Princípios norteadores para adequação de sua empresa à LGPD

Com a entrada em vigor da Lei Geral de Proteção de Dados (LGPD), cresce a preocupação das empresas para estarem em conformidade com as novas determinações que regulamentam o uso de dados de terceiros nos ambientes físico e digital. Bastante rigorosa, a lei prevê punições severas em caso de descumprimento. Além da responsabilidade de indenizar o titular dos dados, em caso de uso indevido, a LGPD impõe sanções de caráter administrativo que vão de advertência a multas que podem chegar a R$ 50 milhões.

Na prática, a LGPD exige alterações na maneira como as companhias de todos os portes, públicas e privadas, lidam com dados de terceiros. Isso impõe a muitas empresas uma profunda mudança na cultura corporativa, a fim de garantir a concretização do objetivo da lei: dar às pessoas controle sobre suas informações pessoais. Isso porque, a partir das novas determinações legais, as organizações não podem divulgar, vender ou repassar dados pessoais sem o consentimento dos seus titulares, nem manipular esses dados de forma inadequada ou negligente.

Para alcançar esse intento, é preciso mudar a forma de atuação das equipes e intensificar os cuidados relacionados à coleta, proteção e uso de informações pessoais. O artigo 6º. da LGPD destaca os dez princípios que devem nortear esse trabalho e serve de base para a adoção das medidas necessárias à adequação dos processos corporativos à nova norma. A seguir, estão detalhados cada um desses preceitos.

Princípios da LGPD

1. Finalidade - Sobre esse tema, a LGPD determina a “realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.” Em outras palavras, a lei impõe a cada empresa a necessidade de estabelecer propósitos bem determinados para captar e tratar dados pessoais e ainda deixar claro ao titular quais são os objetivos no levantamento e registro dessas informações. Isso implica, por exemplo, na impossibilidade de captar um endereço para envio de cobrança e depois usar esse dado para abordagem ao cliente com nova oferta de produto ou serviço, a não ser que a empresa obtenha a concordância do titular para que a informação seja usada também com esse fim.
   
   
2. Adequação – de acordo com o artigo 6º da LGPD, esse princípio trata da “compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento.” Em linhas gerais, significa que a empresa deve justificar a captação, registro e tratamento de determinado dado com base em sua importância para o modelo de negócios da organização. Como exemplo, podemos citar uma empresa de varejo que, ao fazer o cadastro de um cliente, solicita dados relacionados à crença religiosa ou orientação política do cliente. Com base no que determina a LGPD, essa exigência é injustificável e torna a empresa passível de punição.
   
   
3. Necessidade – esse princípio impõe às empresas a “limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.” Em suma, a lei impõe às organizações o dever de captar e tratar somente os dados pessoais imprescindíveis e essenciais para que os objetivos previamente definidos e aprovados pelo titular dos dados sejam alcançados.
   
   
4. Livre acesso – um dos pontos fundamentais da lei, esse princípio estabelece a “garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.” Para assegurar a observação desse preceito, as empresas devem estabelecer processos e canais por meio dos quais os titulares possam consultar, sem qualquer custo, seus dados pessoais em poder da empresa, além dos objetivos da organização ao dispor desses dados e o período em que serão utilizados.
   
   
5. Qualidade dos dados – esse princípio, definido na lei como “garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento”, estabelece a exigência de que a base de dados pessoais mantida pela empresa seja verdadeira e atualizada. Define, portanto, que a empresa assegure aos titulares a precisão dos dados, além de sua inteligibilidade e relevância para que a corporação cumpra seus objetivos diante do acordo previamente pactuado com o titular no momento de sua captação e que mantenha esses dados atualizados.
   
   
6. Transparência - outro princípio essencial da LGPD, determina que todas as informações fornecidas pela empresa, seja qual for o canal utilizado, devem ser claras, precisas e verdadeiras. Além disso, impõe a impossibilidade de repasse dos dados pessoais a terceiros sem que o titulares tenha ciência. Dessa forma, o uso de empresas ou qualquer agente acionado para a tratamento das informações precisa ser do conhecimento dos donos dos dados, resguardados apenas os segredos industriais e comerciais.
   
   
7. Segurança – Esse princípio impõe a adoção de medidas capazes de garantir a proteção dos dados pessoais de acessos não autorizados e de comunicação ou distribuição não consentida pelos titulares. Exige, portanto, a alocação de recursos tecnológicos e a revisão de processos de manuseio desses dados que impeçam, por exemplo, o sucesso de ataques hackers ou situações acidentais ou ilícitas que levem à perda ou à alteração das informações.
   
   
8. Prevenção – Reforçando o princípio de Segurança, esse princípio explicitado na lei reforça ainda mais a necessidade de adoção das medidas necessárias para lidar com os possíveis problemas relacionados aos processos de captação, registro e tratamento de dados pessoais a fim de evitar danos, especialmente aos titulares dos dados.
   
   
9. Não discriminação - de acordo com a LGPD, esse princípio aborda e impõe a “impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos”. Portanto, a lei determina que o tratamento de dados pessoais não pode, em hipótese alguma, ser realizado com a finalidade de discriminar ou promover abusos contra os titulares. A lei, inclusive, trata em seu artigo 5º dos dados pessoais sensíveis, especificados como dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
   
   
10. Responsabilização e Prestação de Contas – A LGPD fecha seu artigo 6ª com o princípio que determina à empresa responsável pela coleta, armazenamento e tratamentos de dados pessoais a apresentação de informações e provas capazes de confirmar a observação das normas de proteção de dados pessoais e a eficácia dessas medidas.

FAQ

Que tipo de dados são considerados pela LGPD?

São considerados dados pessoais aqueles que podem identificar uma pessoa física, são aqueles que comumente fornecemos em um cadastro, como nome, RG, CPF, gênero, data e local de nascimento, filiação, telefone, endereço residencial, cartão ou dados bancários.

O que são dados sensíveis abordados na LGPD?

São aqueles dados que exigem a maior atenção e cuidado no tratamento, pois revelam a origem racial ou étnica do indivíduo, suas convicções religiosas ou filosóficas, opiniões políticas, filiação sindical, questões genéticas, biométricas e sobre a saúde ou a vida sexual de uma pessoa.

O que é LGPD nas empresas?

A LGPD afeta completamente a forma como as empresas que operam no Brasil lidam com informações e dados pessoais. Sob a ótica da lei, basicamente, as empresas devem: ser mais transparentes e conscientes em relação ao uso de dados pessoais de seus clientes, parceiros e usuários sem utilizá-los de modo inadequado. As empresas podem utilizar algumas bases legais da LGPD para o tratamento dos dados pessoais. Elas são hipóteses que autorizam o processamento de dado e são condições determinadas pela Lei Geral de Proteção de Dados para que seja possível fazer a coleta de dados pessoais e o tratamento deles. São elas: Consentimento do titular; Legítimo interesse; Cumprimento de obrigação legal ou regulatória; Tratamento pela administração pública; Realização de estudos e de pesquisa; Execução ou preparação contratual; Exercício regular de direitos; Proteção da vida e da incolumidade física; Tutela de saúde do titular e Proteção de crédito.

Para quais empresas a LGPD se aplica?

Empresas públicas e privadas, de todos os portes.