Lei Geral de Proteção de Dados

A entrada em vigor da Lei Geral de Proteção de Dados (LGPD) busca gerar respostas para algumas perguntas. Por exemplo, como proteger os dados pessoais?

Afinal, pode não parecer, mas os a dados pessoais de qualquer indivíduo não estão tão protegidos quanto se pensa. Basta tentar abrir uma conta em um banco que já é possível entender do que estamos falando. O chatbot de atendimento faz perguntas como:

Qual é a sua relação com Isa? Ela é sua:
Mãe | Irmã

Como é a primeira vez que a conta será aberta, como pode o banco saber qual é a relação do novo cliente com Isa a ponto de questioná-lo sobre isso?

O acesso a essa e outras informações pode ser usado em algum momento, tanto para o bem quanto para o mau. Geralmente, ele está nas mãos de quem tem o poder de decisão e é a privacidade das pessoas que a LGPD tenta proteger. Mas, não só isso. Demonstrar para as empresas a responsabilidade que detém ao lidar com informações pessoais também é outra intenção da Lei Geral de Proteção de Dados.

A questão é que há uma certa resistência quanto à adequação à LGPD. Muitas empresas veem a nova legislação como algo que vai inviabilizar negócios. Contudo, é possível vê-la por outro ângulo, como algo que gera oportunidades de negócio.

O raciocínio em cima disso é simples. Quanto mais a empresa conhece o cliente, a partir da qualificação dos dados, quanto mais precisa, correta e clara for informação for em relação a isso, melhores serão os serviços que poderá oferecer.

Portanto, a dificuldade que se acredita que será imposta pela Lei Geral de Proteção de Dados pode não passar de um mito. Quem estiver disposto a compreendê-los, antes de a legislação se tornar efetiva, e a mudar o pensamento pode ter ganhos melhores com a sua implantação.

Mitos da Lei Geral de Proteção de Dados

Mito 1: Micro e pequenas empresas não são atingidas pela lei

O primeiro mito associado à LGPD é o de acreditar que as micro e pequenas empresas não são atingidas pela Lei. Por enquanto, a legislação não contém qualquer salvaguarda ou alívio em relação ao porte empresarial. Ou seja, a Lei tem aplicação irrestrita. Isso significa que destina-se a toda atividade econômica, seja ela pública ou privada.

Portanto, a legislação afeta toda atividade empresarial. O que representa uma oportunidade para o mercado jurídico. Porque toda empresa, independentemente do porte, necessitará de consultoria para saber como agir corretamente e não perder mercado.

Esse risco existe pelo simples fato de que uma empresa com um total de 10 fornecedores, dos quais seis agem fora da lei, pode perder negócios porque muitas outras empresas e pessoas só negociarão com quem está adequado à Lei de Proteção de Dados.

Inclusive, é a Lei que determina como pode ser feito o tratamento de dados pessoais. A primeira forma permitida é o consentimento livre, informado e inequívoco. A outra é a execução de contrato. Ou seja, usar o contrato como base para realizar uma ação, como oferecer um determinado serviço a pessoa que já é cliente.

O consentimento era a regra geral do Marco Civil da internet, até agora. A grande mudança ocasionada pela LGPD está na implantação da figura do legítimo interesse. Isso quer dizer que se houver um motivo real, capaz e ser comprovado por um teste de ponderação, não há com o que se preocupar em relação ao uso dos dados.

O princípio desse teste é a empresa questionar se há um propósito justo para proceder o tratamento dos dados. Por exemplo, fazer publicidade. Também, se esses dados são imprescindíveis para executar um projeto. Por último, balancear o direito da empresa em usar a informação e o impacto que o uso dos dados vai ter na vida da pessoa. Por fim, a lógica é similar à do Compliance.

Mito 2: É preciso de consentimento para tudo

Outro mito associado à Lei Geral de Proteção de Dados é o de que é preciso de consentimento para tudo. Na verdade, é o oposto. A contrapartida da empresa é a documentação e a justificativa de porque é necessário usar os dados da pessoa.

No artigo 38, a Lei discorre sobre como devem ser registrados os tratamentos dos dados.

Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.

Parágrafo único. Observado o disposto no caput deste artigo, o relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.

Para se ter uma ideia, na Europa, apenas 5% das bases são por formadas por consentimento; 20% são por execução de contrato; 70% é por legítimo interesse; e 5% outros.

A Lei é abrangente porque o conceito de dados pessoais e tratamento de dados é abrangente. Entre tantas outras coisas, busca melhorar a qualidade de vida, mas com respeito ao ser humano. O seu sucesso ou insucesso, só é possível saber com o tempo.