Quando o balconista da farmácia pergunta seu CPF, RG, telefone e até seu endereço com código postal, ou quando, ao entrar em um site na internet, lhe pedem para clicar autorizando o uso de seus dados pessoais, você nem se dá conta do interesse que possam ter nisso. O fato é que essas informações podem ser valiosas, tanto que há cinco anos, seu tratamento está regulado pela Lei Geral da Proteção de Dados, a LGPD.
A LGPD deixa claro que as empresas e outras organizações – públicas ou privadas – devem transparência sobre a forma como coletam dados pessoais, assim como cabem a elas medidas de segurança e privacidade relacionadas ao seu uso.
Só em alguns casos excepcionais a empresa ou órgão público não tem a obrigação de informar ao titular todos os dados pessoais que detém: por exemplo, em caso de determinação judicial nesse sentido.
A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão fiscalizador do cumprimento das regras da LGPD.
O que são dados pessoais?
Dados pessoais são aquelas informações que identificam uma pessoa (como nome, e-mail e foto) ou permitem identificá-la (como hábitos de navegação e preferências de consumo). Isso inclui o conjunto de informações que, combinadas, podem levar à identificação de alguém (como o cruzamento de dados como endereço, idade, nacionalidade e profissão em determinados contextos).
Alguns exemplos de dados pessoais são: nome, RG, CPF, data e local de nascimento, telefone, endereço residencial, localização via GPS, renda e histórico de pagamentos.
Já os dados pessoais sensíveis exigem um cuidado ainda mais rígido, segundo a LGPD, pois podem revelar aspectos que podem causar algum tipo de discriminação.
São considerados dados pessoais sensíveis:
– Dados sobre a origem étnica, convicções religiosas e posturas políticas;
– Dados sobre filiação sindical ou a organização de caráter religioso, filosófico ou político;
– Dados genéticos e biométricos;
– Dados relacionados à saúde ou à vida sexual.
Na LGPD, a palavra “tratamento” se refere ao uso que o detentor da informação – uma empresa, um órgão do governo ou outro tipo de organização – pode fazer dos dados pessoais. Isso inclui coletar seus dados; armazená-los em seus sistemas, em nuvem na internet ou em arquivos físicos e compartilhá-los com terceiros (fornecedores ou parceiros).
Os dez princípios da LGPD
A LGPD relaciona 10 princípios que devem ser considerados em todas as situações que envolvem o uso de dados pessoais. Confira:
1. Finalidade do uso. Determina que, ao tratar dados pessoais, a empresa deve indicar claramente quais são as suas finalidades. Por exemplo: um aplicativo de delivery pode coletar e guardar seu endereço para a finalidade de entregar seu pedido, mas precisa deixar isso claro em sua política de privacidade.
2. Adequação à finalidade divulgada. O tratamento dos dados pessoais tem que ser compatível com as finalidades previamente informadas ao titular.
3. Necessidade. Ou seja, o uso de dados pessoais deve ser limitado ao essencial para a finalidade para a qual foram obtidos.
4. Acesso livre, fácil e gratuito das pessoas aos seus dados pessoais e à indicação das formas como são tratados. As organizações devem facilitar a consulta sobre a forma, duração e segurança dos dados pessoais, por exemplo.
5. Qualidade dos dados. As organizações devem manter a precisão e a atualização dos dados.
6. Transparência, para oferecer informações claras e acessíveis sobre o tratamento dos dados e os responsáveis por eles
7. Segurança, para evitar situações acidentais ou ilícitas (como invasão, destruição ou perda dos dados). Esse princípio indica que a instituição deve usar técnicas eficazes para preservar os dados em um ambiente seguro.
8. Prevenção, por exemplo, contra eventuais danos ao titular dos dados pessoais e a outros envolvidos em razão de algum incidente ou equívoco no tratamento de dados.
9. Não discriminação, impedindo que uma organização faça uso de dados pessoais de forma discriminatória.
10. Responsabilização do agente a quem cabe garantir a eficácia das medidas adotadas para a proteção dos dados pessoais.
No caso de descumprimento, o caminho é acessar o encarregado de dados, também conhecido como DPO (Data Protection Officer) e/ou, conforme a situação, recorrer à Autoridade Nacional de Proteção de Dados (ANPD), órgão composto por representantes do setor público e da sociedade civil com poderes para aplicar medidas corretivas que vão de advertência a multas que podem chegar a R$ 50 milhões.
Por que coletar dados pessoais?
Há vários motivos para uma empresa coletar e usar dados pessoais: existem dados necessários para o próprio negócio funcionar (informações de que a empresa precisa para fornecer seu produto, por exemplo), para enviar informações que podem ser de interesse do cliente, para cumprir com obrigações legais, entre outras finalidades.
O que autoriza as organizações a tratarem dados pessoais dos titulares são as bases legais da LGPD.
Bases legais são hipóteses elencadas pela lei, nas quais o tratamento de dados deve estar embasado. Além do consentimento, uma das bases legais previstas pela LGPD é a que autoriza o tratamento de dados pessoais para possibilitar o cumprimento ou execução de um contrato, por exemplo.
Outras bases legais da LGPD autorizam o tratamento de dados pessoais nos seguintes casos:
– Cumprimento de obrigações legais ou regulatórias;
– Estudos e pesquisas, por órgãos especializados;
– Apresentação de provas em processos judiciais, administrativos ou arbitrais;
– Proteger a vida ou integridade física do titular ou de terceiros (quando o uso dos dados pessoais serve para medidas de segurança);
-Tutelar a saúde (para os casos de atendimento hospitalar, por exemplo);
– Proteção ao crédito.
Em qualquer dessas situações as organizações têm o direito de coletar e usar dados das pessoas, respeitando os princípios da LGPD.
Leia também: Você está se preparando financeiramente para o futuro?
