A menos de 3 meses do início da vigência da parte sancionatória da Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018), ou seja, da possibilidade de aplicação de sanções administrativas, muitos ainda acreditam que não realizam tratamento de dados pessoais.
Mas praticamente todas as organizações e profissionais liberais utilizam dados pessoais em algum momento da sua atividade.
Nos termos da LGPD, dado pessoal é qualquer informação relativa a uma pessoa natural identificada ou identificável (art. 5º. I). E tratamento de dados é “toda operação realizada com dados pessoais (...)” (art. 5º, X).
Quando a atividade de tratamento de dados está dissociada da atividade-fim da organização, observa-se uma dificuldade de percepção de que ela precisa se adequar à LGPD. Este tipo de situação é muito comum nas empresas conhecidas como B2B, nas que exploram e-commerce, nos pequenos negócios.
A existência de empregados, por exemplo, indica uma série de operações de tratamento de dados pessoais: desde as ações para a contratação, o recebimento e o acesso ao conteúdo dos currículos, a comunicação destas informações internamente, até o arquivamento ou descarte destes documentos; assim como os exames admissionais e toda a documentação produzida e arquivada durante a manutenção da relação de trabalho e no seu encerramento.
Se uma organização trata dados de outra (se é operadora), precisa se adequar para realizar o trabalho. Se, para prestar o seu serviço, contrata serviços de terceiros, como data centers ou programas para armazenamento e gerenciamento de informações, nesta relação a empresa é controladora e, portanto, responsável pelo tratamento dos dados em conformidade com a LGPD, por parte da sua contratada.
No caso do e-commerce, ainda que não opere paralelamente um estabelecimento físico, há uma série de atividades nos bastidores, que conferem funcionalidade à loja virtual, em que ocorrem operações de tratamento de dados pessoais, como na identificação do cliente e dos dados da compra, na preparação da mercadoria para envio, na contratação do serviço que fará a entrega do produto.
Se a empresa não coleta dados dos clientes que visitam o seu site, mas permite que terceiros o façam, para a segmentação de publicidade, precisa se adequar à Lei.
Prevê a LGPD que qualquer pessoa que intervenha em alguma fase do tratamento de dados obriga-se a garantir a segurança da informação (art. 47).
As organizações e os profissionais devem disseminar uma cultura interna de proteção de dados e instituir um sistema de governança destes dados de acordo com a legislação. Vale lembrar que por se tratar de um regime de compliance, o estado de conformidade com a LGPD deve ser monitorado e mantido, de modo que os conceitos de privacidade e proteção de dados sejam incorporados no dia a dia, em todos os setores e em todas as atividades que, de algum modo, interfiram com dados pessoais.
Se a organização realiza o tratamento de dados pessoais para outra empresa ou profissional, ou se contrata um terceiro para realizar algum tratamento de dados em seu interesse, em ambas as situações, deverá estabelecer as regras que vão reger a relação, mediante a celebração de contratos específicos ou de alteração e inserção de cláusulas em contratos já existentes.
O regime jurídico da proteção de dados pessoais se assenta no grande princípio do privacy by design, que permeia toda a atividade de tratamento, sendo densificado em diversas normas e outros princípios, como o da prevenção (art. 6º, VIII da LGPD). Dele decorrem os deveres do controlador de avaliação dos riscos inerentes às operações de tratamento de dados que realiza (tanto quanto à probabilidade, quanto em relação à gravidade) e instituição de medidas técnicas e administrativas, previamente, para mitigar estes riscos e resguardar os direitos e liberdades dos titulares dos dados.
