Muito se comenta atualmente sobre os novos parâmetros criados pela Lei nº 13.853/2019, que alterou a redação da Lei nº 13.709/2018, a chamada Lei Geral de Proteção de Dados (LGPD), que trata do gerenciamento, sobretudo o eletrônico, de dados pessoais de usuários (pessoas naturais) por pessoa natural ou jurídica, de direito público ou privado¹, visando resguardar sua privacidade e livre desenvolvimento, garantindo maior participação quanto a finalidade de utilização de seus dados.
Com a entrada em vigor da LGPD, toda e qualquer empresa deve adequar seus procedimentos internos quanto à recepção, ao manuseio, à utilização e ao descarte de dados pessoais, sendo que a não adequação à Lei pode gerar penalidades que vão desde uma simples advertência até multas vultosas. Para a fiscalização, a Lei determinou a criação de um órgão especialmente para este fim, a chamada Autoridade Nacional de Proteção de Dados (ANPD).
Ocorre que, em que pese o assunto estar em voga, muitas empresas ainda não têm definidos os conceitos, as regras e as consequências do descumprimento da norma trazidos pela LGPD. Dentre os principais conceitos, destaca-se o que define “dados pessoais”.
Pela lei, dado pessoal é toda informação relacionada à pessoa natural, identificada ou identificável². Na prática, o termo compreende todo dado que permite a identificação de uma pessoa, como, por exemplo, nome, RG, CPF, endereço, podendo considerar-se ainda um dado pessoal fotos, históricos de compras, mensagens, entre outros³.
Além dos dados acima mencionados, a LGPD pode se mostrar útil quando da existência de processos estratégicos que circulem entre empresas, funcionando como mais um meio de garantir a confidencialidade de contratos, por exemplo.
Os exemplos são diversos: como a coleta de dados pessoais de produtores rurais por instituições bancárias, a fim de construir o score e o histórico de transações, que poderá afetar a disponibilidade de crédito rural; a coleta e o armazenamento de dados por revendas e multinacionais para alimentar banco de dados, construir o histórico de consumo de insumos agrícolas; além da enorme base de dados de colaboradores e fornecedores de uma agroindústria.
Importante mencionar que o gerenciamento dos dados aos quais a lei se refere aplicam-se unicamente à pessoa natural, ou seja, visa resguardar a privacidade de pessoas físicas, não aplicando-se a dados de pessoas jurídicas.
Para estar de acordo com os ditames da LGPD, a empresa deve obter o consentimento do titular dos dados, certificando-lhe das etapas de tratamento dos dados e as finalidades de sua utilização, obtido preferencialmente por escrito.
Para isso, as empresas devem ajustar seus formulários ou, quando por meio virtual, seus termos de privacidade, em que deverão constar, de forma clara e especificada, os dados do usuário que serão utilizados, incluindo informações como, por exemplo, o momento em que serão coletados, as finalidades e o prazo de armazenamento4.
Aceitos os termos pelo titular e alcançada a finalidade de sua utilização, ou verificando que os dados deixaram de ser necessários ou, até mesmo, havendo a revogação de consentimento por parte do titular, a última etapa no ciclo dos dados é a exclusão. Nesse momento os dados deverão passar por nova análise e, não havendo mais utilidade, deverão ser apagados pela empresa, ressalvadas as hipóteses de guarda obrigatória de registros definida por lei ou por outro motivo justificável.
Assim, para estar de acordo com o que prevê a LGPD, é importante a figura de um Encarregado, figura esta trazida pela própria Lei, e também chamado de Data Protection Officer (DPO). O Encarregado não precisa ser empregado da empresa e pode ser pessoa física ou jurídica terceirizados.
O Encarregado fará a intermediação entre a empresa, o titular dos dados e a Autoridade Nacional de Proteção de Dados, além de verificar o ciclo dos dados dentro da empresa, orientar a organização de colaboradores na implantação de novos formulários ou termos de privacidade adequados à LGPD5.
Assim, a função do DPO, aliada à adequação legal da política de dados da empresa, exercidos preferencialmente por assessorias jurídica e de tecnologia da informação (TI) especializadas, assegurará a harmonia entre os procedimentos da empresa e o que prevê a lei, bem como o nível de segurança adequados a cada tipo de negócio. Além disso, pode ser utilizado como elemento certificador de conformidade6, o que garante à empresa maior confiabilidade e prestígio.
____________________
1. Redação do Art. 1º, “caput”, da Lei 13.709/2018
2. Redação do Art. 5º, I, da Lei 13.709/2018
3 e 4. Disponível em: https://www.wonder.legal/br/modele/politica-privacidadegclid=Cj0KCQjw0caCBhCIARIsAGAfuMzOyCct7p1vNYGECvFMoJOOnb0MV5jH7QSeRX2DO6K210IKjhmuwIoaApTPEALw_wcB
5 e 6. Disponível em: https://www.lgpdbrasil.com.br/lgpd-o-encarregado-pode-ser-um-profissional-externo-a-empresa/