Tudo o que você precisa saber sobre a Lei Geral de Proteção de Dados

Tudo o que você precisa saber sobre a Lei Geral de Proteção de Dados

Como abordado em nosso primeiro post desta série sobre proteção de dados, a LGPD (Lei Geral de Proteção de Dados) foi criada para regulamentar o tratamento de dados pessoais no Brasil.
A Lei visa garantir mais segurança para empresas e consumidores quando o assunto é o uso dos dados e, por isso, ela prevê a responsabilidades compartilhada entre todos os envolvidos na relação de troca de informações.

A GDPR (General Data Protection Regulation) é a Lei que regulamenta o uso de dados nos países da União Europeia. E ela se aplica a todas as empresas, de todos os seguimentos, que utilizam dados de cidadãos europeus. Sendo assim, empresas brasileiras com sede em países da Europa, precisam seguir as normas para trabalhar com os dados pessoais dos cidadãos em questão.

A LGPD criada aqui no Brasil segue este mesmo conceito, tendo como base os mesmos princípios para a sua construção.
E é válida para as empresas que trabalham com dados pessoais de cidadãos brasileiros dentro e fora do Brasil.

Além disso, ambas as leis também permitem a transparência entre a comunicação empresa-cidadão, para que as pessoas saibam o que está sendo feito com os dados fornecidos, independente do meio de coleta (físico ou digital).

Mas, afinal, quando a lei começa a valer?

Agosto de 2020 deve ser o mês em que a Lei Geral de Proteção de Dados deve entrar em vigor aqui no Brasil. A NPD (Autoridade Nacional de Proteção de Dados) será o órgão responsável pela fiscalização do cumprimento da LGPD.

Vale ressaltar que, no momento em que a lei entrar em vigor, empresas que não estiverem de acordo com as normas, serão punidas de acordo com os critérios estabelecidos.

O primeiro passo que o seu hotel precisa dar é: garantir que todas as operações estejam de acordo com a regulamentação, desde os colaboradores, fornecedores, clientes e parceiros da sua empresa.

Antecipadamente à vigência da lei, analise como é feita a coleta de dados na sua empresa, de qual forma eles são armazenados e quem tem acesso a essas informações, além da finalidade do tratamento de cada um dos dados fornecidos por seus clientes.

É necessário ressaltar, também, que há a possibilidade de a empresa precisar investir num primeiro momento. Mas, a nova lei também trará mais segurança jurídica para o seu negócio.

 

Como trabalhar com dados pessoais e dados sensíveis (segundo a lei)

Conforme o artigo 5º da Lei Geral de Proteção de Dados, dado pessoal é “qualquer informação relacionada a pessoa natural identificada ou que seja identificável”. Ou seja: qualquer informação que viabilize a identificação de uma pessoa é considerada um dado pessoal, seja isolada ou em conjunto com outras informações.

Dados não sensíveis (públicos): os dados ‘não sensíveis’ são as informações individuais de cada pessoa, como RG, CPF, endereço, nome completo, telefone, entre outros. Segundo as definições da legislação brasileira, essas informações são públicas, ou seja, de domínio público.

Dados pessoais sensíveis: dados sensíveis são aqueles relacionados a características físicas ou comportamentais, ou seja, às escolhas ou à biologia de uma pessoa, como: convicção religiosa, origem racial ou étnica, opinião política, dados referentes à saúde ou à vida sexual, entre outros. Essas informações são consideradas sensíveis pois podem causar exposição de uma pessoa.

Dado anonimizado: os dados anonimizados são informações que não identificam uma pessoa de forma individualizada.

A Lei Geral da Proteção de Dados traz a visão de que não é necessário saber o nome ou o número do documento para individualizar uma pessoa e identificá-la; e um ponto importante para compreendermos é que os dados não são “estáticos”.

Vamos pensar sobre o significado de pessoa identificável. Uma pessoa pode não ser identificada a partir de um dado isolado, mas, se juntarmos outras informações e conseguirmos identificá-la, então o tratamento deve estar de acordo com os critérios da lei.

 

Como trabalhar com dados pessoais de crianças e adolescentes (segundo a lei)

Independente do tipo de dado (sensível ou não), apenas uma única regulamentação é aplicada ao uso de informações de crianças e adolescentes: a obrigatoriedade do consentimento dos pais ou responsável legal para a captação destes dados.

Além disso, segundo o artigo 18 desta lei, a pessoa (ou empresa) responsável pela captação dos dados da criança ou adolescente deverá “manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos a que se refere”.

 

Quando as empresas podem tratar dados pessoais

  1. Consentimento: autorização para tratamento dos dados. Para obter o consentimento, o controlador deverá ter um termo de aceite assinado pelo titular dos dados. É importante destacar que o titular pode, a qualquer momento, retirar o consentimento.
  2. Obrigação legal regulatória: acontece quando a lei obriga as empresas a tratarem dados pessoais, como é o caso em que os hospitais devem informar ao Ministério da Saúde que alguém contraiu uma doença infectocontagiosa, por exemplo.
  3. 3. Execução de Políticas Públicas: essa situação é voltada ao governo e às políticas públicas. A partir de informações como faixa etária e dados de saúde, por exemplo, é possível definir onde construir escolas, para onde direcionar vacinas, entre outras ações.
  4. Realização de estudos por órgão de pesquisa: são os casos de estudos que visam melhorar a sociedade, como estudos sobre câncer ou glaucoma, por exemplo. Segundo a LGPD, neste caso deve ser “garantida, sempre que possível, a anonimização dos dados pessoais”. Ou seja, a instituição pega os dados necessários para o estudo e dispensa informações desnecessárias, como o nome da pessoa, por exemplo.
  5. Execução de contratos: muitas contratações de serviços precisam de dados para atender ao consumidor, seja para fazer uma instalação ou para enviar cobranças, como é o caso de empresas de água, luz, plano de saúde, entre outras. Por isso, o tratamento de dados é permitido em casos onde é necessário para a execução do contrato ou de procedimentos relacionados a ele (quando for solicitado pelo titular dos dados).
  6. Exercício regular de direito: o código civil determina que alguns tipos de danos têm prazo de prescrição de 5 anos. Por isso, para exercer este direito, após o término de um contrato jurídico, as informações podem ser mantidas por mais 5 anos – caso a empresa sofra um processo, ela pode utilizar esses dados para se defender. Segundo a lei, são casos de “processo judicial, administrativo ou arbitral”.
  7. Proteção à vida: como o nome sugere, é permitido utilizar dados pessoais – como tipo sanguíneo, por exemplo – com a finalidade de salvar a vida de uma pessoa em situação emergencial.
  8. Tutela da saúde: está relacionada à proteção à vida, porém de forma coletiva, como nos casos em que o governo realiza o controle de pandemias e epidemias.
  9. Interesses legítimos: devem estar diretamente ligados à atividade da empresa e sua cadeia de produção. Neste caso, o tratamento de dados deve ser legítimo e deve sempre respeitar os direitos e liberdades individuais dos titulares.
  10. Proteção ao crédito: visando fomentar a atividade econômica da sociedade, a LGPD permite o tratamento de dados com o objetivo de proteção ao crédito nas relações entre empresas e clientes.

 

O que é legítimo interesse e como ele está atrelado nesta nova lei

Uma das bases legais mais comentadas (e que gera mais dúvidas) é o legítimo interesse. Mas o que é isso? Como descobrir se meu tratamento de dados representa um interesse legal do meu negócio?

A Lei Geral de Proteção de Dados procura manter o equilíbrio entre a proteção dos direitos e liberdades individuais das pessoas e a proteção da inovação, e aí vem o legítimo interesse. Por isso, neste caso, além de atender aos objetivos da empresa, o tratamento de dados também deve respeitar os direitos e liberdades do titular.

O art. 10 da Lei Geral da Proteção de Dados diz que o legítimo interesse só poderá se fundamentar em casos de finalidades legítimas (ou seja, ações lícitas) e em situações concretas, o que significa que o tratamento deve ser realizado apenas para situações em que os dados estejam efetivamente sendo utilizados.

Isso quer dizer que, para qualificar como interesse legítimo, essa situação deve ser concreta no seu negócio, na sua atividade, e deve acontecer o tempo todo. Não é permitido armazenar o dado para possíveis e/ou futuras necessidades.

O artigo também diz que essas finalidades legítimas e concretas devem incluir:

I – apoio e promoção de atividades do controlador”: significa que o tratamento de dados deve ser relacionado à atividade da empresa e aos seus objetivos. Por exemplo: uma empresa de marketing vai armazenar dados dos consumidores exclusivamente para realizar atividades de marketing.

II – proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei”: situação que beneficie o titular dos dados e que atenda às suas legítimas expectativas. Em alguns casos, isso envolve a sociedade como um todo, e não apenas um indivíduo.

Outros pontos importantes sobre o legítimo interesse:

Só podem ser tratados os dados estritamente necessários para a finalidade da empresa. Por exemplo: se a sua operação precisa apenas de nome e telefone, você não pode armazenar informações como endereço ou CPF, por exemplo.
A empresa deve estar preparada para entrega de relatório de impacto à proteção de dados pessoais, que pode ser solicitada pela autoridade nacional.
O controlador deve garantir a segurança dos dados.

Continue acompanhando a nossa série de conteúdos para não perder nenhum detalhe sobre a nova lei, válida para todas as empresas brasileiras.

No próximo capítulo, você descobrirá qual a importância das novas medidas de segurança aí para o seu hotel

 

Deixe uma resposta

Fechar Menu