NÃO DISCRIMINAÇÃO impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos (ex: características como religião, política, racial, caraterísticas físicas, comorbidades...) RESPONSABILIZAÇÃO E PRESTAÇÃO DE CONTAS demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas 36 Para que você e sua empresa realizem tratamentos legítimos e legais, ao fazê-lo deverão se perguntar: • Quero tratar esse dado pra qual finalidade? • Esse tratamento é adequado, ou seja, é proporcional às finalidades? • É necessário às finalidades ou é excessivo? • Permite ao titular consulta facilitada? • Os dados estão corretos, atualizados? São suficientes? • O titular desses dados tem informações claras, precisas e facilmente acessíveis sobre a realização desse tratamento? • Ao efetuar este tratamento, os dados do titular estarão seguros? • O que o poderei fazer para evitar possíveis riscos ou danos decorrentes deste tratamento? • O tratamento desses dados é discriminatório? • O tratamento desses dados é abusivo? • O tratamento desses dados é ilícito? • Ao tratar esses dados minha empresa está cumprindo todas as medidas eficazes e as normas de proteção de dados pessoais? Se você conseguir responder adequadamente a todas as perguntas,então o seu tratamento estará em consonância com os princípios legais que devem regê-lo. Princípios são linhas mestras, é como se fossem um grande farol apontando a direção na qual você deve seguir. Dessa forma, sempre você tiver dúvida sobre a adequação do tratamento (uso) que você pretenda dar ao dado, você deve se fazer as perguntas acima, a fim de garantir a legalidade e a legitimidade do tratamento. É importante destacar que, mesmo para os dados pessoais de acesso público, o tratamento deverá considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização. Além disso, mesmo nas hipóteses de dispensa de consentimento previstas nesta lei (apresentadas no capítulo anterior), o tratamento de dados deverá sempre observar os princípios listados acima. 37 14. EM QUAIS HIPÓTESES PODE SER REALIZADO O TRATAMENTO DE DADOS PESSOAIS? Segundo a LGPD você só pode tratar os dados de uma pessoa nas hipóteses previstas em lei. Isso significa dizer que qualquer tratamento de dados que você faça precisa ou estar amparado por um dispositivo legal ou ter o consentimento de vontade do titular. Assim, a LGPD vai enumerar as hipóteses legais de tratamento: 1ª situação: no caso dos dados pessoais, quando se verificar a ocorrência de qualquer uma das hipóteses previstas em seu artigo 7o (ao todo, são dez bases legais que iremos abordar a seguir em detalhes) 2ª situação: no caso de dados pessoais sensíveis, quando se verificar a ocorrência de uma das hipóteses previstas no artigo 11 (ao todo são oito bases legais que iremos abordar a seguir em detalhes). 15. QUAIS SÃO AS BASES LEGAIS PARA O TRATAMENTO DE DADOS PESSOAIS COMUNS? Conforme anteriormente mencionado, o tratamento de dados pessoais, previstos no art. 7o da LGPD, poderá ser realizado mediante: a) Consentimento do titular b) Sem o consentimento, nas hipóteses abaixo: • Para o cumprimento de obrigação legal ou regulatória pelo controlador (ex.: imobiliária que informa à Receita Federal sobre o imposto que reteve na fonte em relação aos alugueres recebidos como intermediária dos proprietários dos imóveis) • Para a execução de políticas públicas, pela administração pública (transferência do tratamento de pacientes de câncer de um hospital geral, para um Centro Oncológico) • Para a realização de estudos por órgão de pesquisa (Informação dos hospitais para a Secretaria Municipal de Saúde dos pacientes com COVID-19) 38 • Para a execução de contrato ou de procedimentos preliminares (ex.: envio para a contabilidade da ficha cadastral do novo empregado contratado para registro no livro próprio) • Relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados (ex.: portabilidade de linha telefônica para outra operadora) • Para o exercício regular de direitos em processo judicial, administrativo ou arbitral (ex.: Caso o empregado tenha sido demitido, o arquivamento dos seus dados pelo prazo de 02 (dois) anos pelo controlador é justificável tendo em vista ser esse o prazo que o empregado tem para ajuizar alguma reclamação trabalhista contra o empregador após a sua dispensa) • Para a proteção da vida ou da segurança física do titular ou de terceiro (ex.: uso de reconhecimento facial para garantir a segurança da empresa, seus empregados e clientes. O reconhecimento facial é uma tecnologia interessante porém, se não for usada de forma a caracterizar o objetivo específico de segurança, pode ser considerada violação à LGPD no tocante à proteção à imagem, além de abuso e excesso do controle por parte do controlador quanto aos empregados) A título de curiosidade, “a prefeitura de São Paulo bloqueou 331.641 cartões de Bilhete Únicos nos últimos dois anos por meio da ‘tecnologia de reconhecimento facial’. A tecnologia é empregada para encontrar cartões que sejam utilizados por terceiros, dessa maneira, evitando fraude.” 13 • Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária (ex.: vacinação por idade) • Para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais • Para a proteção do crédito (ex.: SERASA que disponibiliza os dados sobre clientes devedores) Conforme podemos observar, são inúmeras as hipóteses em que as pessoas ou empresas estão autorizadas a tratar dados pessoais sem autorização do titular. É por isso que no processo de adequação da empresa à LGPD você deverá identificar quais processos internos tratam dados pessoais e, ainda, definir o fundamento legal de cada tratamento. Para todas as hipóteses cujo tratamento não tenha uma previsão legal correspondente, há que se obter o consentimento do titular do dado. É conveniente que as empresas procurem ao máximo enquadrar o tratamento que dão aos dados às hipóteses legais que não dependam do consentimento, tendo em vista que este pode ser revogado pelo titular a qualquer momento. 13 https://youtu.be/ZsLBXTUxJ4K Segurança Digital e Proteção de Dados – Dra. Patrícia Peck Pinheiro 39 Outro aspecto importante a se observar neste hall é a hipótese de tratamento por ‘legítimo interesse do controlador’, por ser um conceito vago, amplo e completamente subjetivo, sobre o qual falaremos a seguir. 16. O QUE É LEGÍTIMO INTERESSE DO CONTROLADOR? A LGPD autoriza o uso de dados em caso de “interesses legítimos do controlador”, mesmo que não haja consentimento do titular. O que seria esse legítimo interesse do controlador? Primeiramente há que se dizer que o fato de ‘legítimo interesse’ ser um conceito extremamente subjetivo, não pode servir para justificar práticas abusivas, eximindo as empresas de solicitar o consentimento dos titulares. O art. 10 da LGPD prevê que o uso de dados com base no “legítimo interesse” somente deve se dar a partir de situações concretas, como por exemplo: a) Apoio e promoção de atividades do controlador b) Proteção, em relação ao titular, do exercício regular de seus direitos c) Prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais. 40 Obviamente, nem todo interesse no tratamento de dados é legítimo. Há quem considere exemplos práticos de legítimo interesse para fundamentar o tratamento de dados 14 , como por exemplo: • A coleta de informações para detectar ou prevenir fraudes • A captura de cliques de consumidores em seu site para melhoria da sua experiência on-line • O processamento de dados pessoais para análise de perfil de clientes • A oferta de marketing direto • O controle do horário de entrada e saída dos funcionários da empresa • A realização de pesquisas com funcionários, questionando quais suas preferências de lazer para elaborar políticas de bem-estar dentro da empresa • O monitoramento dos deslocamentos realizados por empregados em viagens a trabalho Certo é que o legítimo interesse é a hipótese mais flexível de autorização legal para tratamento de dados pessoais e por isso mesmo precisa ser usado com cuidado. A limitação que a lei impõe ao uso dos dados por legítimo interesse do controlador é quando esse tratamento violar os direitos e liberdades fundamentais do titular. Hipótese em que os dados não poderão ser tratados, mas protegidos. Assim, sempre que sua empresa desejar usar dados, sem autorização do titular, por ‘legítimo interesse’ você deverá se perguntar: Esse tratamento viola algum direito ou liberdade do titular? Outro cuidado que se deve tomar quando sua empresa for tratar dados com base no legítimo interesse é usar apenas os dados pessoais estritamente necessários à finalidade pretendida. Além disso, o controlador deverá adotar medidas para garantir a transparência desse tipo de tratamento. Outra peculiaridade do tratamento por legítimo interesse do controlador é que a empresa será obrigadaa emitir relatório de impacto do tratamento realizado sempre que solicitado pela Autoridade Nacional de Proteção de Dados. 14 https://chcadvocacia.adv.br/blog/legitimo-interesse/ 41 Resumindo, para que você ou sua empresa usem dados pessoais em seu legítimo interesse, deverão: • Ter um interesse realmente legítimo • Ser indispensável o tratamento dos dados para atingir esse legítimo interesse; • Não haver outra base legal para o tratamento dos dados (não ser possível o consentimento, por exemplo) • Zelar pelos direitos e liberdades fundamentais do titular; • Tratar os dados apenas para as finalidades específicas; • Tratar apenas os dados estritamente necessários; • Manter o registro de todas as operações de tratamento de dados; • Ser transparente quanto ao tratamento desses dados; • Emitir relatório de impacto à proteção de dados pessoais quando solicitado pela ANDP • Prevenir e reduzir eventuais danos ao titular dos dados, com a adoção de medidas de segurança de dados e privacidade. Exemplo: Ana compra hambúrguer no e-commerce do Burguer Queen, para isso fornece suas preferências de sabor de hambúrguer, seu endereço residencial e seus dados do cartão de crédito. No site de vendas, Ana não marca a opção de receber publicidade da empresa. A hamburgueria, então, coleta e guarda seus dados para entrega do hambúrguer. Cinco dias após a compra, Ana recebe, na caixa postal do seu prédio, um cupom de desconto da Burger Queen para compra de hambúrguer. Nesse caso, é inquestionável que a Burguer Queen realizou o tratamento de dados da consumidora para fins de publicidade, sem o seu consentimento. Seria esse tratamento abusivo ou justificável pelo legítimo interesse da hamburgueria vender mais produtos aos seus clientes, oferecendo-lhes cupons em benefício destes? 15 O envio dos cupons seria hipótese de tratamento de dados por legítimo interesse do controlador. Referido tratamento seria legal tendo em vista corresponder às expectativas do titular 16. 15 e 16 https://chcadvocacia.adv.br/blog/legitimo-interesse/ 42 Além disso, não houve por parte da Burger Queen intromissão excessiva na vida privada da cliente, nem qualquer outro dano a seus direitos e liberdades. A empresa obedeceu à LGPD e tratou os dados apenas para uma finalidade determinada. Se o titular tem o hábito de consumir produtos da hamburgueria é natural que receba ofertas ou lançamento de novos produtos desta. Contudo, não se poderia considerar legítimo interesse do controlador o compartilhamento de dados feitos pela Burger Queen com a Pizzaria ABC, também de sua propriedade, para o envio de promoções e descontos à Ana. Considerando que o tratamento acima enquadra-se no legítimo interesse do controlador, o que poderíamos dizer das inúmeras ligações feitas por sua operadora de telefone para oferecer-lhe cada hora um plano ou produto diferente? Também esse tratamento poderia ser considerado legítimo interesse do controlador? Sendo invasivo, cansativo, insistente e desgastante? Veja como é tênue o limiar entre a legalidade e a ilegalidade! Veja como é subjetiva essa análise, que, a final, ficará a cabo do juízo de valor exclusivo do controlador. Outro exemplo: João trabalhava na empresa ‘Alcance Administradora’ em regime de teletrabalho. A empresa instalou no notebook do empregado, sem consentimento expresso, um software que registrava todas as teclas digitadas e produzia capturas de telas e de webcam a cada vinte minutos para fins de controle administrativo e de jornada. Neste exemplo, as ações da empresa são consideradas abusivas ou legítimo interesse do controlador? Neste caso, observando as regras supra mencionadas, verifica-se que houve um excesso nas ações do controlador, porque não tratou apenas os dados estritamente necessários para o controle do empregado. Além disso, o ato de fotografar viola o direito à privacidade e à intimidade de João, além de correr o risco de capturar a imagem de crianças e outras pessoas que circulam no ambiente. O tratamento dos dados pela empresa ‘Alcance Administradora’ foi extremamente abusivo, fugindo dos limites do legítimo interesse, violando os direitos de João. Contudo, sendo possível, prefira o tratamento de dados pessoais com fundamento em outra base legal ao invés do legítimo interesse. Isso porque como o legítimo interesse é um conceito subjetivo ele pode ser questionado pelo titular e dar margem a interpretações, o que aumenta o risco da sua operação. 43 17. QUAIS SÃO AS BASES LEGAIS PARA O TRATAMENTO DE DADOS PESSOAIS SENSÍVEIS? Os dados sensíveis, conforme já dito no capítulo conceitual são aqueles dados passíveis de discriminação, como é o caso da origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. Por isso, recebem um tratamento mais cuidadoso por parte da lei. As bases legais para o tratamento de dados pessoais sensíveis estão previstas no art. 11 da LGPD. São eles: . 1. Quando o seu titular consentir 2. Sem o consentimento do titular, nas seguintes hipóteses: a) cumprimento de obrigação legal ou regulatória pelo controlador; b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicasprevistas em leis ou regulamentos; c) r ealização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis; d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral; e) proteção da vida ou da segurança física do titular ou de terceiro; f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais. 44 18. QUAIS AS BASES LEGAIS PARA O TRATAMENTO DE DADOS DE MENORES? Se você trabalha com produtos ou serviços destinados a crianças e adolescentes, você precisa saber que a LGPD também prevê uma proteção ainda maior para o tratamento dos dados dessas pessoas, tendo em vista a fragilidade e a incapacidade de responderem pelos seus atos. Segundo a legislação brasileira, Estatuto da Criança e do Adolescente, é considerada criança a pessoa de 0 a 12 anos incompletos e adolescente a pessoa de 12 a 18 anos incompletos. A LGPD prevê que o tratamento de dados pessoais das crianças e adolescentes somente poderá ser realizado, em seu melhor interesse, e mediante O CONSENTIMENTO DE PELO MENOS UM DOS PAIS OU RESPONSÁVEIS. Sendo que esse consentimento deverá ser específico e em destaque. Prevê ainda que o controlador deverá realizar esforços razoáveis para verificar que o consentimento foi realmente dado pelo responsável pela criança, consideradas as tecnologias disponíveis. Mesmo com o consentimento dado pelos pais ou responsáveis, a LGPD prevê que a coleta de dados das crianças ou dos adolescentes envolverá as informações estritamente necessárias às atividades (jogos, aplicativos de internet ou outras). Apenas em duas hipóteses o controlador poderá coletar dados pessoais das crianças sem o consentimento: • Para contatar os pais ou o responsável e, mesmo assim, utilizados uma única vez e sem armazenamento • Para a sua proteção Em nenhuma hipótese poderão ser repassados a terceiros sem o consentimento dos pais ou responsáveis. Os controladores deverão manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos do titular, tudo em linguagem e forma adequadas ao entendimento do menor usuário e de seus responsáveis. 45Em resumo, pra você cujo trabalho tem como públicos-alvo crianças ou adolescentes, somente poderá coletar e tratar dados legalmente quando observar as seguintes regras: • Ter um interesse legítimo, ou seja, que realmente justifique essa coleta e/ou tratamento do dado • Agir de boa-fé • Ter o consentimento de pelo menos um dos pais ou responsável • Solicitar apenas os dados essenciais à finalidade da atividade • Deixar público e com linguagem acessível quais dados pretende coletar, para qual finalidade e os procedimentos para exercício dos direitos pelo titular 19. É PRECISO CONSENTIMENTO PARA O USO DE DADOS TORNADOS PÚBLICOS PELO TITULAR? Não é necessário obter o consentimento do titular para usar os dados tornados públicos por ele, contudo é necessária a observância dos princípios gerais e dos direitos dos titulares previstos na Lei. O que isso significa? Significa que MESMO que os dados sejam públicos, ainda assim eles estão protegidos pela nova LGPD. Muito cuidado com isso...deixe-me repetir... MESMO QUE OS DADOS SEJAM PÚBLICOS, AINDA ASSIM ELES ESTÃO PROTEGIDOS PELA NOVA LGPD! 20. QUAL A DIFERENÇA ENTRE O TRATAMENTO DE DADOS PESSOAIS COMUNS E SENSÍVEIS? As diferenças que existem entre o tratamento de dados pessoais comuns e de dados pessoais sensíveis são as seguintes: 46 1. As hipóteses legais de tratamento dos dados sensíveis são muito mais restritas que as dos dados comuns; 2. Os dados sensíveis não podem ser tratados com fundamento no “legítimo interesse do controlador”, mas somente nas hipóteses legais previstas e mediante consentimento expresso; 3. O consentimento para o tratamento de dados sensíveis deve ser dado de forma específica e para uma finalidade específica; Vamos entender isso com um exemplo: O tratamento de dados para a assinatura de um contrato de prestação de serviço de saúde para tratamento de HIV ou de uma doença degenerativa. Esse é um dado sensível que deverá ser mantido em sigilo entre as partes. O seu uso inadequado, poderá dificultar que a pessoa (o titular) seja aceita em vaga de emprego ou seja alvo de preconceito e discriminação. É importante saber que a LGPD proíbe a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica. Exceção à essa regra são as hipóteses relativas à 1. Prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde. Contudo, continua vedado às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários (§ 5º, art. 7, da LGPD) 2. Serviços de auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados e para permitir a portabilidade de dados, quando solicitado pelo titular 3. Transações financeiras e administrativas resultantes do uso e da prestação de serviços supra mencionadas. Vejamos isso com um exemplo: Uma empresa de assistência à saúde, como a UNIMED, por exemplo, está proibida de compartilhar dados sensíveis sobre a saúde de um usuário com uma empresa de seguro, para o fim de que essa possa autorizar a contratação ou não a contratação de seguro de vida por aquele usuário. 47 Da mesma forma, um laboratório de imagem, por exemplo, está proibido de compartilhar informação sobre um cliente que seja portador de LER – lesão por esforço repetitivo (que afeta músculos, nervos, ligamentos e tendões), com uma empresa contratante de mão-de-obra em serviços de tecnologia ou com Ente Público, no exame médico anterior à posse em concurso público. Por essa razão, a LGPD prevê que a comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com objetivo de obter vantagem econômica poderá ser objeto de vedação ou de regulamentação por parte da Autoridade Nacional, ouvidos os órgãos setoriais do Poder Público, no âmbito de suas competências. Contudo, tais dados poderão ser usados, sem o consentimento, quando: a) O controlador tiver de cumprir alguma obrigação legal, como por exemplo, fornecer relatório para a Autoridade Nacional de Proteção de Dados ou ainda para a Organização Mundial de Saúde quanto ao número de casos de determinada doença. Ex.: Como no exemplo acima com pessoas portadoras de alguma doença degenerativa b) Quando for necessário o compartilhamento dos dados para a execução de políticas públicas, previstas em lei, pela administração pública. Ex.: Quando o Município requerer aos hospitais informações sobre todos os pacientes de COVID-19, a fim de fazer uma análise para tomada de providências, ampliação de leitos, deslocamento de profissionais, regiões de maior foco, para a revisão da política pública existente ou desenvolvimento de uma nova. c) Realização de estudos por órgão de pesquisa, neste caso, sempre que possível será garantida a anonimização dos dados pessoais. Ex.: Quando é feito uma pesquisa de opinião pública por alguma agência de pesquisa d) Exercício regular de direito, inclusive em contrato e em processo judicial, administrativo e arbitral (Processo arbitral é aquele cuja solução é dada por um árbitro ou por uma câmara de arbitragem escolhida pelas partes) Ex.: Uma empresa de seguro que descobre que o segurado já era portador de determinada doença antes da contratação e ajuíza ação para recuperar o benefício concedido ao segurado. 48 e) Para a proteção da vida ou da segurança física Ex.: O caso de uma pessoa que toma conhecimento de alguma informação sobre algum tipo de crime ou golpe e vai até a polícia denunciar o suposto autor. f) Para a garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, observadas as regras de tratamento de dados. Ex.: São os casos das autenticações dos cartórios de notas, contrato de união estável celebrado em pessoas do mesmo sexo, registrado no cartório de títulos e documentos. II - CONSENTIMENTO Conforme visto acima, sempre que o tratamento a ser feito não se enquadrar em nenhuma das hipóteses previstas em lei, o controlador e/ou operador precisarão obter o consentimento do titular para tratar os seus dados pessoais. 21. O QUE VOCÊ PRECISA FAZER PARA USAR OS DADOS DE UMA PESSOA? 49 Esse ponto é CRUCIAL, é o cerne da nova LGPD e não pode ser negligenciado em hipótese alguma: você deve, OBRIGATORIAMENTE, verificar se há base legal para fazê-lo. Caso não haja, você deverá requerer o consentimento do titular para usá-lo. Isso significa dizer que os dados que você possui precisam estar amparados por alguma hipótese legal, ainda que seja o consentimento. Caso não estejam, você deverá providenciar o consentimento do titular. Vou repetir isso para ficar bem claro e não ter dúvidas ... você NÃO PODE UTILIZAR OS DADOS SEM QUE HAJA UMA BASE LEGAL QUE AMPARE ESSE TRATAMENTO! 22. COMO DEVE SER ESSE CONSENTIMENTO? O consentimento dado pelo titular é uma autorização simples, mas que deve observar dois requisitos básicos: a) Ser expressa, ou seja, tem de ser fruto de manifestação livre por parte do titular, fruto de uma ação. O que isso significa? Isso significa dizer que o consentimento não pode estar subentendido ou tácito (que possa ser emanado de certos atos positivos reveladores da intenção de autorizar). Ele deve ser expresso, concedido por escrito ou mediante manifestação digital que demande uma ação do titular. Um exemplo de “manifestação digital” é o caso que poderá ser previsto em um campo onde o titular dos dados possa marcar “Aceito receber informações sobre os produtos em promoção desta empresa”, por exemplo. Ainda que o titular apenas marque o quadradinho do consentimento, ele o estará dando de forma expressa. Veja um exemplo de cláusula de autorização: “Ao concordar com a política de privacidade,
Compartilhar