Inspirada na legislação europeia, a Lei Geral de Proteção de Dados brasileira traz um conjunto de regras e regulamentações que vai exigir atenção e muito cuidado por parte das empresas. A lei privilegia os direitos dos titulares dos dados pessoais, trazendo como fundamento o respeito à privacidade. Isto significa que a coleta, o armazenamento, o tratamento e o uso das informações obedecerão a uma série de exigências, que começam com a necessidade de consentimento expresso do titular dos dados pessoais.
Para um dos especialistas ouvidos pela Confederação Nacional do Comércio de Bens, Serviços e Turismo (CNC), Fernando Nery, que é sócio-fundador da Modulo Security Solutions S/A, empresa que tem vasta experiência em gestão de risco, governança e compliance e presta consultoria para a CNC, “praticamente nada é proibido, mas demanda processo e segurança”.
A lei busca criar um cenário de segurança jurídica, com a padronização de normas e práticas, para promover a proteção, de forma igualitária, aos dados pessoais de todo cidadão que esteja no Brasil. E, para que não haja confusão, a LGPD traz o que são dados pessoais, define que há alguns desses dados sujeitos a cuidados ainda mais específicos, como os sensíveis e os sobre crianças e adolescentes, e quais dados tratados tanto nos meios físicos como nos meios digitais estão sujeitos à regulação.
Se uma informação permite identificar, direta ou indiretamente, um indivíduo que esteja vivo, então ela é considerada um dado pessoal: nome, RG, CPF, gênero, data e local de nascimento, telefone, endereço residencial, localização via GPS, retrato em fotografia, prontuário de saúde, cartão bancário, renda, histórico de pagamentos, hábitos de consumo, preferências de lazer, endereço de IP (Protocolo da Internet, na sigla em inglês) e cookies, entre outros.
Dados sensíveis
Dentro do conjunto de dados pessoais, há ainda aqueles que exigem um pouco mais de atenção: são os sobre crianças e adolescentes; e os “sensíveis”, que são os que revelam origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical, questões genéticas, biométricas e sobre a saúde ou a vida sexual de uma pessoa.
Quando o foco for crianças, é imprescindível obter o consentimento inequívoco de um dos pais ou responsáveis e se ater a pedir apenas o conteúdo estritamente necessário para a atividade econômica ou governamental em questão, e não repassar nada a terceiros. Sem o consentimento, só pode coletar dados se for para urgências relacionadas a entrar em contato com pais ou responsáveis e/ou para proteção da criança e do adolescente.
Sobre os dados sensíveis, autônomos, empresas e governo também podem trata-los se tiverem o consentimento explícito da pessoa e para um fim definido. E, sem consentimento do titular, a LGPD define que isso é possível quando for indispensável em situações ligadas: a uma obrigação legal; a políticas públicas; a estudos via órgão de pesquisa; a um direito, em contrato ou processo; à preservação da vida e da integridade física de uma pessoa; à tutela de procedimentos feitos por profissionais das áreas da saúde ou sanitária; e à prevenção de fraudes contra o titular.
“Se a sua organização guarda dados sensíveis, ela também precisa aumentar o nível de proteção. Negócios dependentes de dados pessoais, áreas de recursos humanos, marketing e comércio eletrônico têm que se preparar para isso. Em marketing, aprendemos que temos que coletar o máximo de dados do cliente para oferecer um produto personalizado, e, hoje, fica mais difícil fazer isso, praticamente nada é proibido, mas demanda processo e segurança”, observou Nery.
Consentimento
Um elemento importante da LGPD é o consentir. Ou seja, o consentimento do titular é a base para que dados pessoais possam ser tratados. Mas há algumas exceções a isso. É possível tratar dados sem consentimento se isso for indispensável para: cumprir uma obrigação legal; executar política pública prevista em lei; realizar estudos via órgão de pesquisa; executar contratos; defender direitos em processo; preservar a vida e a integridade física de uma pessoa; tutelar ações feitas por profissionais das áreas da saúde ou sanitária; prevenir fraudes contra o titular; proteger o crédito; ou atender a um interesse legítimo, que não fira direitos fundamentais do cidadão.
Nery, destacou que a lei garante o direito do titular, que pode solicitar que dados sejam deletados, revogar um consentimento, transferir dados para outro fornecedor de serviços, entre outras ações. “E o tratamento deve ser feito levando em conta alguns quesitos, como legitimidade, finalidade e necessidade, que devem ser previamente acertados e informados”, explicou.