Para as empresas: A LGPD terá grande impacto nas relações comerciais e de consumo que demandam coleta de dados, sobretudo diante da crescente tendência de tratamento de dados pessoais de clientes/consumidores com a finalidade de traçar seu perfil, identificando diversas informações, em especial hábitos de consumo e condições financeiras e de crédito.
A vigência da LGPD significa, portanto, a oportunidade de se adequar a uma série de novas regras. Além disso, se você tem uma empresa e possui dados dos seus clientes, precisa saber exatamente o que pode e o que não pode fazer com eles.
Seguir a regulamentação, além de evitar punições que podem pesar no bolso e até comprometer a continuidade do negócio, é demonstrar responsabilidade, preocupação e comprometimento, sobretudo com o cliente. Se você solicitar um dado, precisa informar a finalidade e ter o consentimento do titular para usá-lo.
Lembre-se, a utilização dos dados pessoais deve estar relacionada ao negócio jurídico subjacente. Salvo em caso de comprovado interesse público, fica vedada a troca de informações entre varejistas e empresas especializadas em bancos de dados.
A regulação de dados pessoais trazida pela LGPD exige, portanto, adequações por parte das empresas que coletam dados dos usuários, principalmente no que tange em relação ao consentimento expresso dos usuários sobre a coleta, tratamento de dados, finalidade e eventual transferência de seus dados para terceiros.
Nas relações de trabalho e emprego, como o empregador é detentor de informações pessoais de seus empregados, ele deve observar a LGPD, sob pena de responsabilização civil.
Embora a LGPD autorize as empresas a usar os dados pessoais dos seus empregados e prestadores de serviços para a legítima execução dos contratos, em benefício do próprio trabalhador, é necessário cautela e observância às regras da LGPD em todas as suas fases, nos atos praticados antes da contratação, durante a vigência do contrato, nas terceirizações e após a rescisão dos contratos.
Na terceirização de serviços, é preciso obter consentimento dos empregados por escrito para que a empresa faça o tratamento dos seus dados, sobretudo quando for transmiti-los a terceiros (tomadores de serviço), em decorrência da atividade realizada, ou mesmo por exigências legais e contratuais, especificando de maneira clara quais dados serão repassados e para qual finalidade.
Além do consentimento do empregado, é recomendável que as empresas criem obrigações específicas em seus contratos comerciais, de acordo com as exigências impostas pela LGPD no tratamento de dados.
Para os cidadãos: A mudança essencial, do ponto de vista do indivíduo, reside no fato deste passar a ter controle sobre as informações que circulam sobre ele.
Assim, os titulares dos dados pessoais tiveram seus direitos ampliados e devem ser garantidos de forma acessível e eficaz.
Confira os principais direitos:
- Confirmar a existência de tratamento de seus dados pessoais;
- Acessar seus dados pessoais;
- Corrigir dados pessoais incompletos, inexatos ou desatualizados;
- Anonimização, bloqueio ou eliminação de dados pessoais desnecessários, excessivos ou tratados em desconformidade com a LGPD;
- Eliminação de dados tratados com o seu consentimento;
- Obtenção de informações sobre as entidades públicas e privadas com as quais o controlador realizou o compartilhamento de dados pessoais;
- Obtenção de informações sobre a possibilidade de não consentir com o tratamento de dados pessoais e sobre as consequências da negativa;
- Revogação do consentimento dado para o tratamento de dados pessoais.
Qual o objetivo da LGPD?
Ao estabelecer regras claras sobre tratamento de dados pessoais, padronizando a conduta de todos os agentes e controladores que fazem tratamento e coleta de dados, a Lei Geral de Proteção de Dados Pessoais (LGPD) pretende assegurar o direito à privacidade e à proteção de dados pessoais dos usuários, por meio de práticas transparentes e seguras que garantam direitos fundamentais.
Como funciona a LGPD?
Atualmente, parte relevante da economia gira em torno da coleta, tratamento e comercialização de dados pessoais. No entanto, o consentimento do cidadão é a base para que dados pessoais possam ser tratados.
Assim, o tratamento de dados pessoais poderá ser realizado mediante o fornecimento de consentimento pelo titular por escrito ou por outro meio que demonstre a manifestação de vontade do titular.
Em caso de alteração de informação, o controlador deverá informar ao titular, com destaque de forma específica do teor das alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração.
Além disso, o consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação.
Lembre-se, o conceito de “interesse legítimo” foi incluído no texto para autorizar determinadas situações nas quais o consentimento não precisaria ser emitido. São situações nas quais não é necessário perguntar ao cidadão ou cidadã se aquele tratamento pode ou não ser realizado, pois, segundo a lei, ele deve contemplar as suas “legítimas expectativas”.
Um exemplo é o uso de dados bancários dos clientes pelas próprias instituições bancárias, para coibir fraudes (como o seu perfil de gastos) sem que haja consentimento expresso do titular dos dados. É ônus do responsável demonstrar que está fazendo uso da hipótese de legítimo interesse de modo adequado e por meio do devido sopesamento entre seus interesses e os direitos dos titulares. Potenciais abusos poderão ser coibidos pelas autoridades responsáveis por zelar pela proteção de dados.
O que são dados pessoais?
- Dados pessoais são informações relacionadas a pessoa natural identificada ou identificável (endereço, dados cadastrais, informações sobre benefícios previdenciários, etc.).
- Dados pessoais sensíveis são dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
O que são dados pessoais com acesso público?
O Estado detém enormes bancos de dados pessoais, muitos deles formados a partir de informações fornecidas obrigatoriamente pelos cidadãos. A LGPD não faz menção à expressão “dados públicos”, mas sim a “dados pessoais cujo acesso é público” (§3º do art. 7º) – ou seja, dados cuja divulgação pública é obrigatória por lei, como por exemplo, o fato de alguém ser proprietário de um imóvel, sócio de uma empresa, ou os dados acerca das atividades de órgãos públicos.
Segundo a LGPD, o tratamento de dados pessoais cujo acesso é público devem levar em consideração a finalidade, a boa-fé e o interesse público que justificam a sua disponibilização, sendo dispensada a exigência do consentimento de seu titular para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios pela LGPD.
Quem pode manipular os dados coletados?
Os responsáveis, ou agentes de tratamento de dados, são os seguintes:
- Controlador Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
- Operador Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlado.
- Encarregado ou DPO (Data Protection Officer) É a pessoa responsável por atuar como canal de comunicação entre o controlador, o titular do dado e a ANPD.
- ANPD É a Autoridade Nacional de Proteção de Dados Pessoais. É responsável elaborar as Políticas e Normas sobre proteção de Dados Pessoais no Brasil. Ela fiscaliza a atuação das organizações no que se refere às políticas de proteção de dados, e é quem aplica as sanções previstas na Lei.
Assim, o operador deve realizar o tratamento de dados de acordo com as instruções fornecidas pelo controlador. O controlador deve indicar o encarregado (DPO – Data Protection Officer) pelo tratamento de dados pessoais. Conforme inovação trazida pela redação da Medida Provisória n.º 869/2018, o DPO pode ser pessoa física ou jurídica (nacional ou internacional), que atue como canal de comunicação entre o controlador e a ANPD e os titulares.
A identidade e as informações de contato do encarregado devem ser públicas, claras e objetivas, de preferência no site do controlador; e o encarregado deverá aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; receber comunicações da autoridade nacional e adotar providências; orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Qual a abrangência da aplicação da LGPD?
Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados.
Em que casos a lei se aplica extraterritorialmente?
Aplica-se a lei extraterritorialmente nos seguintes casos:
- Quando a operação de tratamento dos dados seja realizada no território nacional;
- Quando a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional;
- Quando os dados pessoais, objeto do tratamento, tenham sido coletados no território nacional.
Lembre-se, consideram-se coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta.
A LGPD se aplica na proteção de dados na Previdência?
Sim. A lei em vigor é válida para todas as empresas, quer sejam do setor público ou privado. Ou seja, estes deveres terão impacto direto no âmbito do INSS.
Esta aplicação é importantíssima, uma vez que o INSS através da DATAPREV possui um dos maiores bancos de dados do mundo. Isto acontece porque para a Previdência Social analisar o direito de um trabalhador de receber, ou não, o benefício previdenciário, é necessário que a autarquia tenha acesso a uma série de informações sigilosas, pessoais, salariais, profissionais e até de ordem médica.
O segurado, portanto, é obrigado a ceder dados pessoais para se aposentar, mas isto não significa que o INSS está autorizado a espalhá-los, sem o prévio consentimento do trabalhador. O vazamento dessas informações tem viabilizado a prática abusiva do assédio comercial além de potencializar a criminalidade contra aposentados e pensionistas.
IMPORTANTE: A LGPD determina as limitações do poder público ao compartilhamento de dados dos cidadãos, reforçando a proteção de dados na previdência, e as vedações de fornecer dados para a iniciativa privada.
Para maiores informações, esclarecimento de dúvidas ou consulta
para entrada de pedido, clique aqui e fale conosco
