Com a entrada em vigor da Lei Geral de Proteção de Dados – LGPD – em setembro de 2020 e, na iminência do início das aplicações de penalidades pela Autoridade Nacional de Proteção de Dados (ANPD), organizações de todos os portes estão em uma verdadeira corrida para implementação de um programa de tratamento de dados pessoais nas suas estruturas.

No entanto, um aspecto nem sempre observado é que para que a LGPD tenha os efeitos desejados, é necessária uma mudança comportamental que vai muito além das metodologias de mapeamento e aplicações práticas de outras soluções. Neste sentido, deve-se refletir: você sabe por que está se adequando à legislação, ou apenas está cumprindo requisitos para evitar penalidades?

Há uma diferença gritante entre as duas situações, uma vez que o mero cumprimento da lei sem a sua compreensão não tem o poder de alterar o mindset das pessoas nas organizações. No entanto, antes de se pretender mudar qualquer coisa em termos de processos, fluxos de dados ou mesmo documentos, há algumas coisas bastante elementares que todos devem saber. Seguem, assim, cinco pontos essenciais que todos deveriam saber sobre a LGPD.

A LGPD se mostrou muito didática em suas disposições, apresentando conceitos e terminologias fundamentais que se tornarão cada vez mais presentes, não apenas no meio corporativo, em documentos, políticas e normas, como no nosso cotidiano.

É o art. 5º o responsável por trazer conceitos essenciais para a aplicação da lei e, antes disso, para que as instituições possam saber “quem é quem” no mundo da proteção de dados pessoais. São nada menos que dezenove definições sobre o que são dados pessoais e dados sensíveis, dados anonimizados e anonimização, bancos de dados e tratamento, quem são o titular, o controlador, o operador e o encarregado, o que é o bloqueio, a eliminação e a transferência internacional de dados, o que são o relatório de impacto, o órgão de pesquisa e autoridade nacional, além de definir o famoso consentimento.

Todas estas definições são muito importantes, mas vamos nos ater ao seguinte: dado pessoal é tudo aquilo que identifica ou possa identificar alguém. E tratamento é qualquer operação realizada com os dados pessoais (desde a coleta até mesmo o apagamento). Ou seja: não há uma instituição sequer que não trate dados pessoais. Razão esta que obriga a todos estarem em conformidade com a LGPD. Complementando as noções essenciais da lei, a lei define que todas aquelas instituições que determinam como deve ser o tratamento dos dados, são denominadas controladoras e, por sua vez, todas as que seguem as diretrizes apresentadas pelo controlador são denominadas operadoras. São conceitos fundamentais para entender as atividades e obrigações operacionais e contratuais entre as partes.

Por fim, destaca-se a figura do Encarregado, que pode ser tanto pessoa física, quanto jurídica e funciona como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). O encarregado é uma peça-chave quando falamos de proteção de dados, pois será ele quem realizará o contato direto com os titulares, motivo pelo qual seus dados devem ser divulgados publicamente, de preferência no website do controlador.

Para além de ser um ponto focal como mencionado, suas atividades consistem em aceitar reclamações e comunicações dos titulares, receber comunicações da ANPD, orientar os funcionários da empresa a respeito das práticas em relação à proteção de dados pessoais, entre outros. Sendo assim, é uma figura que tem um grande trabalho pela frente e que precisará de apoio técnico (como ferramentas), jurídico e financeiro para poder bem realizar suas atividades.

Ficou a cargo do art. 6º da lei enumerar princípios que devem ser atendidos na aplicação da LGPD. Embora normalmente eles tenham conotação ampla, podendo ser usados de formas distintas conforme se interprete a lei, fato é que são importantes ferramentas para a aplicação da LGPD e ela os definiu precisamente.

Importante mencionar que, até mesmo antes de enumerar os princípios, o art. 6º já estipulou que a boa-fé deve sempre ser observada. Mas, para além dela, devemos considerara finalidade, a adequação, a necessidade, o livre acesso, a qualidade dos dados, a transparência, a segurança, a prevenção, a não discriminação e a responsabilização e prestação de contas.

Assim, se ​antes da lei a população não costumava pensar nas finalidades existentes por trás da solicitação de fornecimento de dados pessoais, é em razão deste princípio que passaremos a questionar isso mais intensamente. Até mesmo porque as instituições precisam saber, de antemão, o que pretendem fazer com os dados coletados para que possam estar em conformidade. Pode-se dizer, então, que os princípios estabelecidos no artigo 6º da LGPD vieram justamente para nortear todas as operações realizadas com dados pessoais desde a coleta, uso, armazenamento, descarte e até mesmo o simples acesso, empoderando o titular. De acordo com o que é estabelecido pela legislação, para que haja o tratamento de dados pessoais é importante que exista uma finalidade legítima, específica e explícita ao titular, bem como que tratamento seja compatível com o que foi informado.

Não que a finalidade seja o princípio mais importante, mas tudo passa por ele. De todo modo, é fundamental que as atividades sejam todas dotadas de transparência, que, aliás, não se confunde com o consentimento. Ser transparente é dar conhecimento, ser claro sobre o tratamento dos dados pessoais, algo ainda confundido por muita gente.

Também sugerimos especial atenção para o princípio da necessidade, que limita o uso de dados ao mínimo necessário para a operação, o que deve mudar algumas estratégias corporativas que não levavam em consideração as necessidades específicas dos dados coletados.

Por fim, sugerimos a cuidadosa observação ao princípio da responsabilização e da prestação de contas, que é a “demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.” Em outras palavras, é a materialização da boa-fé objetiva. Não basta estar de boa-fé. É preciso poder comprovar efetivamente que tudo o que a organização faz é considerando sua responsabilidade pelos dados que trata.

Com a entrada em vigor da LGPD todos os atos realizados com um dado pessoal necessitam de um enquadramento legal específico, caso contrário, não há legitimidade no tratamento. Em outras palavras: é ilegal não fazer uma correlação com uma hipótese prevista em lei. Os fundamentos jurídicos para cada fluxo de dados também são chamados de bases legais e estão dispostas na legislação em artigos específicos que preveem as situações pontuais para o uso, armazenamento, coleta, descarte e até mesmo simples acesso de dados pessoais. E quais são elas?

A primeira hipótese legal de tratamento prevista em lei é o consentimento do titular, que deve ser manifestado de forma livre, informada e inequívoca. Um exemplo prático de tratamento de dados realizado com base no consentimento é quando solicitado o opt-in para o envio de e-mail marketing. No entanto, trata-se de uma base legal de uso delicado, uma vez que o titular possui o direito de retirar seu consentimento a qualquer momento, situação em que o tratamento dos dados deve ser cessado caso não possa ser enquadrado em outra permissão legal.

Embora se fale muito sobre o consentimento, se engana quem pensa que esta é a principal hipótese de tratamento apresentada pela Lei Geral de Proteção de Dados. Pelo contrário, a lei prevê dez situações que autorizam o tratamento de dados pessoais, não existindo qualquer relação de predominância ou dependência entre elas. Isso só no art. 7º, já que é o art. 11 o responsável por trazer as bases legais para os dados sensíveis.

Outras hipóteses legais de tratamento são o cumprimento de obrigação legal ou regulatória, a necessidade para execução de contrato, o exercício regular de direitos em processo judicial, administrativo ou arbitral, a necessidade realização de estudos por órgão de pesquisa, a necessidade para a proteção da vida ou da incolumidade física do titular ou de terceiros, a necessidade para a tutela da saúde por profissionais de saúde, para a proteção do crédito, para atender aos legítimos interesses do controlador e também necessidade pela administração pública para a execução de políticas públicas.

Embora pareçam situações abstratas, um exemplo comum de hipótese de tratamento que não envolve o consentimento é o contrato: para contratar os serviços da um novo colaborador, é sempre necessário que este forneça diversos dados pessoais como nome, telefone, endereço, documentação pessoal, dados bancários para faturamento, entre outros. Neste caso, a base legal para que o empregador solicite o fornecimento dos dados é justamente o contrato de trabalho a ser firmado, e não o consentimento do colaborador.

Ainda, diversos atos praticados diariamente se enquadram nas demais bases legais mencionadas, como o uso de dados salvos em banco de dados próprios para eventuais defesas em demandas judiciais ou até mesmo o registro de nomes e documentos de visitantes em portarias para o legítimo interesse do controlador em manter a segurança do local. É um grande desafio fazer o enquadramento legal e, uma vez feito, o ideal é ter uma ferramenta para controlar a governança destes registros, que podem ser alterados na medida em que a organização de desenvolve.

Uma das principais garantias que a LGPD pretende dar aos titulares é o direito de que tenham sua privacidade respeitada. E como isso se daria? Pelo exercício, pelo próprio titular, dos seus direitos em face dos seus dados. Então, a LGPD previu que a titularidade dos direitos, além de ser das pessoas físicas, pode ser exercida para garantir a confirmação da existência do tratamento, o acesso, a correção dos dados incompletos, inexatos ou desatualizados, a anonimização, bloqueio ou eliminação dos dados desnecessários, excessivos ou tratados em desconformidade com a lei, a portabilidade para outro fornecedor, a eliminação, informações sobre as entidades públicas e privadas com as quais há o compartilhamento dos dados, além das possibilidades de saber o que acontece nos casos em que negar o consentimento e, ainda, a possibilidade óbvia de revoga-lo. Tais direitos, previstos nos artigos 17 e 18 dão poderes ao titular para que tenha mais controle sobre seus dados.

Vale mencionar, ainda, que o titular tem o direito de solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado, isto é, todas as vezes em que a automação for a “decisora” sobre o que fazer com seus dados pessoais, como prevê o art. 20, com vistas a evitar discriminações que não possam ser justificadas. Até mesmo porque a própria lei determina que o controlador (a quem aproveita a decisão automatizada) deverá fornecer informações claras sobre os critérios decisórios (§1º).

Não poderíamos deixar de mencionar, ainda, que os direitos dos titulares não se exaurem nas previsões da LGPD, já que o art. 22 declara que outros direitos poderão ser exercidos em juízo, sejam eles individuais ou coletivamente, na forma do disposto na legislação pertinente, acerca dos instrumentos de tutela individual e coletiva.

Por isso, todo o tratamento de dados pessoais deve ser legitimado em uma das bases legais, devendo o controlador estar pronto para atender todas as requisições dos titulares dentro dos prazos estipulados em Lei.

Por fim, importante mencionar que a lei prevê sanções administrativas para os que estiverem em desacordo com os preceitos legais, penalidades que serão aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD), órgão federal vinculado ao Poder Executivo Federal e que é o principal responsável pelo enforcement da LGPD.

Retornando ao que mencionamos no início do artigo, a mentalidade das pessoas e o direcionamento corporativo para a proteção de dados é fundamental. Mas, caso “apenas” fazer o certo não seja suficiente para estimular que as instituições implementem melhores práticas, a LGPD prevê, dentre as penalidades, multas altas, que podem chegar a 2% do faturamento do último exercício, limitado ao total de R$ 50.000.000,00 (cinquenta milhões de reais), por infração. Isso quer dizer que uma instituição pode ser multada em um valor acima de cinquenta milhões? A resposta é sim porque a penalidade será aplicada por infração praticada.

Mas é preciso destacar que a aplicação de multa é apenas uma das penalidades previstas na LGPD. Existem outras sanções que podem, inclusive, impactar de forma mais incisiva e lesiva às atividades dos agentes de tratamento como por exemplo, a publicização da infração, que impacta diretamente a reputação da empresa. Para além disso, estão igualmente previstos obloqueio ou eliminação dos dados pessoais, a suspensão do funcionamento do banco de dados referentes à infração em até seis meses, bem como a suspensão ou proibição total ou parcial do exercício da atividade de tratamento por igual período. Portanto, todas são punições que podem trazer efeitos bastante impactantes para os negócios.

Entretanto, a adoção de medidas corretivas e boas práticas e governança, bem como a atividade reiterada de mecanismos e procedimentos internos são capazes de minimizar o dano e assegurar o tratamento seguro e adequado de dados. Ou seja, a empresa que instituir e colocar em prática um bom programa de privacy compliance, certamente minimizará a incidência de sanções.

O sucesso do planejamento está na necessidade de se conhecer os riscos por antecipação para então estabelecer as estratégias que vão orientar a gestão do negócio, e neste sentido não há que se falar nem em metodologia de mapeamento e aplicação prática, nem em alteração do “mindset” e plano de adequação de políticas internas sem a compreensão legal.

Sendo assim, devemos todos nos preparar para a nova realidade apresentada pela LGPD e nos manter informados sobre os direitos previstos na lei, lembrando sempre que seu principal papel é, além de conferir protagonismo ao titular, garantir que as empresas permaneçam realizando suas operações de forma mais transparente e segura. Já parou para pensar quão adequada à LGPD sua empresa está?