Background

Artigo – ConJur - Guia de boas práticas da Lei Geral de Proteção de Dados (LGPD) - Por Gabriel Nantes Gimenez

Apesar de o lobby favorável ao adiamento da entrada em vigor da nossa Lei Geral de Proteção de Dados (LGPD), programada para agosto de 2020, ter ganhado um aliado com a Covid-19, o adiamento era defendido antes mesmo da pandemia. Sendo uma lei principiológica que carece de regulamentação, a LGPD poderia se tornar inócua sem uma autoridade nacional de proteção de dados (ANDP) devidamente constituída, conquanto será ela a encarregada de implementar a lei, preencher suas lacunas, fornecer diretrizes específicas e fiscalizar o cumprimento. Nesse ambiente de incertezas, vê-se com bons olhos a publicação pelo governo do Guia de Boas Práticas — LGPD. O documento fornece orientações de forma didática e inteligível para um público desacostumado com linguagem jurídica. É, provavelmente, o primeiro documento a nortear a implementação da lei por empresas e pelo poder público e trazer luz ao entendimento do governo sobre pontos da LGPD, antecipando o papel que a ANDP performará. Vamos passar pelos pontos mais importantes do guia, com foco nos aplicáveis a empresas como agentes de tratamento. Para que serve a LGPD A LGPD regula o tratamento de dados pessoais privados no Brasil e determina os parâmetros aos quais agentes de tratamentos devem estar adstritos quando usarem tais dados. Parte desses parâmetros não é regra expressa, mas, sim, princípio basilar. A importância dos princípios não pode ser subestimada. Conforme deixa claro o guia, todos os seguintes princípios deverão ser observados em todas as etapas do tratamento de dados pessoais: 1) Finalidade; 2) Adequação; 3) Necessidade; 4) Acesso Livre; 5) Qualidade dos Dados; 6) Transparência; 7) Segurança; 8) Prevenção; 9) Não Discriminação; e 10) Responsabilização. A partir deles, pode-se deduzir, de forma simplificada, a seguinte equação: um agente de tratamento deve usar dado pessoal sempre atualizado para fins legítimos e adequados, respeitando uma finalidade específica, explícita e informada ao titular dos dados, garantindo a segurança e sendo transparente. Abaixo, demonstraremos:

  1. a) As hipóteses para uso legal de dados pessoais privados;
  2. b) Os parâmetros para elaboração de relatório de impacto em dados pessoais; e
  3. c) As hipóteses nas quais o dado deve deixar de ser utilizado.
A — Bases legais Dentro desse guarda-chuva principiológico é que surgem as regras expressas, das quais se destacam as chamadas bases legais, que definem as hipóteses possíveis para tratamento de dados. Grosso modo, elas podem ser divididas em dois grupos: com consentimento ou sem consentimento. Segundo o guia, o consentimento será a base legal excepcional. Deve-se, primeiramente, exaurir as possibilidades de utilizar bases legais que não exigem consentimento. O guia esclarece os requisitos de cada uma das bases legais a partir de um checklist que guia o processo decisório da empresa. Cada uma tem seus requisitos e ressalvas, mas vale ressaltar que em todas bases legais que prescindam de consentimento, a empresa deverá sempre informar ao titular do dado sobre qual é a hipótese de tratamento de dados aplicada. Tratamento para o cumprimento de obrigação legal ou regulatória Requisitos: Uso de informação para cumprir a obrigação que conste na legislação ou em regulação, tal como o envio de informações ao INSS pelo RH da empresa. Ressalvas: Não se enquadram nessa hipótese as obrigações estabelecidas por contrato. Tratamento para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual o titular seja parte Requisitos: Caso exista contrato, as hipóteses de tratamento de dados devem estar nele previstas. Algum tipo de anuência deve ser fornecido quando da formalização do documento ou em sua decorrência. Ressalvas: Ainda não está claro como tais exigências vão ser cumpridas no caso, por exemplo, de procedimentos preliminares que não se constituem em contrato escrito. Tratamento para o exercício de direitos em processo judicial, administrativo ou arbitral Requisito: O titular do dado deve ser informado com destaque sobre a base legal aplicada. Ressalvas: Não está claro como seria esse destaque. Tratamento para a proteção da vida ou da incolumidade física do titular ou de terceiro Requisito: O titular deve estar impossibilitado de oferecer o consentimento para o tratamento de seus dados pessoais, o que restringe o raio de aplicação dessa base legal. Ressalvas: É incerto o que significa essa impossibilidade. Se um terceiro acreditar que o titular dos dados está em perigo, o mero insucesso de contatar o titular já seria considerado impossibilidade? Interesses legítimos do controlador ou de terceiro Requisitos: Apenas quando da impossibilidade de aplicar outras bases legais. É permitido uso para promoção da empresa — divergente do GDPR europeu, aliás. Se o interesse for do controlador, o tratamento deve ser indispensável e baseado em fatos concretos, bem como auxiliar no propósito almejado. Ressalvas: Deve-se respeitar os direitos e as liberdades fundamentais, bem como as expectativas do titular, tal como a transparência em relação ao tratamento de dados. Consentimento geral Requisitos: 1) Declaração dada pelo titular do dado de forma expressa, livre, destacada e para uma finalidade específica, sendo essencial que o consentimento possa ser comprovado pelo controlador; 2) Se o consentimento se der de forma escrita, ele deverá constar em cláusula destacada das demais; 3) Ser solicitado para cada uma das finalidades de tratamento, devendo o titular ser informado sobre que tipo de tratamento será realizado, antes do consentimento; 4) Mudança de finalidade exige obtenção de novo consentimento; e 5) Titular tem opção de retirar consentimento via procedimento gratuito e facilitado. Ressalvas: O consentimento será considerado nulo caso: 1) As informações fornecidas ao titular tenham conteúdo enganoso ou abusivo; 2) As informações não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca; 3) As autorizações sejam genéricas. Consentimento específico para dados sensíveis Requisitos: Se há dados sensíveis (dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político), o consentimento deve ser específico e destacado. Ressalvas: O uso deve ocorrer apenas em situações indispensáveis, sendo do controlador o ônus da prova dessa indispensabilidade. Não está totalmente clara a forma desse consentimento específico. Consentimento específico para dados sensíveis ou de crianças e adolescentes Requisitos: Se há dados de criança ou adolescente, o consentimento deve ser específico e destacado por pelo menos um dos pais ou pelo responsável legal, cuja identidade enquanto tal deverá ser verificada pela empresa, considerando todos os esforços razoáveis e as tecnologias disponíveis. O uso de dados deve ser feito para os melhores interesses do titular. É necessária publicidade sobre tipos de dados coletados e formas de uso ou acesso. Ressalvas: Dispensado para se contatar pais ou responsável legal, ou para a proteção da criança ou adolescente. O uso deve ser feito uma única vez e é vedado armazenar ou compartilhar dados com terceiros. Não está totalmente clara a forma desse consentimento específico. B — Relatório de impacto à proteção de dados pessoais Requisitos: O RIPD pode instruir a análise sobre fluxos de dados ou ser documentação comprobatória de conformidade à LGPD. Elaborado antes do tratamento quando houver impacto na privacidade ou, preferencialmente, no início do programa de adequação à LGPD. Ressalvas: Usar único RIPD para as operações de tratamento é liberalidade da empresa, mas se recomenda um RIPD para cada processo de tratamento se houver muitos dados diferentes. Riscos não precisam ser totalmente eliminados, caso existam dificuldades de sua mitigação, em especial pequenos e médios, especialmente se houver benefícios do processamento. Mantendo-se os riscos residuais de nível alto, recomendável consultar a ANPD. C — Término Hipóteses: Deve-se excluir o dado quando de: 1) Exaurimento da finalidade para uso dos dados ou quando deixarem de ser necessários ou pertinentes para tal; 2) Fim do período de tratamento; 3) Revogação do consentimento ou a pedido do titular, exceto para interesse público; e 4) Decisão da ANDP. Ressalvas: Pode-se manter o dado: 1) Para obrigação legal ou regulatória do controlador; 2) Necessário para estudo de pesquisa, presencialmente com anonimização; e 3) Anonimizado para transferência a terceiro ou uso exclusivo do controlador. Fonte: Consultor Jurídico