A LGPD e os princípios de tratamento de dados pessoais

 

Falar sobre a LGPD  -  Lei Geral de Proteção de Dados -  dispensa uma introdução. Desde que entrou em vigor, em agosto de 2020 e, mesmo antes, a Lei 13.709 de 2018 já vem sendo comentada e sendo tema de vários artigos e posts. O seu entendimento, no entanto, requer uma boa dose de estudo, pois é um assunto denso e que dá margem a muitas discussões de interpretação.  O entendimento sobre o tratamento de dados se faz necessário para entender o por quê da elaboração da LGPD.

O tratamento de dados é o tema central da LGPD que no seu Artigo 5°, item  X, define tratamento como sendo toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Já no seu Artigo 6° a Lei dispõe sobre os princípios que devem ser obervados no tratamento de dados pessoais. Ao todo são 10 princípios: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilidação. Quando estamos executando projetos de consultoria para adequação à LGPD, observamos que quanto maior for o entendimento dos princípios , melhor será o desempenho dos trabalhos para adequação .

O princípio da finalidade, por exemplo, estabelece que o tratamento dos dados deve ser realizado para propósitos legítimos, específicos e explícitos. Esta finalidade deve ser informada ao titular dos dados, o qual deve fornecer autorização (o que a Lei chama de consentimento) para sua utilização. O titular é o proprietário dos dados e os fornece  para uma determinada empresa para um determinado propósito. Então, como empresa, precisamos ter bem claro que podemos manter  os dados pessoais dos clientes, solicitantes de serviços ou quem nos contrata, enquanto durar a prestação do serviço.  Uma vez finalizada a prestação do serviço, temos que eliminar os dados pessoais devem ser eliminados dos registros.

Grande parte das empresas têm por prática manter os dados pessoais em seus registros. A LGPD pede que tais dados sejam eliminados. Assim, a não ser que exista o embasamento legal para a manutenção dos dados pessoais dos clientes nos registros, estes dados deverão ser eliminados. A empresa deverá tomar as providencias necessárias para que estes dados sejam excluídos  de suas bases de dados, dos locais onde foram compartilhados ou armazenados. Isto deve ser realizado definindo políticas, redefinindo procedimentos, atualizando softwares e demais medidas necessárias para este fim.

 A LGPD, mesmo sendo uma lei, não requer somente revisão de contratos e atenção à parte jurídica. Requer um entendimento mais abrangente sobre o core business da corporação, conhecimento de sistemas de gestão e implementação de processos, bem como, uma componente muito importante de tecnologia da informação.  Ou seja, é um trabalho multidisciplinar que deve ser conduzido por profissionais com expertise em projetos de definições estratégicas, sistemas de gestão e qualidade.

 

Jader Volkmer

Sócio da Datavision Consulting

Sócio da TresC Assessoria Empresarial