A menos de 3 meses do incio da vigncia da parte sancionatria da Lei Geral de Proteo de Dados – LGPD (Lei n 13.709/2018), ou seja, da possibilidade de aplicao de sanes istrativas, muitos ainda acreditam que no realizam tratamento de dados pessoais. 554e63
Mas praticamente todas as organizaes e profissionais liberais utilizam dados pessoais em algum momento da sua atividade.
Nos termos da LGPD, dado pessoal qualquer informao relativa a uma pessoa natural identificada ou identificvel (art. 5. I). E tratamento de dados “toda operao realizada com dados pessoais (...)” (art. 5, X).
Quando a atividade de tratamento de dados est dissociada da atividade-fim da organizao, observa-se uma dificuldade de percepo de que ela precisa se adequar LGPD. Este tipo de situao muito comum nas empresas conhecidas como B2B, nas que exploram e-commerce, nos pequenos negcios.
A existncia de empregados, por exemplo, indica uma srie de operaes de tratamento de dados pessoais: desde as aes para a contratao, o recebimento e o o ao contedo dos currculos, a comunicao destas informaes internamente, at o arquivamento ou descarte destes documentos; assim como os exames issionais e toda a documentao produzida e arquivada durante a manuteno da relao de trabalho e no seu encerramento.
Se uma organizao trata dados de outra (se operadora), precisa se adequar para realizar o trabalho. Se, para prestar o seu servio, contrata servios de terceiros, como data centers ou programas para armazenamento e gerenciamento de informaes, nesta relao a empresa controladora e, portanto, responsvel pelo tratamento dos dados em conformidade com a LGPD, por parte da sua contratada.
No caso do e-commerce, ainda que no opere paralelamente um estabelecimento fsico, h uma srie de atividades nos bastidores, que conferem funcionalidade loja virtual, em que ocorrem operaes de tratamento de dados pessoais, como na identificao do cliente e dos dados da compra, na preparao da mercadoria para envio, na contratao do servio que far a entrega do produto.
Se a empresa no coleta dados dos clientes que visitam o seu site, mas permite que terceiros o faam, para a segmentao de publicidade, precisa se adequar Lei.
Prev a LGPD que qualquer pessoa que intervenha em alguma fase do tratamento de dados obriga-se a garantir a segurana da informao (art. 47).
As organizaes e os profissionais devem disseminar uma cultura interna de proteo de dados e instituir um sistema de governana destes dados de acordo com a legislao. Vale lembrar que por se tratar de um regime de compliance, o estado de conformidade com a LGPD deve ser monitorado e mantido, de modo que os conceitos de privacidade e proteo de dados sejam incorporados no dia a dia, em todos os setores e em todas as atividades que, de algum modo, interfiram com dados pessoais.
Se a organizao realiza o tratamento de dados pessoais para outra empresa ou profissional, ou se contrata um terceiro para realizar algum tratamento de dados em seu interesse, em ambas as situaes, dever estabelecer as regras que vo reger a relao, mediante a celebrao de contratos especficos ou de alterao e insero de clusulas em contratos j existentes.
O regime jurdico da proteo de dados pessoais se assenta no grande princpio do privacy by design, que permeia toda a atividade de tratamento, sendo densificado em diversas normas e outros princpios, como o da preveno (art. 6, VIII da LGPD). Dele decorrem os deveres do controlador de avaliao dos riscos inerentes s operaes de tratamento de dados que realiza (tanto quanto probabilidade, quanto em relao gravidade) e instituio de medidas tcnicas e istrativas, previamente, para mitigar estes riscos e resguardar os direitos e liberdades dos titulares dos dados.
