A Lei Geral de Proteção de Dados (LGPD) trouxe mudanças significativas na forma como as empresas lidam com os dados pessoais de seus clientes. É fundamental garantir que sua empresa esteja tratando esses dados de maneira correta.
Este texto tem como objetivo explicar como as empresas privadas (controladoras dos dados) podem tratar os dados pessoais comuns, conforme previsto no artigo 7º da LGPD.
O que é o tratamento de dados pessoais?
O tratamento de dados pessoais consiste em operações realizadas com informações de pessoas físicas. Isso inclui a coleta, acesso, armazenamento, distribuição, eliminação, entre outras.
Para que um dado pessoal possa ser tratado, é necessário usar uma das bases legais previstas na LGPD. Se o tratamento for realizado em relação a um dado pessoal comum, é aplicado o artigo 7º da LGPD. Já para dados pessoais sensíveis, aplica-se o artigo 11 da LGPD.
Cabe ao controlador fundamentar cada atividade de tratamento com a base legal correspondente. De acordo com a LGPD, o controlador é definido como “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”.
É importante ressaltar que este texto explica como o controlador, sendo uma empresa privada, deve realizar o tratamento de dados pessoais.
Princípios a serem observados no tratamento de dados pessoais
Ao realizar o tratamento de dados, o controlador deve estar atento aos seguintes princípios:
- Finalidade: o controlador deve delimitar o propósito do tratamento, que deve ser legítimo (previsto em lei), específico (identificar o objetivo do tratamento) e explícito (apresentar o motivo do tratamento);
- Adequação: a finalidade do tratamento deve ser compatível com as informações fornecidas ao titular dos dados pessoais (pessoa física);
- Necessidade: o tratamento do dado pessoal deve ser limitado ao mínimo necessário para atingir a finalidade informada ao titular (pessoa física);
- Livre acesso: o titular dos dados pessoais (pessoa física) tem o direito de consultar gratuitamente como suas informações estão sendo utilizadas pelo controlador;
- Qualidade dos dados: os dados tratados devem ser atualizados e claros;
- Transparência: o titular dos dados pessoais (pessoa física) deve receber informações precisas e claras sobre seus dados;
- Segurança: o dado pessoal do titular (pessoa física) deve ser protegido por medidas técnicas e administrativas para evitar acesso não autorizado, perda, destruição, entre outros incidentes;
- Prevenção: é necessário mitigar os riscos relacionados ao tratamento dos dados pessoais antes de realizá-lo;
- Não discriminação: os dados pessoais não devem ser tratados de forma discriminatória, ilegal ou abusiva;
- Responsabilidade e prestação de contas: as normas de proteção de dados devem ser cumpridas durante todo o processo de tratamento de dados.
Bases legais para o tratamento de dados pessoais comuns
Consentimento:
O consentimento do titular deve ser livre e inequívoco. No entanto, essa base legal pode ser arriscada, pois o titular dos dados pode revogar o consentimento a qualquer momento, e o controlador é obrigado a acatar essa revogação. Portanto, o controlador pode ficar em uma situação vulnerável ao usar o consentimento como base legal. Existem outras bases legais que permitem o tratamento de dados sem depender do consentimento do titular.
Exemplos de casos em que o consentimento é usado como base legal incluem formulários de assinatura de newsletters e uso de dados de colaboradores para fins não previstos em contrato, desde que o colaborador aceite.
Cumprimento de obrigação legal:
Essa base legal é aplicada quando o controlador precisa obedecer a leis ou regulamentos específicos. Exemplos disso são o cumprimento das obrigações relacionadas ao combate à lavagem de dinheiro e à legislação trabalhista.
Nessa base legal, o controlador não precisa de autorização do titular dos dados pessoais (pessoa física) e o titular não pode solicitar que seus dados não sejam utilizados.
Execução de políticas públicas:
A administração pública pode tratar dados pessoais ao implementar políticas públicas, que são ações e planos do governo para promover o bem-estar coletivo.
Exemplos de políticas públicas incluem o Auxílio Brasil e políticas de cotas em universidades.
Estudos de órgãos de pesquisa:
Órgãos de pesquisa são aqueles pertencentes à administração pública direta ou indireta. Portanto, entidades de pesquisa privadas não são consideradas órgãos de pesquisa e, consequentemente, não podem tratar dados pessoais com base nessa categoria.
Exemplos de órgãos de pesquisa incluem o IBGE, a FIOCRUZ e universidades públicas.
Execução de contrato ou procedimentos preliminares:
Sempre que uma empresa realizar tratativas preliminares ou celebrar um contrato, poderá utilizar essa base legal para tratar dados pessoais, como contratos de trabalho ou compras online.
Exercício regular de direitos:
Com base nessa categoria, o controlador pode tratar os dados pessoais de outra pessoa durante suas atividades. Vale ressaltar que, ao utilizar essa base legal, o controlador não precisa do consentimento da pessoa cujos dados estão sendo tratados.
Exemplos de tratamento de dados com base no exercício regular de direitos incluem a apresentação de documentos em juízo, provas em processos judiciais e armazenamento de dados pessoais para prevenção de possíveis ações judiciais.
Proteção da vida ou incolumidade física:
Exemplos de uso de dados para proteção da vida ou incolumidade física incluem acidentes, internações hospitalares de urgência e programas de vacinação.
Tutela da saúde:
Exemplos de uso de dados para tutela da saúde incluem a realização de exames médicos.
Legítimo interesse:
Essa base legal pode ser subjetiva, pois o conceito de “legítimo interesse” pode variar. É necessário identificar um interesse legítimo, demonstrar que o tratamento dos dados é necessário para atingir esse interesse e respeitar os direitos e liberdades individuais do titular dos dados.
Exemplos de tratamento de dados com base no legítimo interesse incluem prospecção de novos clientes, investigação corporativa e análise de fraudes.
Como realizar o tratamento de dados pessoais?
Agora que já explicamos o que são dados pessoais e as bases legais para o tratamento de dados pessoais comuns, vamos entender como realizar esse tratamento.
Para realizar o tratamento de dados pessoais, siga os seguintes passos:
- Verifique se a empresa está em conformidade com a Lei Geral de Proteção de Dados, garantindo que os dados pessoais utilizados estejam em conformidade com a base legal correta;
- Certifique-se de que o compartilhamento dos dados pessoais com terceiros também esteja sendo feito corretamente;
- Verifique se o tratamento dos dados pessoais está de acordo com a finalidade estabelecida. Se todos esses passos forem seguidos pela empresa, o tratamento dos dados estará em conformidade com a lei.
Caso sua empresa não esteja seguindo os passos mencionados anteriormente, significa que o tratamento de dados não está sendo realizado corretamente. Nesse caso, recomendamos buscar a ajuda de um advogado especializado para auxiliar sua empresa a realizar o tratamento de dados de forma adequada, pois a Autoridade Nacional de Proteção de Dados pode aplicar sanções previstas na LGPD caso sua empresa esteja em desacordo com a lei.
Caro leitor, esperamos que este conteúdo o tenha ajudado de alguma forma. Caso precise de ajuda jurídica, estamos à disposição para oferecer todo o suporte necessário. Não hesite em entrar em contato conosco para que possamos ajudá-lo(a) da melhor forma possível.
Assista nosso vídeo no Youtube sobre o tema: clique aqui
Escrito por Fernando Vargas