Verdades e Mitos da LGPD (Reinaldo Correia -Daryus / IDESP)

Verdades e Mitos da LGPD -A LGPD já está em vigor há alguns meses, mas ainda há quem acredite que a lei não vai pegar. Há ainda as pessoas que acreditam que a lei veio para impedir que as empresas tratem os dados pessoais de seus clientes. Pensando nisso, preparei uma lista com algumas verdades e mitos da LGPD para sanar algumas dúvidas que ainda pairam pela mente das pessoas. Será que você acerta todas?

1 –A LGPD não vai pegar! É mais uma dessas leis que não irão se tornar realidade no Brasil.

Mito

A Lei Geral de Proteção de Dados já está em vigor e já tem efetividade. Essaconversa deque a lei não vai pegar é um grande mito. Já temos discussões no judiciário falando sobre a aplicação da lei. Na esfera trabalhista, na esfera civil, ou seja,em processos que buscamreparaçõespelo descumprimento da leie não somenteno âmbitoadministrativo.Ou seja, quando uma lei já está em funcionamento, ela pode ser exigível inclusive nos tribunais.

Outro fator que prova a efetividade da Lei é a ANPD (Autoridade Nacional de Proteção de Dados), órgão responsável por zelar, implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados no Brasil. A ANPD já está funcionando e, ao logo de 2021, já elencou diversas atividades a respeito desse assunto, como, por exemplo,realizou audiência pública, em setembro de 2021, paradebater a proposta de norma de aplicação da LGPD para microempresas e empresas de pequeno porte.

2 –O consentimento do titular dos dados pessoais é a regra para tratar os dados pessoais e as demais bases legais são exceções (temos mais 9 bases legais).

Mito

O consentimento é uma das 10 hipóteses que temos para tratar os dados pessoais. A lei não elenca prioridade, então não podemos falar em regras ou exceções. Existe uma estrutura legislativa e o tratamento de dados pessoais só será admitido nas seguintes hipóteses:

• Consentimento do titular;
• LegítimoInteressedo Controlador ou de terceiros;
• Cumprimento de obrigação legal ou regulatóriapelo Controlador;
• Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas;
• Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
• Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
• Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
• Para a proteção da vida ou da incolumidade física do titular ou de terceiros;
• Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
• Proteção docrédito.

Temos aqui uma lógica no ecossistema de bases legais (hipóteses) para o tratamento, que valoriza um dos fundamentos da proteção de dados pessoais que é a autodeterminação afirmativa, cabendo ao titular determinar, sim, ele mesmo, o uso dos dados pessoais e de que forma serão utilizadose nesse contexto o consentimento surge como a primeira hipótese.

O Controladordeve olhar a finalidade do tratamento e decidir qual hipótese se encaixa melhor.

3 –A LGPD permite que o titular dosdados pessoais exija a eliminação total dos seus dados pessoais.

Mito

A LGPD permite que o titular dos dados pessoaissolicitea eliminação total dos seus dados pessoais. Por não ser um direito absoluto, o titular não podeexigira eliminação de seus dadospessoais. O artigo 18º da LGPD traz os direitos do titular de dados, entre eles, odireito de solicitara eliminaçãode dados desnecessários, excessivos ou tratados em desconformidade com a LGPDou a eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16º da LGPD

A organização (pública ou privada)tem a obrigação de ouvir e responder a todasas solicitações, mas é possível que aorganizaçãotenha uma justificativa que inviabilize a eliminação dos dadospessoais.

Um exemplo é a emissão de uma nota fiscal numa relação de compra e venda. Existeumalegislação brasileiraque exige a manutenção do documento fiscal por um período para a fiscalização, seja do estado, do município ou federal. Essa manutenção é para poder comprovar, em caso de alguma solicitação que a nota foi emitida e para quem foi emitida. A notacontémdadospessoais se emitida para consumidores,como nome,CPF eendereço. Contudo,por mais que o titular solicite a exclusão,esses dados pessoaisprecisam ser mantidos por, no mínimo, cinco anos.

4 –A devida adequação à LGPD pode se tornar um diferencial competitivo! Não é apenas o cumprimento de uma obrigação legal.

Verdade

Temos visto bem aplicado o conceito de governança dentro das organizações, principalmente naquelasorganizaçõesconsideradas agente de tratamento do tipoOperador, que são cada vez mais exigidas pelos seus clientes, para que estejam devidamente preparadas para proteger os dados pessoais, adotando medidas técnicas e administrativas aptas para tais proteções.

As organizaçõesque não atenderemesses requisitos,poderão perdermercado,perderreferência e, notadamente, perderparaaconcorrência que estápreparadae que demonstraissopor meio documental e/oupor meio de auditoria, consequentemente consegue estar à frente por esse diferencial.

5 –A LGPD se aplica somente aos dados pessoais tratados em meios físicos, pois temos outras legislações que protegem os dados pessoais nos meios digitais.

Mito

O textoda LGPDdiz quese aplica no tratamento de dados pessoais das pessoas naturais,“inclusive nos meios físicos”.Mas não sónestes!

Com essa questão, a lei quer explicar exatamente o contrário da informação acima: qualquer tipo de tratamento,realizado por qualquermeio(incluindo o meio físico), é considerado tratamento para fins de aplicação daLGPD.

6 –Caso ocorra um incidente com dados

pessoais que traga riscos às pessoas, além dassançõesadministrativas, poderão ocorrer outrassanções.

Verdade

A preocupaçãosobrea LGPD é muito grande. Além dassançõesadministrativas, como multa de 2% do faturamento, que pode chegar até R$ 50 milhões, eliminação dos dados e proibição de tratamento, as empresas podem sofrer outrassanções.

Se o tratamento de dados pessoais for realizado em uma relação de consumo, o Procon pode atuar e poderáaplicaruma multa administrativa. Seo tratamento de dados pessoais estiver relacionadoacolaboradores de uma organização,poderá ocorrerumaobrigação deindenizaro colaborador por mal uso dos dados pessoaisna esfera trabalhista.

Então é muito importante tomar cuidado, pois temos um mundo paralelo que, por vezes, acabamos esquecendo.

7 –A LGPD impede que as empresas utilizem dados pessoais de seus clientes e colaboradores.

Mito

A lei não impede a utilização dos dados pessoais por empresas. O artigo 7º e o artigo 11ºque tratamdas hipótesespara o tratamento dedadospessoaisdizemque os dados pessoais podem ser tratados a depender das hipóteseselencadaspela lei.
Então podemos dizer que o tratamento de dados pessoais é permitido,desde que obedecidos os requisitos para o tratamento, bem como respeitando os princípios da lei e os direitos do titular dos dados pessoais.

8 –A LGPD não se aplica ao meu caso, pois os dados pessoais são propriedade da minha empresa há muito tempo, antes mesmo dessa nova lei.

Mito

Os dadospessoaispertencem ao titular de dados. Então, mesmo que uma organização tenha os dados de clientes há muito tempo, isso não garante que a empresa possa utilizá-los, e muito menos que esses dados pertençam a empresa. Lembrando: a empresa deve verificar as hipóteses do tratamento de dados pessoais e ver quais dados podem ou não continuar sendo tratados.

9 –“A organização está apenas guardando os dados pessoais, não está fazendo nada com eles.” Nesse caso a LGPD será aplicada, pois “guardar” os dados pessoais é considerado tratamento.

Verdade

Quando a empresa armazena dados pessoais, já está fazendo um tratamento, logo a LGPD se aplica a isso. Como gosto de dizer para os meus alunos, só faltou o verbo “amar” na lei. Armazenar, coletar, tratar e inclusive destruir ou eliminar são considerados como tratamento de dados pessoais e a LGPD se aplica.

10 –A LGPD se aplica a qualquer tipo de dado que possa identificar ou tornar identificável uma pessoa natural. Portanto, a placa de um carro, um dado de geolocalização, um endereço IP ou um CEP são considerados dados pessoais.

Verdade

A lei diz que dado pessoal é aquele que posso identificar ou tornar identificável uma pessoa natural. E isso depende de um simples tratamento. A placa de um carro, por exemplo, com a intenção de identificar o motorista, se eu tenho a capacidade tecnológica, eu consigo identificar. A análise que deve ser feita é se eu consigo conectar esse dado de qualquer maneira a uma pessoa natural. Entender o contexto e o cenário em que está incluso esse tipo de dado.

Aproveite e conheça a formação completa para EXIN DPO e também o módulo específico (download gratuito da literatura) sobre LGPD (PDPE).

Artigo publicado originalmente em 21/01/22 no site da Daryus e gentilmente cedido ao EXIN.

Reinaldo Correia –Pós-graduado em Gestão de Segurança da Informação e Gestão de Riscos e Continuidade de Negócios, formado pela Daryus Educação, atual IDESP, tem uma carreira construída nas áreas de negócios, administrativa e de operações em empresas dos segmentos de Tecnologia da Informação, serviços e instituições financeiras. Reinaldo Correa, atua na área de negócios e atendimento aos clientes da Daryus Consultoria. Possui mais de 17 anos de experiência em projetos relacionados à Gestão de Riscos, Compliance, Governança, Políticas de segurança da informação, revisão de processos e prevenção a fraudes. É instrutor credenciado no EXIN Institute nos
cursos: Exin Privacy and Data Protection Essentials (LGPDP); Exin Privacy and Data Protection Foundation (GDPR); Exin Privacy and Data Protection Practitioner (GDPR); Exin Information Security Foundation based on ISO IEC 27001; Auditor Líder ISO27001 e Lead Implementer ISO 27701. É o principal instrutor do curso para formação de DPO (atendimento ao GDPR) desde 2018 no IDESP.