• Pâmela Chaves

LGPD para empresas: tratar dados só é possível com consentimento?

Atualizado: Ago 11

A Lei Geral de Proteção de Dados já foi aprovada no Brasil, isso resultou em uma preocupação geral, principalmente aos empresários. Como compreender um assunto aparentemente complexo, visto que antes não havia uma lei própria regulamentando este assunto. Você quer preparar a sua empresa para a LGPD?


Se resposta for "sim", este conteúdo vai te ajudar a entender a situação atual da LGPD, a importância da proteção de dados para uma startup, e como funciona o consentimento do titular para realizar o tratamento de dados.


A LGPD já está valendo?

A Lei Geral de Proteção de Dados (Lei nº 13.709/18) ainda não está em vigor. A vigência estava programada para agosto de 2020, no entanto, após a pandemia do Covid-19 se discutiu a possibilidade de prorrogação pelo Projeto de Lei (PL) nº 1179/20.

Qual era a proposta do PL?

A proposta consistia em prorrogar a vigência da LGPD para janeiro de 2021, ainda, prolongar a aplicação das sanções previstas na lei para somente agosto de 2021. Ou seja, mesmo que este regulamento passasse a valer em janeiro, as empresas que não se adequassem, só sofreriam penalidades a partir de agosto de 2021.

O PL foi aprovado pelo Presidente da República, e no dia 29 de abril foi publicada a Medida Provisória nº 959/20, com uma nova data de vigência, até então, em 3 de maio de 2021.


Atualmente:

O prazo para votação da MP 959/20 está acabando e com isso foi publicado um parecer parlamentar no dia 5 de agosto, expondo a urgente necessidade da lei entrar em vigor, principalmente pelo contexto de pandemia vivido, no qual o aumento do uso da internet acelera a geração de dados.


Acontece que, a Autoridade Nacional de Proteção de Dados (ANPD), órgão criado para fiscalizar o cumprimento da lei, não está devidamente constituído ainda. Esse fator é o que atrasa a aplicação das sanções.


Por isso, existe a chance da lei entrar em vigor ainda em agosto deste ano, e assim a aplicação das sanções ocorrerão em maio de 2021.


Agora que você já sabe o contexto atual da LGPD, vamos ao assunto principal.


O que vem assustando empresários após a promulgação da lei, é a necessidade de ter o consentimento do titular ou responsável legal para tratar dados pessoais sensíveis.


O que é um dado pessoal? Toda a informação relacionada a pessoa natural identificada ou identificável. Clique aqui e saiba a diferença entre dado pessoal comum e sensível!


Segundo a LGPD, tratamento é todo operação realizada com dados pessoais, o que forma um banco de dados, seja eletrônico ou físico. O art. 5º conceitua e descreve o tratamento de dados pessoais como:

X - (...) coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

Por que entender sobre proteção de dados é tão importante?

Toda empresa guarda dados dos seus clientes. Uma startup, para ser validada se baseia em dados.


Essas informações, provavelmente vêm de cadastros nos quais os dados pessoais são coletados, mas nem sempre consentidos, pois podem ter sido roubados e vendidos. Conheça o caso da Cambridge Analytica de 2018, e o caso da Zoom de 2020.


No mundo digital, fornecemos dados ao comprar online, ao fazer o download de um aplicativo etc. Lidamos com eles quase o tempo todo.


A questão é, a maneira como uma empresa trata esses dados.


Então, tratar dados só e possível com consentimento?

A resposta é: depende. O tratamento de dados nem sempre precisa de consentimento.


A LGPD traz circunstâncias nas quais é possível tratar dados pessoais sem o consentimento do titular. Vejamos:


Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I - mediante o fornecimento de consentimento pelo titular;
II - para o cumprimento de obrigação legal ou regulatória pelo controlador;
III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; 
IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Já o tratamento de pessoais sensíveis, além do consentimento do titular, podem ocorrer em situações muito parecidas da anterior. Seguindo os termos da LGPD:


Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
a) cumprimento de obrigação legal ou regulatória pelo controlador;
b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;
e) proteção da vida ou da incolumidade física do titular ou de terceiro;
f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

Portanto, o consentimento do titular é uma das hipóteses para tratar dados. Se não houver consentimento, é preciso se enquadrar em alguns dos requisitos acima.


Ressaltando que, havendo o consentimento é obrigatório que seja diretamente do titular ou seu responsável legal, de forma específica e destacada, para finalidades específicas.


Destaco a finalidade: não pode ser solicitado dados do titular sem razão, bem como só é possível utilizar os dados de um titular dentro das finalidades já determinadas para o seu tratamento.


Isto é, qualquer alteração na finalidade do uso dos dados do titular deve ser informada a ele, em havendo discordância das alterações ele poderá revogar o consentimento.


A título de exemplo: sua empresa é baseada em um aplicativo, e você solicitou dados para realizar o cadastro do usuário em sua plataforma mobile. Não será viável utilizar estas informações fora de contexto, quiçá transmitir a terceiros estranhos.


Além disso, é necessário observar outros princípios fora a finalidade, como adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização.


Gostou do conteúdo? Tem alguma dúvida? Deixe seu comentário.


Acompanhe em outros canais:

27 visualizações

©2020 by Pâmela Chaves.