Os impactos da LGPD em produtos digitais: parte 1

A Lei Geral de Proteção de Dados já é uma realidade no Brasil desde 2018, porém somente em agosto deste ano foi concluída a sua fase final de implementação. Desde o dia 1º, multas de até R$ 50 milhões podem ser aplicadas em empresas que não se adaptarem à norma e, nesse sentido, a área de tecnologia está entre as que mais precisam atentar a LGPD.

Para que o seu negócio se adeque à nova realidade, e seus produtos e serviços digitais utilizados por clientes, parceiros e pessoas colaboradoras estejam dentro da Lei, criamos dois artigos sobre o tema. Neste primeiro, o objetivo é auxiliar no entendimento da LGPD, expondo alguns casos de uso comuns; e no segundo, mostraremos exemplos de implicações reais em variadas soluções digitais, citando possibilidades de adaptação.

Objetivo e tratamento de dados

O principal objetivo da LGPD é dar maior controle aos titulares sobre os seus dados e sobre como eles serão tratados. Tratamento, nesse caso, é toda a operação realizada com dados pessoais como coleta, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, armazenamento, entre outros.

Com a Lei em vigor, as empresas precisam explicar ao usuário quais dados serão coletados, o motivo pelo qual os estão coletando, e qual será o tratamento executado. É por isso que, nos últimos anos, por exemplo, você se deparou com diversos sites, aplicativos e plataformas solicitando consentimento para uso de cookies. Essa coleta e tratamento de dados já era efetuada anteriormente, porém somente com a Lei Geral de Proteção de Dados se tornou obrigatória a exposição dessas informações.

Exemplo de consentimento para uso de cookies. Fonte: imagem própria.

Dados pessoais, sensíveis e anonimizados

Mas de quais dados estamos falando? Os dados pessoais incluem informações que permitem a identificação da pessoa, como: nome completo, RG, CPF, telefone, e-mail, número de cartão de crédito, entre outros. Dados como endereço ou local de trabalho, quando genéricos, não são considerados pessoais, a menos que ligados a algum outro dado que permita identificação.

Dados sensíveis, por sua vez, são aqueles relacionados a marcadores de diferença e que podem originar preconceito e discriminação. São dados de origem racial ou étnica, religiosos, de gênero, orientação sexual, opiniões políticas, dados de saúde e etc; que devem ser tratados de forma ética e responsável.

Por fim, os dados anonimizados são os que não são passíveis de identificação da pessoa titular, seja de forma direta ou indireta. Dados de acesso a plataformas online, como citamos anteriormente, são anonimizados: há conhecimento de que o usuário esteve navegando em determinado dia e horário, sua origem geográfica e qual a sua jornada no produto digital, porém não há como saber quem é este indivíduo – nem mesmo pelo Protocolo IP, número que varia constantemente.

Quando, entretanto, você preenche algum formulário desta plataforma e informa dados pessoais, torna-se possível identificar quem você é. Por isso, no momento de submissão desses formulários, de acordo com a LGPD, uma Política de Privacidade deve ser disponibilizada e o seu consentimento deve ser cobrado.

Exemplo de Consentimento sobre Política de Privacidade. Fonte: imagem própria.

Controlador, operador e encarregado

Além de compreender os tipos de dados existentes, é preciso entender quais as variedades de tratadores.

• O controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais.
• Já o operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
• O encarregado é o Oficial de Proteção de Dados (DPO), pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados.

Se pensarmos no site de uma empresa, por exemplo, o controlador é justamente essa empresa, o operador pode ser a empresa detentora da hospedagem desse site ou a empresa contratada para capturar esses dados (MKT, CRM, etc.), e o encarregado é o escritório jurídico contratado pela empresa para lidar com assuntos relacionados a lei.

Importante salientar, de qualquer forma, que nem sempre os papéis de controlador e operador estão relacionados com as posições contratuais de contratante e contratado – em relações empresariais. Por isso, não é indicado tratá-los dessa forma.

Os dez princípios da LGPD

Com o intuito de auxiliar negócios na adaptação a Lei, o Art.6º expõe dez princípios que norteiam o tratamento de dados pessoais e sensíveis. Lembre-se que, para colocá-los em prática, pessoas jurídicas precisam estabelecer disposições mínimas que devem reger todo o processo de coleta e tratamento de dados, assim como a boa fé.

• Finalidade: o tratamento de cada informação pessoal deve ser feito com fins específicos, legítimos, explícitos e informados. Isso quer dizer que se um e-mail é solicitado para envio de um boleto, por exemplo, esse e-mail não pode ser utilizado para envio de outras comunicações, informações, promoções, etc.
• Adequação: os dados tratados devem ser compatíveis com a finalidade informada pela empresa, ou seja: a justificativa deve corresponder ao caráter da informação solicitada. Para fazer compras em um e-commerce, por exemplo, não é necessário solicitar a orientação sexual do usuário, certo?
• Necessidade: a pessoa jurídica deve solicitar somente os dados realmente necessários, visto que quanto mais dados são tratados, maior a responsabilidade. Esse princípio está diretamente relacionado ao anterior, de adequação.
• Livre Acesso: a pessoa física titular dos dados tem o direito de consultar, de forma simples e gratuita, todos os dados que a empresa detenha a seu respeito. As Políticas de Privacidade devem informar ao usuário como realizar essa consulta.

Exemplo de consentimento para uso de cookies. Fonte: imagem própria.

• Qualidade dos Dados: deve ser garantido aos titulares que as informações que a empresa tenha sobre esses sejam verdadeiras e atualizadas, e que sejam relevantes para o negócio.
• Transparência: é preciso garantir e informar as pessoas de forma verdadeira sobre o uso que será dado aos seus dados; e também sobre os terceiros que terão acesso. Isso quer dizer que o controlador deve informar ao usuário quais são os operadores daqueles dados.
• Segurança: a pessoa jurídica deve se comprometer a proteger todas as informações solicitadas e tratadas. É de sua responsabilidade buscar procedimentos, meios e tecnologias que garantam a proteção dos dados pessoais de acessos por terceiros, ainda que não sejam autorizados – como nos casos de invasões por hackers.
• Prevenção: as empresas precisam adotar medidas prévias para evitar a ocorrência de danos em virtude do tratamento de dados pessoais. Ou seja, prevenir não só é melhor do que remediar, é o indicado.
• Não-discriminação: os dados pessoais jamais podem ser usados para discriminar ou promover abusos contra os seus titulares. Se é indispensável, para o negócio, solicitar dados pessoais sensíveis, é preciso se certificar do uso correto dos mesmos.
• Responsabilidade e Prestação de Contas: as empresas devem se responsabilizar pelo tratamento que dão aos dados, e devem garantir que os estão utilizando de acordo com a LGPD.

Direitos dos titulares de dados

Antes de terminar este artigo, é preciso atentar para os diversos direitos garantidos pela Lei aos titulares de dados. Eles estão relacionados ao princípio do Livre Acesso, exposto acima.

• Confirmar: se realmente os dados estão sendo tratados.
• Acessar: poder acessar os próprios dados.
• Corrigir: direito de solicitar a alteração dos dados pessoais sempre que estiverem incompletos, inexatos ou desatualizados.
• Restrição: direito de solicitar a anonimização, o bloqueio ou a eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
• Portabilidade: direito de solicitar a transmissão dos dados tratados para outro fornecedor de serviços.
• Informação: direito de ser informado sobre as entidades públicas e privadas com as quais os dados foram compartilhados, sobre a possibilidade de não fornecer consentimento e sobre as consequências desta negativa.
• Revogação do Consentimento: direito de revogar o consentimento a qualquer momento, através de manifestação expressa, por procedimento gratuito e facilitado.
• Revisão às decisões automatizadas: possibilidade de solicitar revisão de decisões tomadas automaticamente pela pessoa jurídica, unicamente com base em interesse.

Depois de percorrer essa leitura, a Lei Geral de Proteção de Dados até ficou menos complexa, certo? O importante é lembrar que a iniciativa garante uma relação mais ética e transparente entre pessoas jurídicas e pessoas físicas: todos saem ganhando.

Em breve publicaremos o segundo artigo desta série, abordando especificamente os impactos da LGPD em produtos e serviços digitais. Até breve!

Fonte deste artigo: https://github.com/niagalves/guia-basico-LGPD

Segundo artigo desta série: Os impactos da LGPD em Produtos Digitais: parte 2