A LGPD veio ao mundo jurídico como uma resposta à necessidade de controle da circulação de dados pessoais, tendo em vista, especialmente, a velocidade com que informações relacionadas às pessoas são difundidas em todos os meios, físicos e digitais – muitas vezes sem nenhum critério ou limite – num mundo globalizado. Antes de seu advento, embora já existisse na Constituição Federal, como princípio, o direito à privacidade (art. 5º, X) e, também, algumas legislações esparsas que já impunham limitações às tentativas de violação do direito à privacidade – como a Lei 12.965, de 23 de abril de 2014 (Marco Civil da Internet) – não havia regras específicas que disciplinassem a forma de proteção de dados pessoais.
Foi a LGPD que trouxe o arcabouço legal específico para o que se passou a chamar “tratamento de dados pessoais”, que vem a ser, segundo os exatos termos da lei, “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração” de qualquer informação relacionada a uma pessoa natural (física).
Vale dizer: uma vez que uma empresa tenha recebido qualquer dado pessoal, independentemente de sua finalidade, estará automaticamente realizando tratamento de dados.
A LGPD, absolutamente, não veda o tratamento de dados pessoais. Ao contrário, o viabiliza, inclusive estabelecendo situações em que esse tratamento é necessário e, consequentemente, legítimo, independentemente da existência de consentimento do titular dos dados.
Então, o que exige a LGPD para o regular tratamento de dados? Basicamente, para que um tratamento de dados seja realizado de forma legítima, ele deve: (i) estar fundamentado em uma das bases legais; e, (ii) observar os princípios informativos da LGPD.
Base legal é o mesmo que autorização legal. É a hipótese em que o tratamento de dados é permitido. E os princípios são os limites impostos a essa autorização. Ou seja, ainda que um tratamento de dados seja realizado com fundamento em uma base legal, se violar algum dos princípios, ele não é legítimo.
As bases legais estabelecidas pelo artigo 7º da LGPD, no que interessam ao empresariado, são as seguintes (podendo, o tratamento de dados, ser fundamentado em uma ou mais delas):
(i) consentimento do titular dos dados;
(ii) cumprimento de obrigação legal ou regulatória;
(iii) execução de contrato ou de procedimentos preliminares relacionados a contrato de que seja parte o titular dos dados;
(iv) exercício regular de direitos em processo judicial, administrativo ou arbitral;
(v) proteção da vida ou da incolumidade física do titular ou de terceiro;
(vi) tutela da saúde;
(vii) legítimo interesse;
(viii) proteção do crédito.
Por outro lado, os princípios informadores da LGPD, de acordo com o disposto no art. 6º, são:
(i) boa fé;
(ii) finalidade;
(iii) adequação;
(iv) necessidade;
(v) livre acesso;
(vi) qualidade dos dados;
(vii) transparência;
(viii) segurança;
(ix) prevenção;
(x) não discriminação;
(xi) responsabilização; e,
(xii) prestação de contas.
E quais seriam as medidas necessárias, em princípio, para uma empresa se adequar à LGPD, atendendo ao binômio “base legal e princípios”?
Antes de começar a elaborar documentos, desenvolver ferramentas de TI ou contratar profissionais, a empresa deve mapear o seu fluxo de dados pessoais. Que dados recebe, de onde recebe, o que arquiva, o que e com quem compartilha, de que forma isso é feito e com que finalidade. Esse é primeiro passo.
A partir daí, com uma visão clara do seu fluxo de dados e com um entendimento adequado da LGPD, pode-se definir quais os documentos serão necessários para conformar o tratamento de dados (política de privacidade, termo de confidencialidade, aditamentos de contratos com colaboradores, clientes e fornecedores, dentre outros) e, eventualmente, desenvolvimento de ferramentas de TI que possam garantir a segurança dos dados submetidos a tratamento, mitigando os riscos de violação da privacidade. E, num passo seguinte, nomear uma pessoa que seja responsável pela interface entre a empresa, titulares de dados e os órgãos fiscalizadores, definido na lei como “Encarregado”.
O tema LGPD é bastante amplo. Nos próximos artigos abordaremos com um pouco mais de profundidade os aspectos mais relevantes da lei, seus princípios, institutos e atores que farão parte, certamente, do cotidiano das empresas. Mas o time do Teixeira Fortes está, desde já, preparado para atender as demandas decorrentes da necessidade de adequação das empresas à LGPD.
24 outubro, 2023
12 junho, 2023
03 maio, 2023
O boletim Vistos, etc. publica os artigos práticos escritos pelos advogados do Teixeira Fortes em suas áreas de atuação. Se desejar recebê-lo, por favor cadastre-se aqui.