O uso de dados ao redor do mundo, sempre foi um assunto problemático, repleto de nuances e dúvidas, principalmente, por parte de leigos. Todavia, o panorama atual demonstra o surgimento de novas tendências globais, com significativas alterações nos sistemas jurídicos de diversos países, cuja essência está em traçar diretrizes claras rumo à privacidade e segurança.

No Brasil, essa tendência, ao que tudo indica, tornou-se realidade. Após oito anos de discussões, debates, estudos e redações, em 14 de agosto de 2018, foi sancionada a Lei Geral de Proteção de Dados (LGPD), Lei 13.709/2018.

Por isso, no artigo de hoje falaremos sobre a LGPD, mostrando seus principais pontos, além de mostrar como nossa empresa lida com os dados de nossos stakeholders. Ressaltamos que o objetivo deste artigo é meramente informativo. Não prestamos serviços de consultoria jurídica nem nos responsabilizamos por medidas que possam ser adotadas por terceiros.

Neste artigo, falaremos sobre:

• O que é LGPD?
• Bases para aplicação da LGPD
• Controlador, Operador e DPO
• Como tratamos os dados de nossos stakeholders?

O que é LGPD?

Como mostramos no início deste artigo, LGPD é a Lei Geral de Proteção de Dados. A LGPD foi baseada na GDPR (General Data Protection Regulation), que entrou em vigor no último ano e regulamenta a questão para os países europeus. A GDPR é a mais significante legislação recente sobre proteção e privacidade de dados, por isso, passou a servir de modelo para criação de diversas outras diretrizes do gênero mundo afora.

De forma simples, a LGPD regula o que entidades públicas e privadas podem fazer com nossas informações pessoais, bem como estabelece sanções em caso de descumprimento.

A lei entende por “dados pessoais” qualquer informação relacionada à pessoa natural identificada ou identificável. Sendo mais específico, podemos dizer que: dados cadastrais, data de nascimento, profissão, dados de localização GPS, identificadores eletrônicos, nacionalidade, gostos, interesses e hábitos de consumo, entre outros, se enquadram como dados pessoais.

Além dos dados pessoais, a lei também contempla outro grupo denominado “dados sensíveis” que é constituído por: origem racial ou étnica; convicção religiosa; opinião política; filiação a sindicato ou a organização de caráter religioso, filosófico ou político; dado referente à saúde ou à vida sexual; dado genético ou biométrico quando vinculado a uma pessoa natural.

Vale destacar que o simples ato de tirar uma foto sua ou de um documento para dar entrada em um edifício, por exemplo, já justifica a aplicação da lei.

Mas, quais atividades justificam a aplicação da legislação?

Bases para aplicação da LGPD

As bases legais são hipóteses da LGPD que autorizam o tratamento de dados pessoais por parte de empresas e organizações. Ao lidar com dados pessoais, é preciso ter em conta que quaisquer das seguintes atividades estão sujeitas à aplicação da legislação:

Coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

A partir do momento em que a LGPD entrar em vigor, empresas que utilizarem dados pessoais sem uma base legal adequada, estarão tratando dados de forma ilegal. Mas, nenhum dado pode ser guardado? Claro que pode!

Na verdade, o que se espera das organizações é que elas demonstrem de forma transparente o que estão coletando e para qual finalidade. Além disso, as organizações precisam divulgar por que precisam desses dados, garantir sua qualidade e segurança, informar o tempo de retenção, como eles serão descartados, estabelecer medidas de prevenção a danos causados pelo vazamento dos dados, não discriminar pessoas, responsabilizar-se e prestar contas aos titulares, permitindo, sempre que possível, acesso aos dados e sua respectiva exclusão.

Para dar nome aos bois e entender quem faz o quê nesse contexto, você precisa saber que os Agentes de Tratamento são os responsáveis pelo que é feito com os dados dos titulares: Controlador e Operador.

Controlador, Operador e DPO

O Controlador é aquele que decidirá o que será feito com o dado e precisa prestar contas aos titulares dos dados pessoais. O Controlador tanto pode ser uma empresa como uma pessoa física.

O Operador, por sua vez, é responsável pela execução do tratamento e, em muitos casos, é um papel exercido pelo próprio Controlador. Assim como no caso do Controlador, o Operador pode ser uma organização ou uma pessoa física.

Por fim, outra figura importante é o Encarregado de Dados ou DPO (Data Protection Officer). O DPO é o elo entre o Controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). De forma simples, o DPO é o canal de comunicação entre as partes.

Por fim, vale ressaltar que a ANPD é uma autarquia responsável por regular e editar regulamentos relacionados à proteção de dados pessoais e privacidade, divulgar para o público em geral, além de fiscalizar e aplicar sanções em caso de descumprimento da LGPD.

Para mostrar seu comprometimento com a proteção dos dados pessoais, toda organização deve elaborar uma política de privacidade e proteção de dados pessoais, implantar medidas de segurança para garantir sua integridade, mitigar os riscos de vazamento de dados pessoais e tornar público (princípio da transparência) seu RIPD, Relatório de Impacto à Proteção de Dados Pessoais.

Como tratamos os dados de nossos stakeholders?

Em conformidade com a legislação, nós desenvolvemos a nossa Política de Privacidade e Proteção de Dados Pessoais. Deste trabalho, surgiram oito RIPD’s, uma vez que cada relacionamento entre a empresa e os titulares de dados pessoais é diferente.

Foram mapeados os seguintes perfis de titulares de dados pessoais: candidato em processo de seleção; cliente; contato geral; fornecedor; funcionário; prospect ou lead; usuário administrador da plataforma iTransport; e usuário de serviços, que usam os aplicativos iTransport.

Além de documentar de forma transparente nossa relação com cada um desses perfis, dispomos de um Plano de Resposta à Violação de Dados Pessoais (Data Breach), que visa orientar os responsáveis, especialmente o DPO, sobre como lidar com situações que envolvam o eventual vazamento de dados pessoais.

Conclusão

Esperamos ter esclarecido mais a respeito da Lei Geral de Proteção de Dados, além de informá-lo (a) sobre como lidamos com os dados dos grupos que se relacionam com a nossa empresa.

Agora que você aprendeu mais sobre a LGPD, descubra o que há de novo na nova gasolina brasileira neste artigo que escrevemos sobre o tema, é só clicar aqui.