LGPD : o que fazer para se adequar?

16/08/2021

Por Fernanda Elissa de Carvalho Awada

A LGPD veio ao mundo jurídico como uma resposta à necessidade de controle da circulação de dados pessoais, tendo em vista, especialmente, a velocidade com que informações relacionadas às pessoas são difundidas em todos os meios, físicos e digitais – muitas vezes sem nenhum critério ou limite – num mundo globalizado. Antes de seu advento, embora já existisse na Constituição Federal, como princípio, o direito à privacidade (art. 5º, X) e, também, algumas legislações esparsas que já impunham limitações às tentativas de violação do direito à privacidade – como a Lei 12.965, de 23 de abril de 2014 (Marco Civil da Internet) – não havia regras específicas que disciplinassem a forma de proteção de dados pessoais.

Foi a LGPD que trouxe o arcabouço legal específico para o que se passou a chamar “tratamento de dados pessoais”, que vem a ser, segundo os exatos termos da lei, “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração” de qualquer informação relacionada a uma pessoa natural (física).

Vale dizer: uma vez que uma empresa tenha recebido qualquer dado pessoal, independentemente de sua finalidade, estará automaticamente realizando tratamento de dados.

A LGPD, absolutamente, não veda o tratamento de dados pessoais. Ao contrário, o viabiliza, inclusive estabelecendo situações em que esse tratamento é necessário e, consequentemente, legítimo, independentemente da existência de consentimento do titular dos dados.

Então, o que exige a LGPD para o regular tratamento de dados? Basicamente, para que um tratamento de dados seja realizado de forma legítima, ele deve: (i) estar fundamentado em uma das bases legais; e, (ii) observar os princípios informativos da LGPD.

Base legal é o mesmo que autorização legal. É a hipótese em que o tratamento de dados é permitido. E os princípios são os limites impostos a essa autorização. Ou seja, ainda que um tratamento de dados seja realizado com fundamento em uma base legal, se violar algum dos princípios, ele não é legítimo.

As bases legais estabelecidas pelo artigo 7º da LGPD, no que interessam ao empresariado, são as seguintes (podendo, o tratamento de dados, ser fundamentado em uma ou mais delas):

(i) consentimento do titular dos dados;

(ii) cumprimento de obrigação legal ou regulatória;

(iii) execução de contrato ou de procedimentos preliminares relacionados a contrato de que seja parte o titular dos dados;

(iv) exercício regular de direitos em processo judicial, administrativo ou arbitral;

(v) proteção da vida ou da incolumidade física do titular ou de terceiro;

(vi) tutela da saúde;

(vii) legítimo interesse;

(viii) proteção do crédito.

Por outro lado, os princípios informadores da LGPD, de acordo com o disposto no art. 6º, são:

(i) boa fé;

(ii) finalidade;

(iii) adequação;

(iv) necessidade;

(v) livre acesso;

(vi) qualidade dos dados;

(vii) transparência;

(viii) segurança;

(ix) prevenção;

(x) não discriminação;

(xi) responsabilização; e,

(xii) prestação de contas.

E quais seriam as medidas necessárias, em princípio, para uma empresa se adequar à LGPD, atendendo ao binômio “base legal e princípios”?

Antes de começar a elaborar documentos, desenvolver ferramentas de TI ou contratar profissionais, a empresa deve mapear o seu fluxo de dados pessoais. Que dados recebe, de onde recebe, o que arquiva, o que e com quem compartilha, de que forma isso é feito e com que finalidade. Esse é primeiro passo.

A partir daí, com uma visão clara do seu fluxo de dados e com um entendimento adequado da LGPD, pode-se definir quais os documentos serão necessários para conformar o tratamento de dados (política de privacidade, termo de confidencialidade, aditamentos de contratos com colaboradores, clientes e fornecedores, dentre outros) e, eventualmente, desenvolvimento de ferramentas de TI que possam garantir a segurança dos dados submetidos a tratamento, mitigando os riscos de violação da privacidade. E, num passo seguinte, nomear uma pessoa que seja responsável pela interface entre a empresa, titulares de dados e os órgãos fiscalizadores, definido na lei como “Encarregado”.

O tema LGPD é bastante amplo. Nos próximos artigos abordaremos com um pouco mais de profundidade os aspectos mais relevantes da lei, seus princípios, institutos e atores que farão parte, certamente, do cotidiano das empresas. Mas o time do Teixeira Fortes está, desde já, preparado para atender as demandas decorrentes da necessidade de adequação das empresas à LGPD.

Compartilhe

Vistos, etc.

Newsletter do
Teixeira Fortes Advogados

Vistos, etc.

O boletim Vistos, etc. publica os artigos práticos escritos pelos advogados do Teixeira Fortes em suas áreas de atuação. Se desejar recebê-lo, por favor cadastre-se aqui.