- Quem deixaria seu celular desbloqueado, no centro de uma grande mesa para que todos os presentes de uma sala de reuniões pudessem acessar? Ver as fotos – todas elas, as mensagens – todinhas, o extrato do banco, os investimentos, as rotas percorridas, gostos e interesses.
- Como se sentir tendo ciência que sua vida, seus dados e informações – das mais banais às mais sigilosas – são vistas, tratadas e compartilhadas por outras pessoas, mesmo que desconhecidas?
- E se você soubesse que estas mesmas pessoas usam seu perfil, seus interesses, gostos, hábitos e preferências para aumentar as vendas, elaborar um produto ou eleger um político?
Estes foram alguns dos questionamentos que deram origem à Lei 13709/18, a Lei Geral de Proteção de Dados, que tem como principal objetivo regular o trânsito e tratamento de dados pessoais nas empresas e corporações.
A história da criação da LGPD
A Lei Geral de Proteção de Dados nasceu de forma específica no Brasil em 2018, mas desde a década de 70 o tema vem sendo trabalhado mundo afora. A Alemanha, em 1978, foi, aparentemente, o primeiro país que trouxe a questão de proteção de dados em sua legislação, apesar dos rumores de que desde a década de 60 os EUA já legislavam sobre o tema. No mesmo ano, em 78, França, Noruega, Suécia e Áustria também criaram suas próprias leis sobre como as informações de seus cidadãos poderiam ser utilizadas e exportadas. Em 1981, o então Conselho da Europa elaborou uma Convenção por seus países membros e unificou melhor as regras para o tratamento automatizado de dados pessoais.
A Constituição Brasileira de 1988 previu, de forma tímida, no artigo 5º, a defesa da privacidade e a lei brasileira de 1996 número 9296/96 tratou a inviolabilidade do “sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas”. Foi em 1993 que a criação do Código de Defesa do Consumidor defendeu o consumidor ao permitir que ele acessasse os dados que uma empresa pode ter sobre ele e solicitasse sua correção, caso necessário. Também trouxe a preservação e sigilo dos dados do consumidor, que deveriam ser usados apenas para o seu atendimento.
A inspiração para a criação da LGPD
Em 1995, uma diretiva da União Europeia cria regras em relação ao tratamento de dados nos países da UE, e em 2000 cria o Safe Harbor, acordo estabelecido entre Estados Unidos e Europa para “facilitação de troca de informações de dados pessoais entre as entidades”. Em 2015, o acordo foi revogado por suspeitas de espionagem por parte da Agência de Segurança Nacional dos EUA. Porém, já no ano seguinte, a Europa aprovou o Privacy Shield, um novo programa de transferência internacional de dados com empresas norte-americanas que garantia maior segurança para os cidadãos europeus. O General Data Protection Regulation (GDPR), em 2016, obrigou os gigantes Facebook e Google a revisarem suas políticas de privacidade de dados em toda a Eeuropa, após polêmicos casos de vazamentos de dados.
No Brasil, foi o Marco da Internet, de 2013, que deu início à regulamentação da internet em território nacional. Neutralidade de rede e liberdade de expressão foram conceitos bem introduzidos pela lei, e nela também foram definidas as obrigações das entidades públicas em relação ao fornecimento de internet no país.
Finalmente, em 2018 é publicada a lei 13709, a LGPD – Lei Geral de Proteção de Dados – que entra em vigor em 2020 inspirada na GDPR e traz elementos substanciais acerca da proteção, tratamento, armazenamento e compartilhamento de dados.
Para que serve a LGPD?
A Lei Geral de Proteção de Dados (13709/18) tem como principal objetivo proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, conforme enuncia seu artigo 1º.
Também tem como foco a criação de um cenário de segurança jurídica, com a padronização de regulamentos e práticas para promover a proteção aos dados pessoais de todo cidadão que esteja no Brasil, de acordo com os parâmetros internacionais existentes.
Ou seja, ela surgiu para garantir que o cidadão brasileiro não tenha seus dados mal cuidados, desonrados, prostituídos à sua revelia. Aos que causam estranheza, tais adjetivos são muito bem aplicados, pois o direito à proteção dos dados foi inserido no artigo 5º da Constituição Brasileira, que trata dos Direitos Individuais e Coletivos do cidadão. É neste artigo que estão previstos o direito à vida, à dignidade humana, à liberdade… e, em seu inciso LXXIX “é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais.”
Decorar toda a lei não faz sentido em um artigo, ainda que com destaque. Mas, para o empresário, gestor, líder ou cidadão, conhecer seus princípios básicos poderá fazer toda diferença na vida civil, até porque está submetido à LGPD toda pessoa natural que possua algum dado, ou seja, todos os cidadãos!
Tipos de dados
- Públicos
São os dados de fácil acesso, cujo acesso não dependa da anuência do seu titular. São as informações que, caso buscadas nas redes, na mídia ou em acessos públicos serão conseguidas. Não estão submetidos à LGPD. Exemplo: CNPJ de uma empresa. - Pessoais
São dados que identificam ou encaminham a identificação de uma pessoa, seja ela física ou jurídica. Estão submetidos à LGPD. Exemplo: data de aniversário, telefone e endereço.
- Sensíveis
São dados que determinam gostos, preferências, interesses pessoais e ajudam a determinar a personalidade. Estão submetidos à LGPD com maior rigor e em muitos casos em caráter especial. Exemplo: biometria, dados médicos, opção sexual, religiosa ou sindical.
Princípios da LGPD no Brasil
- Finalidade
- O motivo pelo qual o dado nasceu deve ser declarado, e não pode ser desvirtuado.
- O dado não pode ser utilizado para qualquer outra finalidade senão aquele que foi disponibilizado.
Exemplo: se a academia coletou o telefone do cliente para casos de emergência, não pode ligar para o número para dar feliz aniversário sem sua prévia e expressa autorização.
- Adequação e necessidade
- Só devem ser coletados os dados necessários para o cumprimento da ação a ser utilizada.
- É proibido pedir mais dados do que aqueles que sejam utilizados para a finalidade já declarada.
Exemplo: questionar na entrevista sobre a opção política de um colaborador como critério de contratação.
- Livre acesso
- O titular do dado tem direito a ter acesso fácil, livre e gratuito a seus dados que constem no banco de dados da empresa.
- A empresa deve comprovar que não há impasses, complexidade ou dificuldade para que o titular consiga ver suas próprias informações no banco de dados.
Exemplo: espaço cliente protegido com login e senha que o próprio dono do dado possa atualizar seu endereço, telefone, requerer exclusão ou anonimização daquelas informações que não sejam obrigatórias por lei ou por contrato.
- Qualidade e transparência
- O controlador tem obrigação de garantir clareza, exatidão e atualização (caso a ele compita) e relevância dos dados, de acordo com sua finalidade e dentro de sua necessidade.
- As informações sobre o tratamento dos dados devem ser claras e precisas, e todo o histórico de tratamento do dado deve ser rastreável.
Exemplo: A Autoridade Nacional de Proteção de Dados (ANPD) poderá requerer, ao controlador, relatórios precisos sobre o que ocorreu com determinado contrato enquanto estava no banco de dados da empresa. Se ele foi impresso, compartilhado, excluído, quando, por quem e por quê.
- Prevenção e segurança
- A empresa deverá tomar as medidas técnicas necessárias em relação à proteção, destruição, alteração, perda ou difusão dos dados.
Exemplo: Em caso de vazamento de algum dado, o titular deverá ser avisado imediatamente.
- Não discriminação
- Os dados não podem ser utilizados para fins discriminatórios, ilícitos ou abusivos.
Exemplo: contagem de quantos clientes na academia têm renda abaixo ou acima de determinado patamar; ou quantos têm percentual de gordura maior do menor.
- Prestação de contas
- A empresa é obrigada a dar visibilidade sobre as medidas eficazes e capazes de comprovar a eficácia do cumprimento das normas referente aos dados.
Exemplo: a responsabilidade da empresa pode ser reduzida ou até mesmo zerada, no caso de vazamento de dados por determinado colaborador, quando o mesmo foi submetido a treinamento específico para cuidado com os dados da empresa.
A quem não se aplica a LGPD
A LGPD não é aplicada em alguns casos, como por exemplo quando a finalidade do tratamento do dado não tiver fins econômicos ou financeiros, no caso do trabalho jornalístico, para serem aplicados à segurança pública, defesa nacional ou segurança de Estado ou durante investigação penal.
Figuras da LGPD
É importante conhecer as principais figuras e agentes da Lei Geral de Proteção de Dados.
São eles:
- Titular do Dado: pessoa física ou jurídica proprietária do dado ou informação. Normalmente aquele que tem os direitos a serem preservados à luz da legislação.
- Controlador: pessoa ou empresa privada ou de direito público, que toma as decisões em relação ao que fazer com determinado dado pessoal.
- Operador: pessoa física ou empresa, de direito público ou privado, que realiza o tratamento dos dados pessoais em nome do controlador.
- Encarregado: pessoa física indicada pelo controlador e operador para atuar como o canal de comunicação entre o controlador, o titular dos dados e a Autoridade Nacional de Proteção de Dados.
O percurso do dado
- Coleta
A coleta do dado é a primeira fase dele com o banco. Talvez a mais importante, e que gera maiores obrigações para as empresas. Historicamente, as empresas têm a crença de que quanto maior a quantidade de informações – do cliente, do colaborador, do fornecedor – mais estará no controle. Falácias à parte, desde o início da vigência da LGPD, em 2020, esta é uma premissa que merece ser relativizada, por conta principalmente do princípio da finalidade.
- Transmissão ou compartilhamento
A principal diferença entre a transmissão e o compartilhamento está na visibilidade daquele que recebe a informação sobre o dado. No primeiro caso, o transmissor não sabe quais as pessoas que recebem a informação ou têm acesso ao dado, enquanto no compartilhamento, é possível identificar os receptores que tiveram acesso ao conteúdo.
- Utilização
A utilização do dado sempre estará relacionada com a finalidade à qual ele foi colhido. Se um dado foi colhido para checagem de histórico de crédito (o CPF em uma compra, por exemplo), o dado é utilizado quando atinge esse mesmo fim.
- Armazenamento
Trata-se do processo de guarda do dado. Fase muito regulamentada na lei da LGPD, que deve garantir livre acesso do titular aos seus dados, de forma gratuita e simples. É também na fase do armazenamento que a empresa tem a obrigação de separar os dados pessoais dos dados sensíveis, para que o tratamento seja dado de acordo com suas características.
- Tratamento
A fase do tratamento cuida da atualização tanto do dado quanto do banco no qual ele está inserido. É no tratamento também que consta o princípio do livre acesso, que deve permitir que o titular seja capaz de atualizar seus próprios dados que constam do banco de dados.
- Exclusão ou descarte
É a fase que retira o dado do banco de dados. Deve ser feita de acordo com os preceitos da lei, inclusive com possibilidade de comprovação ao titular do descarte. A principal diferença do descarte para a exclusão se encontra no fato de que o descarte é a pré-exclusão, ou seja, o período em que o dado está para ser excluído, mas ainda poderia, via de regra, ser resgatado. Para os dados digitais, o que muitos sistemas chamam de “lixeira”.
- Anonimização
O titular do dado, em determinados casos, tem o direito de requerer que seu dado seja anonimizado; ou seja; que a informação constante no banco de dados não seja capaz de estabelecer uma relação com seu titular. Muito usada na coleta de dados para pesquisas, ou manutenção de informações de mercado, também para estatísticas médicas ou populacionais. A comprovação da anonimização, quando feita após a coleta, é um direito do titular e deve poder ser comprovada pela empresa.
LGPD na rotina da academia
Mesmo com todas estas informações técnicas, ainda pode haver dúvidas sobre as repercussões práticas da Lei Geral de Proteção de Dados na rotina da academia, especialmente. Para isso, algumas recomendações para utilização imediata:
- Não existe nenhuma possibilidade de um profissional sair de uma empresa e levar o mailing para seu novo emprego. Caso faça isso, sofrerá as repercussões penais, civeis e também de proteção de dados. É importante que no momento da contratação ou na vigência do contrato de trabalho, prestação de serviço ou parceria comercial exista clausula específica.
- Dados coletados para finalidade cadastral não podem ser usados em campanhas comerciais ou de marketing.
- Não presuma que o cliente quer ser lembrado no dia do aniversário dele, ou que está super ansioso para saber das novidades da academia, a não ser que ele deixe uma autorização específica para este fim.
- Indique um amigo e ganhe um desconto: PROIBIDO! Ninguém pode se beneficiar com o fornecimento não autorizado do titular do dado sem que o mesmo tenha ciência e autorize. Ao invés de dar o telefone do amigo, pode criar um código, que o aluno distribui aos seus amigos, que entram em um sistema, autorizam o recebimento, recebem um e-mail de dupla confirmação e aí sim poderão ter acesso aos descontos e campanhas.
- Os dados só podem ser coletados na medida da necessidade da ação: o que significa que a empresa não pode pedir nem a mais, nem a menos. Para visitar a academia e conhecer o ambiente tem que deixar nome, CPF, endereço, data de nascimento, e-mail nome do pai e da mãe. Qual a finalidade de tantos dados para passar na catraca e conhecer o ambiente? Ao revés, o colaborador não pode se negar a dizer a data de nascimento, uma vez que trata-se de informação obrigatória para envio ao e-social e formalização da relação de trabalho.
- Espaço do titular do dado: o princípio do livre acesso é um dos mais utilizados e que tem gerado maior quantidade de multas. Portanto, pensar em um espaço protegido para que o cliente, o colaborador, o fornecedor e os prestadores de serviço (incluindo personal trainers) possam atualizar e visitar seus dados perante a empresa é mais do que uma organização, trata-se de uma facilidade no atendimento às determinações da LGPD.
- Exclusão ou descarte indevidos: as empresas também têm direitos perante à LGPD, principalmente em relação aos dados que podem protegê-las de futuros contingentes. Empregado, fornecedor ou cliente pedem para que seus dados sejam excluídos do banco de dados, mas só seria possível após o prazo prescricional (prazo que os mesmos têm para acionar a empresa). Um ex-empregado não pode exigir que seus dados sejam excluídos do banco antes de 24 meses da rescisão contratual, por exemplo. Caso isso ocorresse e ele ingressasse na Justiça do Trabalho, a empresa não teria como se defender e comprovar suas alegações.
- É obrigação do empregado comunicar imediatamente qualquer vazamento ao controlador ou encarregado, sob pena de ser responsabilizado. Na LGPD, quem cala consente.
- Um empregado viu que um banco de dados foi vazado por outro que saiu da academia e levou as informações para atuar como personal trainer independente. Caso fique comprovado que o empregado sabia do ocorrido e não comunicou à academia, será considerado conivente com a irregularidade e penalizado nos termos da lei.
Considerações finais
Sem dúvida, a LGPD é uma referência legislativa mundial, onde o Brasil faz bonito, mais uma vez. Uma lei moderna, atual, cuidadosa e que já vem ajudando muitas empresas a olharem com mais cuidado para nossas informações.
A Autoridade Nacional de Proteção de Dados (ANPD), órgão criado para regular e fiscalizar o exercício correto da legislação, certamente será muito importante na regularização. E o Poder Judiciário, que vem julgando muitos casos do tema, tem se posicionado de forma firme quanto à implantação da nova regra legal.
Fato é que, agora, o dado, assim como outros direitos fundamentais do indivíduo, precisa ser respeitado, cuidado, zelado e protegido. Os que não estiverem dispostos a cumprir as determinações sofrerão as consequências. Vale mencionar que as multas da ANPD podem chegar até a R$50.000.000,00 (cinquenta milhões de reais) por ocorrência e, a depender da gravidade, pode gerar fechamento do estabelecimento.
E ainda tem empresário achando que “não vai colar”, ou “é só mudar o site”, ou pior, “a turma do TI cuida”. Proteção de Dados é responsabilidade do dono e do gestor. É o compromisso do líder que está preocupado em fazer o certo do jeito certo.
Que assim seja!
