A Lei Geral de Proteção aos Dados, Lei 13.709/18 teve sua entrada em vigor adiada para maio de 2021. No entanto, em que pese o adiamento, as empresas precisam se adaptar, haja vista que a mesma causa grande impacto, independente do porte ou área de atuação, inclusive em órgãos públicos que detenham informações de pessoas. 

A Lei garante ao consumidor/usuário uma série de direitos e, às empresas, deveres que devem ser cumpridos, pois a partir de sua vigência, as pessoas passam a ser donas de suas informações, podendo exigir o acesso aos dados coletados, a eliminação e a portabilidade desses. 

Hoje em dia, os dados são os ativos mais valiosos de uma empresa, e a LGPD veio exatamente para proteger esses dados. As empresas tem que ter os dados para prestar os serviços e a lei veio para estabelecer as regras do jogo, ou seja, a lei veio para regular a utilização dos dados, para que os  dois lados ganhem. 

Alguns princípios regem essa relação de forma a assegurar que não haja violação de direitos, os quais devem ser observados. São eles:

1 – Finalidade – tem que ter uma finalidade clara e específica. Todo dado tem que ter uma finalidade.

2 – Necessidade – quais são os dados necessários para atingir a finalidade que eu tenho com aquele dado.

3 – Adequação – identificar o meio mais adequado para coletar aquele dado.

4 – Transparência – tem ficar claro o motivo pelo qual eu preciso desse dado. E aqui é onde as pessoas pecam porque a pessoa entrega o seu dado para participar de uma determinada promoção, por exemplo, e depois se depara que aquele dado está sendo utilizado para outra finalidade.

5 – Qualidade dos dados – tem que estar o mais atualizado possível.

6 – Livre acesso – você tem que dar livre acesso ao titular dos dados. Você tem direito.

7 e 8 – Segurança e prevenção – não vejo como falar desses 2 princípios de forma separada, pois um decorre do outro, ou complementa o outro. Pois não há como prevenir sem ter segurança.

9 –  Não usar dados com fins discriminatórios 

10 – Prestação de contas –  Documentação de dados 

Além dos princípios temos as bases legais da LGPD, que devem ser aplicadas quando do tratamento dos dados pelas empresas. Isso significa dizer que toda vez que a empresa tratar um dado, esse dado tem que ter uma finalidade específica, e as bases legais, são exatamente essas finalidades, ou seja fundamentos para que os dados sejam utilizados. São elas:

1 – Consentimento – vontade expressa do titular que ele autorize de forma válida o tratamento de dados. A vontade tem que ser livre e inequívoca. O aceite em política de privacidade não é consentimento de verdade. Tem que ser expressa. Aqui as empresas tem que ser criativas para coletar o consentimento e armazenar.

2 – Obrigação legal – não há que se falar em consentimento quando se tratar de obrigação legal. São casos que a lei obriga as pessoas a fornecerem. Ex: Carteira de trabalho – para tirar esse documento a pessoa precisa entregar os dados. Neste caso não tem que ter consentimento. Tirar RG, CPF etc. Hospital que tem que manter prontuários médicos por 20 anos, também é um exemplo de obrigação legal.

3 – Exercício legal do processo – não precisa de consentimento. Para tratar dados em processos judiciais, administrativos e arbitrais.

4 – Execução do contrato – não precisa tratar dados em caso de execução do contrato e também não precisa de consentimento. Ex: voos onde há transferência de aeronave. Isso significa que toda vez que tiver um terceiro na relação para cumprir a execução do contrato, não precisa do consentimento.

5 – Pesquisa – não precisa de consentimento. Empresas que não tem fins lucrativos.

6 – Políticas públicas – empresas privadas não podem usar essa base legal. Tem que ser usada pela administração pública.

7 – Proteção da vida – não precisa de consentimento quando tratar dados para proteção da vida. Aqui o risco tem que ser iminente.

8 – Tutela da saúde – para profissionais da saúde e autoridades sanitárias. 

9 – Proteção do crédito – não precisa de consentimento – não há em nenhum outro país. Proteger a instituição financeira de um possível calote. Usar com cautela porque só existe no Brasil.

10 – Legitimo interesse – é o interesse do controlador de dados, para apoiar o modelo de negócio da empresa. Algo que seja muito importante para ela.

O que a LGPD determina:

1 – As empresas públicas e privadas só poderão coletar dados pessoais se tiverem o consentimento do titular, e essa solicitação deve ser feita de maneira clara, de forma que o titular saiba exatamente quais dados estão sendo coletados e para quais propósitos serão utilizados, inclusive com a informação se esses dados serão compartilhados com outras empresas terceirizadas.

2 – Se os dados forem referentes à menores de idade, a empresa deverá ter o consentimento dos pais ou responsáveis.

3 – O usuário poderá a qualquer momento, pedir a revogação da autorização dos dados coletados, bem como o acesso, exclusão, portabilidade, complementação ou correção de dados.

4 – Se a empresa modificar a finalidade da utilização dos dados, esta deverá solicitar um novo consentimento para a nova finalidade.

5 – Se a empresa repassar os dados para terceiros, que antes não havia sido autorizado, a empresa também deverá solicitar novo consentimento do titular.

Sueny Almeida de Medeiros – Nascida em Brasília/DF, formada em Direito pelo Centro Universitário UNIEURO, Pós-graduada em Direito Tributário pelo Instituto Brasileiro de Estudos Tributários – IBET. Mestranda em Direito pela Universidade Católica de Brasília – UCB. Conselheira da OAB/DF – triênios 2013/2015 e 2016/2018. Presidente da Comissão de admissibilidade da OAB/DF, triênio 2016/2018. Membro da Comissão de Assuntos Tributários, da Comissão de Sociedades e da Comissão de Seguridade Social da OAB/DF – triênios 2013/2015 e 2016/2018. Principais atuações: Planejamento Tributário, Consultoria Tributária, Contencioso Tributário Judicial e Administrativo e Regulatório na área de Planos de Saúde.