Princípios norteadores para adequação de sua empresa à LGPD

Desafio para as empresas, a adoção de medidas para ajustar suas operações às determinações da lei passa pelo entendimento do próprio texto legal.

Com a entrada em vigor da Lei Geral de Proteção de Dados (LGPD), cresce a preocupação das empresas para estarem em conformidade com as novas determinações que regulamentam o uso de dados de terceiros nos ambientes físico e digital. Bastante rigorosa, a lei prevê punições severas em caso de descumprimento. Além da responsabilidade de indenizar o titular dos dados, em caso de uso indevido, a LGPD impõe sanções de caráter administrativo que vão de advertência a multas que podem chegar a R$ 50 milhões.

Na prática, a LGPD exige alterações na maneira como as companhias de todos os portes, públicas e privadas, lidam com dados de terceiros. Isso impõe a muitas empresas uma profunda mudança na cultura corporativa, a fim de garantir a concretização do objetivo da lei: dar às pessoas controle sobre suas informações pessoais. Isso porque, a partir das novas determinações legais, as organizações não podem divulgar, vender ou repassar dados pessoais sem o consentimento dos seus titulares, nem manipular esses dados de forma inadequada ou negligente.

Para alcançar esse intento, é preciso mudar a forma de atuação das equipes e intensificar os cuidados relacionados à coleta, proteção e uso de informações pessoais. O artigo 6º. da LGPD destaca os dez princípios que devem nortear esse trabalho e serve de base para a adoção das medidas necessárias à adequação dos processos corporativos à nova norma. A seguir, estão detalhados cada um desses preceitos.

1. Finalidade

Sobre esse tema, a LGPD determina a “realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.” Em outras palavras, a lei impõe a cada empresa a necessidade de estabelecer propósitos bem determinados para captar e tratar dados pessoais e ainda deixar claro ao titular quais são os objetivos no levantamento e registro dessas informações. Isso implica, por exemplo, na impossibilidade de captar um endereço para envio de cobrança e depois usar esse dado para abordagem ao cliente com nova oferta de produto ou serviço, a não ser que a empresa obtenha a concordância do titular para que a informação seja usada também com esse fim.

2. Adequação

de acordo com o artigo 6º da LGPD, esse princípio trata da “compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento.” Em linhas gerais, significa que a empresa deve justificar a captação, registro e tratamento de determinado dado com base em sua importância para o modelo de negócios da organização. Como exemplo, podemos citar uma empresa de varejo que, ao fazer o cadastro de um cliente, solicita dados relacionados à crença religiosa ou orientação política do cliente. Com base no que determina a LGPD, essa exigência é injustificável e torna a empresa passível de punição.

3. Necessidade

esse princípio impõe às empresas a “limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.” Em suma, a lei impõe às organizações o dever de captar e tratar somente os dados pessoais imprescindíveis e essenciais para que os objetivos previamente definidos e aprovados pelo titular dos dados sejam alcançados.

4. Livre acesso

um dos pontos fundamentais da lei, esse princípio estabelece a “garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.” Para assegurar a observação desse preceito, as empresas devem estabelecer processos e canais por meio dos quais os titulares possam consultar, sem qualquer custo, seus dados pessoais em poder da empresa, além dos objetivos da organização ao dispor desses dados e o período em que serão utilizados.

5. Qualidade dos dados

esse princípio, definido na lei como “garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento”, estabelece a exigência de que a base de dados pessoais mantida pela empresa seja verdadeira e atualizada. Define, portanto, que a empresa assegure aos titulares a precisão dos dados, além de sua inteligibilidade e relevância para que a corporação cumpra seus objetivos diante do acordo previamente pactuado com o titular no momento de sua captação e que mantenha esses dados atualizados.

6. Transparência

outro princípio essencial da LGPD, determina que todas as informações fornecidas pela empresa, seja qual for o canal utilizado, devem ser claras, precisas e verdadeiras. Além disso, impõe a impossibilidade de repasse dos dados pessoais a terceiros sem que o titulares tenha ciência. Dessa forma, o uso de empresas ou qualquer agente acionado para a tratamento das informações precisa ser do conhecimento dos donos dos dados, resguardados apenas os segredos industriais e comerciais.

7. Segurança

Esse princípio impõe a adoção de medidas capazes de garantir a proteção dos dados pessoais de acessos não autorizados e de comunicação ou distribuição não consentida pelos titulares. Exige, portanto, a alocação de recursos tecnológicos e a revisão de processos de manuseio desses dados que impeçam, por exemplo, o sucesso de ataques hackers ou situações acidentais ou ilícitas que levem à perda ou à alteração das informações.

8. Prevenção

Reforçando o princípio de Segurança, esse princípio explicitado na lei reforça ainda mais a necessidade de adoção das medidas necessárias para lidar com os possíveis problemas relacionados aos processos de captação, registro e tratamento de dados pessoais a fim de evitar danos, especialmente aos titulares dos dados.

9. Não discriminação

de acordo com a LGPD, esse princípio aborda e impõe a “impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos”. Portanto, a lei determina que o tratamento de dados pessoais não pode, em hipótese alguma, ser realizado com a finalidade de discriminar ou promover abusos contra os titulares. A lei, inclusive, trata em seu artigo 5º dos dados pessoais sensíveis, especificados como dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

10. Responsabilização e Prestação de Contas

A LGPD fecha seu artigo 6ª com o princípio que determina à empresa responsável pela coleta, armazenamento e tratamentos de dados pessoais a apresentação de informações e provas capazes de confirmar a observação das normas de proteção de dados pessoais e a eficácia dessas medidas.