LGPD para empresas: o que é e como se adequar

O que é a LGPD?

A Lei Geral de Proteção de Dados (LGPD) é um marco regulatório que estabelece uma série de regras e obrigações relativas à proteção de dados pessoais utilizados tanto online quanto offline. A lei, em um só tempo, definiu conceitos, criou categorias de dados pessoais, determinou bases legais de tratamento e previu sanções relacionadas ao tratamento de dados no Brasil.

No dia-a-dia de qualquer empresa são coletados inúmeros dados pessoais, seja de seus clientes, parceiros e dos próprios funcionários. Com a entrada da LGPD em vigor, não há, a princípio, uma proibição de coletar ou de realizar qualquer operação com esses dados. Na verdade, o que a lei exige das empresas é que essas atividades obedeçam às normas previstas, e que os direitos dos titulares desses dados sejam respeitados.

A minha empresa deve se adequar à LGPD?

A lei se aplica tanto a pessoas naturais quanto a pessoas jurídicas que realizam tratamento de dados pessoais, desde que:

• a operação de tratamento seja realizada no Brasil;
• a atividade de tratamento tenha por objetivo ofertar ou oferecer bens ou serviços no Brasil;
• os dados pessoais para o tratamento sejam coletados no Brasil.

Tratamento de dados pessoais é praticamente qualquer atividade realizada com um dado pessoal, incluindo operações como a coleta, o armazenamento, a transmissão, o processamento e a eliminação desse tipo de dado, dentre diversas outras possibilidades.

Afinal, o que são dados pessoais?

Dados pessoais são dados que fazem referência a uma pessoa física que já esteja identificada ou que possa ser, de alguma forma, identificada a partir daqueles dados, como, por exemplo, nome completo, CPF, e-mail, endereço etc.

Vale dizer que, além destes dados (que são mais facilmente percebidos como pessoais), informações como a altura de alguém ou o colégio em que uma pessoa estudou também podem ser consideradas dados pessoais, a depender do contexto em que esse dado se insere, bem como das consequências do tratamento. Por exemplo, se um indivíduo puder ser identificado em meio a um grupo de pessoas a partir da sua altura, esta medida será considerada dado pessoal e estará, portanto, sujeita às disposições da LGPD.

A LGPD, ainda,criou classes diferentes de dados pessoais. Além dos dados pessoais "normais", há, ainda, os dados sensíveis, que são aqueles que oferecem maior risco aos direitos e liberdades individuais de seus titulares. Estes também são dados vinculados a uma pessoa natural, mas dizem respeito a sua origem racial ou étnica, a sua convicção religiosa, a sua opinião política, a sua filiação a sindicato ou a organização de caráter religioso, filosófico ou político, a sua saúde ou a sua vida sexual, além de dados genéticos ou biométricos.

Princípios que devem ser observados por empresas e pessoas que tratam dados pessoais

Toda operação de tratamento de dados pessoais deve observar os seguintes princípios, de modo que a empresa ou pessoa que trata dados pessoais deve:

Princípio da finalidade
Realizar o tratamento para propósitos legítimos, específicos e explícitos, que devem ser informados ao titular.

Princípio da adequação
Compatibilizar o tratamento com as finalidades informadas ao titular, considerando o contexto que é realizado.

Princípio da necessidade
Limitar o tratamento ao mínimo de dados necessários para a realização de suas finalidades.

Princípio do livre acesso
Garantir, aos titulares, consulta facilitada e gratuita sobre a forma, duração e integralidade de seus dados pessoais.

Princípio da qualidade dos dados
Zelar para que os dados pessoais estejam atualizados e claros, bem como que para sejam relevantes aos propósitos para os quais são tratados.

Princípio da transparência
Garantir aos titulares o acesso a informações claras, precisas e facilmente acessíveis sobre o tratamento e sobre os envolvidos no tratamento.

Princípio da segurança
Utilizar medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

Princípio da prevenção
Adotar medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.

Princípio da não discriminação
Realizar tratamento de dados pessoais apenas para fins que não sejam discriminatórios, ilícitos ou abusivos.

Princípio da responsabilização e prestação de contas
Demonstrar a adoção de medidas eficazes e capazes de comprovar o cumprimento das normas de proteção de dados pessoais.

Em quais hipóteses eu posso tratar dados pessoais?

Além dos princípios apresentados, a empresa que deseja tratar dados pessoais só pode fazê-lo se houver uma justificativa, uma hipótese prevista em lei que permita que cada operação de tratamento seja utilizada. Essa justificativa recebe comumente o nome de base legal.

A base legal mais conhecida é o consentimento do titular dos dados pessoais. Ou seja: a empresa ou pessoa que trata dados pessoais pode fazer isso se o titular dos dados consentir, concordar.

O consentimento, no entanto, deve ser dado pelo titular de forma livre, informada e inequívoca, requisitos que muitas vezes são de difícil implementação na prática, já que: (1) toda operação de tratamento de dados pessoais fundada na concordância do titular precisa de um consentimento específico, que deve ser atualizado sempre que houver qualquer mudança de finalidade; e (2) é muito comum que o titular tenha que concordar com uma política de privacidade ou com termos de uso muito grandes, que ele certamente não lê, o que levanta dúvidas quanto a se os requisitos do consentimento foram de fato observados ou não.

Além disso, vale ressaltar que o consentimento não pode ser genérico, devendo este ser, portanto, específico para cada finalidade de tratamento de dados pessoais. Neste sentido, por exemplo, uma cláusula na qual o usuário concorda com o tratamento de dados pessoais realizado para "melhorar a experiência do usuário", formulada nestes termos, estaria em desconformidade com a lei.

Além do consentimento do titular, a LGPD prevê uma série de outras bases legais que podem ser utilizadas pela empresa ou pela pessoa física responsável pelo tratamento de dados pessoais. Assim, o tratamento de dados pessoais pode ser licitamente realizado, dentre outras opções:

• Quando o fundamento para o tratamento de dados pessoais é o cumprimento de uma obrigação legal ou regulatória pelo controlador (por exemplo, a Lei Federal n. 12.965/2014 determina que os provedores de aplicações na internet têm o dever de armazenar informações referentes à data e hora de uso de uma determinada aplicação de internet a partir de um determinado endereço IP por seis meses, sendo que, neste caso, estes dados podem ser coletados e armazenados apenas com fundamento nesta base legal, ainda que o titular dos dados não concorde);
• Quando o tratamento é realizado para que a empresa ou pessoa que trata os dados possa exercer regularmente seus direitos em processo judicial, administrativo ou arbitral (por exemplo, no caso do armazenamento de transações comerciais realizadas dentro de um site ou aplicativo, até o fim do prazo prescricional de cinco anos previsto no Código de Defesa do Consumidor);
• Quando a justificativa para o tratamento for a proteção da vida ou da incolumidade física do titular ou de terceiro.

Duas outras bases legais que merecem destaque são as seguintes, que somente podem ser utilizadas se os dados pessoais não forem sensíveis:

• Quando o tratamento for necessário para atender aos legítimos interesses da empresa ou pessoa que o realiza ou de terceiro (por exemplo, nos casos em que o envio de marketing direcionado é feito com base nos interesses do controlador, desde que observados todos os requisitos da LGPD);
• Quando o tratamento for realizado para a proteção do crédito (por exemplo, nos casos em que uma instituição financeira utiliza os dados do usuário para fazer consultas em bureaus de crédito, a fim de evitar inadimplência).

A LGPD não permite que as duas bases legais mencionadas acima (legítimo interesse e proteção ao crédito) sejam utilizadas para embasar o tratamento de dados pessoais sensíveis.

No caso de dados pessoais sensíveis, o tratamento pode ser realizado, ainda, sem o consentimento do titular, se for indispensável para a garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos do titular e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais (por exemplo, nos casos em que a biometria é absolutamente necessária para garantir a segurança de determinada transação realizada no site ou no aplicativo).

Como se adequar à LGPD?

Não existe uma "receita de bolo" para que seja feita a adequação de uma empresa à LGPD. Cada empresa tem sua própria realidade e suas próprias necessidades no que diz respeito à utilização de dados pessoais.

O ideal é que cada empresa crie um Programa de Governança em Privacidade próprio, que seja compatível com as suas necessidades, com a natureza dos dados que são tratados e com a sua estrutura. Em linhas gerais, a implementação de um programa deste tipo envolve a adequação das atividades de tratamento às disposições da lei, passando pela revisão de contratos, pela elaboração de alguns documentos (tais como uma Política de Privacidade) e pela adoção de medidas de segurança, técnicas e administrativas que sejam aptas a proteger os dados pessoais.

Muito embora cada empresa tenha um contexto próprio, existem medidas que devem ser adotadas em qualquer caso, tais como:

• Definir quem é o controlador e operador nas atividades de tratamento de dados.

Controlador é a pessoa, natural ou jurídica, que decide o que será feito com os dados pessoais. Assim, controlador é quem define, por exemplo, quais dados serão coletados, para quais finalidades, com quem serão compartilhados etc. Via de regra, uma empresa que mantém e gerencia um site ou aplicativo é controladora para fins da LGPD.
Já o operador é a pessoa, natural ou jurídica, que realiza a operação de tratamento dos dados em nome do controlador (por exemplo, a pessoa ou empresa que o controlador contrata para programar um site ou aplicativo, para analisar seus dados para fins de marketing ou de tomada de decisões etc.)

• Nomear um Encarregado de Proteção de Dados Pessoais (Data Protection Officer - DPO) e divulgar publicamente sua identidade e informações de contato, de maneira clara e objetiva. Essa pessoa será o canal de comunicação entre o controlador, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD), e será responsável por receber e responder as requisições e reclamações dos titulares dos dados pessoais tratados pela empresa.

A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão federal responsável por zelar, implementar e fiscalizar o cumprimento da LGPD. Embora já tenha sido formalmente criada, a ANPD está em fase de implementação, motivo pelo qual ainda não está em pleno funcionamento.

• Elaborar um Relatório de Impacto de Proteção de Dados a ser apresentado à ANPD, quando necessário, que deverá, no mínimo, conter uma descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e uma análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.
• Disponibilizar uma Política de Privacidade, que deve ser disponibilizada em local de fácil acesso, com linguagem acessível ao público, e que informe e explique a todos os interessados a forma como os dados pessoais dos usuários serão tratados.

Por que se adequar à LGPD?

Empreendimentos que realizam tratamento de dados de maneira regular possuem vantagem competitiva no mercado e agregam valor às suas marcas, já que inúmeras empresas e países vêm cada vez mais demandando conformidade de seus parceiros comerciais.

Além disso, as empresas ou pessoas físicas que tratam dados pessoais em desconformidade com a LGPD estão sujeitas às seguintes penalidades:

• Advertência;
• Multa de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado no limite de R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
• Bloqueio ou eliminação dos dados pessoais referentes à infração;
• Suspensão dos bancos de dados ou do exercício da atividade de tratamento de dados da empresa;
• Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Modelos e exemplos para download nos formatos Word e PDF

• Política de privacidade
• Termos e condições gerais de uso e/ou de venda