A política de privacidade nas empresas de acordo com a LGPD

A lei Geral de Proteção de Dados, veio trazer uma nova realidade aos brasileiros que até então, nunca haviam de fato se importado com seus dados pessoais.

Vivendo no meio de tecnologias disruptivas, e em um mundo cada vez mais conectado, nos fazemos até reféns destas tecnologias, e sabemos que hoje, os dados pessoais são os maiores ativos das empresas que operam neste meio atual. Sendo assim, o valor econômico destes dados é imensurável, logo, sua proteção, se faz mais do que necessária e de fato, tardia.

A LGPD, veio instituir e mais do que isso, trazer uma doutrina, ao pensamento de toda uma população, que até então, encontrava-se defasada no tema. Com pouco tempo de sua entrada em vigor, já vemos uma sociedade mais preocupada com seus dados pessoais.

O titular de dados pessoais é a estrela principal desta lei, é para a proteção desta figura, que a lei foi idealizada e desenvolvida. Sendo assim, em diversos momentos nos deparamos com um pensamento construtivista trazido pela lei, onde ela explica e determina seus pilares centrais.

E seria impossível falar sobre pilares centrais da lei, sem antes citar a base criacional desta, que é a autodeterminação informativa ou informacional. É aqui, que todo o desenvolvimento legislativo se pauta, incluindo os princípios da lei.

Autodeterminação informativa, termo que importamos da General Data Protection Regulation (GDPR), que é a lei de proteção de dados Europeia, na qual a nossa lei foi inspirada. Este termo foi cunhado na Alemanha em 1983, quando de um julgamento na Corte Constitucional Alemã, em relação a coleta de dados pessoais pelo poder público autorizada pela Lei do Censo, que não conferia adequadas garantias de uso para finalidades especificadas.

E a ideia central deste termo, é que o titular de dados pessoais, tem o direito de saber exatamente tudo o que é feito com o seu dado pessoal. E foi com base neste pensamento, que nossa lei foi idealizada.

Voltando agora para a ideia dos pilares centrais temos a autodeterminação informativa como a base estruturante, e os princípios trazidos pela lei como os pilares de sustentação, sem os quais é impossível pensar em um tratamento de dados pessoais adequado.

Creio que caiba desta forma, para a compreensão total do tema em questão, um destaque maior a um dos princípios trazidos pela lei, qual seja, o princípio da transparência, encontrado no artigo 6º, inciso VI, da Lei 13.709/28 (LGPD), traz o seguinte texto: "VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;"[1]

Concretizando a autodeterminação informativa, temos então este princípio da transparência, observa-se aqui que é dever de todos que tratam dados pessoais de alguma forma, ser transparente, e isto inclui facilitar o acesso do titular, à consciência de todos os tratamentos que são realizados em seus dados.

Ressalta-se que a efetivação de alguns dos direitos dos titulares, também se dá por meio do Canal de Comunicação, embasado no princípio do livre acesso, que se faz obrigatório e de extrema pertinência.

Mas, é na Política de Privacidade que encontramos a alma da transparência, que o titular conseguirá se conscientizar sobre todos os tratamentos que são realizados em seus dados. Sendo assim, além de obrigatório, este é o documento de maior respaldo de um titular de dados pessoais, e também o momento crucial que uma pessoa física ou jurídica que realize qualquer tipo de tratamento em um dado pessoal, irá mostrar o quão confiável e seguro é, entregar-lhe seus dados pessoais.

Este é o documento de consulta do titular de dados, é aqui que ele irá decidir sobre o quão seguro estarão seus dados pessoais, e quão integra a figura de quem está tratando seus dados é.

A Política de Privacidade deve ser abrangente, a ideia trazida pela lei, é realmente informar o titular de dados, sendo assim, quanto mais minuciosa for esta política, mais transparente e informativa ela será, cumprindo assim sua finalidade.

Cabe destacar que este documento é um documento que por sua natureza, deve ser extremamente personalizado, e o que quero dizer com isto é que, se faz impossível que simplesmente se copie uma Política de Privacidade de uma empresa/instituição e se utilize em outra, exatamente por não trazer desta forma, todos os aspectos reais de tratamentos realizados nos dados pessoais, mas este tema será retomado mais à frente.

Agora que já foi compreendida a finalidade específica da Política de Privacidade, se faz necessária a compreensão de aspectos mínimos que devem constar nesta, e cabe ressaltar que, jamais serão os únicos, como já destaquei, quanto maior o número de informações e detalhamentos trazidos neste documento, mais perto de cumprir com excelência sua finalidade específica, vai estar.

ASPECTOS MÍNIMOS

O primeiro ponto que eu destaco como imprescindível de uma boa Política de Privacidade é a conceituação mínima de pontos principais, novamente repito que o destinatário final desta Política, é o Titular de dados pessoais, sendo assim, há a necessidade de pensar de forma ampla, uma pessoa que entenda de termos jurídicos ou termos específicos, pode ser um titular de dados que irá ler esta Política para se informar, porém, uma pessoa totalmente leiga utilizar-se-á desta, para a mesma finalidade.

Sendo assim, se este titular que não possui um conhecimento específico sobre a lei, ao ler esta Política de Privacidade, não conseguir entender de que forma estão tratando seus dados pessoais, esta, não estará cumprindo seu objetivo.

Logo, pontuar conceitos e figuras principais, garantem uma melhor compreensão do todo, trazendo ainda mais informação ao titular e ficando mais perto de cumprir sua função, a qual foi destinada pela legislação.

Após essa conceituação, outra indicação que justamente visa informar o titular dos dados pessoais, é pontuar todos os seus direitos, enquanto um titular de dados pessoais. A Lei trouxe em seu texto legal, uma série de artigos direcionados aos direitos dos titulares, direitos estes, que devem ser respeitados e cumpridos por todas as empresas ou pessoas naturais que realizam um tratamento em dados pessoais.

Logo, porque não os trazer no texto da Política de Privacidade, buscando justamente informar ainda mais o titular dos dados pessoais? Creio que apenas traria um benefício a mais, a inclusão destes na Política.

Outro ponto que se faz importante destacar, são os dados que são tratados pela empresa, sendo assim, recomenda-se que se exponha uma lista, pontuando os dados um a um, para que não haja nenhum tipo de omissão ou falta de transparência.

Isto se justifica, porque o titular tem o direito de saber quais os tipos de dados são coletados, sendo assim, há a necessidade de se expor expressamente cada um deles, como por exemplo, prenome, sobrenome, CPF, RG, email, ou qualquer um outro dado referente à pessoa natural.

Lembrando que um dado considerado como "pessoal" pela Lei Geral de Proteção de Dados é: Art. 5º, I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável; e também o dado pessoal sensível: II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

Sendo assim, todos os dados que identifiquem a pessoa direta ou indiretamente, considerando também a importância dos dados sensíveis, devem constar nesta lista.

Próximo ponto que é obrigatório constar, e nada mais justo que se faça, são as finalidades de cada tratamento realizado, se há uma coleta de dados pessoais para a realização de um tratamento destes dados, deve haver uma finalidade específica então.

Sendo assim, para a concretização de diversos princípios trazidos pela lei, há a necessidade que se constem todas as finalidades, de todos os tratamentos realizados.

É neste momento, de maior atenção do titular, que será verificada e trazida a transparência do que irão de fato, fazer com os dados pessoais, é aqui o momento do ápice da conscientização do titular de dados e de seu consequente caminhar, em direção a sua plena autodeterminação informativa.

Um titular que vai até a Política de Privacidade para se informar do porque ou como estão tratando seus dados, e não encontra as finalidades específicas dos tratamentos, não possui uma informação válida, transparente e informativa do que esta ocorrendo, sendo assim, o cumprimento da finalidade deste documento, não se efetiva. Logo, a especificação exata de todas as finalidades dos tratamentos, é essencial.

Assim como as finalidades de cada tratamento realizado, por óbvio se faz a elucidação clara do titular de quais tratamentos são realizados em seus dados, sendo essa a seguinte informação, do que é essencial constar na Política de Privacidade.

Então, além da especificação da finalidade de cada tratamento, deve-se deixar delimitado, quais os tratamentos que são realizados, lembrando aqui, que a ideia de tratamento trazida pela lei, é extremamente ampla, sendo assim, o tratamento deve ser visto de forma abrangente.

Para a lei Geral de Proteção de Dados: "Art. 5º, X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;"

Este ponto, se faz de fundamental colocação, mesmo porque, não há como explicar a finalidade de cada tratamento, sem especificar os tratamentos que ali serão realizados com os dados pessoais.

Com os tratamentos e suas finalidades específicas delimitados, trazendo a clareza ao titular do que está sendo realizado e o porque, chegamos então ao momento de especificar as "bases legais".

A lei Geral de Proteção de dados, traz em seu texto legal 10 bases legais, e são essas: "Art. 7º, O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

I - Mediante o fornecimento de consentimento pelo titular;

II - Para o cumprimento de obrigação legal ou regulatória pelo controlador;

III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;

IV - Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

V - Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

VI - Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);

VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;

VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;   

IX - Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;

X - Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente."

Neste sentido, só há a possibilidade de ser realizado um tratamento em dados pessoais, se ele estiver embasado em ao menos uma dessas bases legais. E o que isso significa de fato? Você só poderá tratar um dado, se uma dessas bases legais apresentadas, se enquadrar ao tratamento realizado.

Nada impede que um tratamento específico tenha mais de uma base legal, momento em que o controlador irá delimitar qual será de melhor contundência ao seu tratamento, mas em hipótese alguma, poderá ocorrer um tratamento de em dados pessoais que não esteja enquadrado em nenhuma dessas bases.

O próximo ponto de fundamental importância, é deixar claro com quem há o compartilhamento dos dados dos titulares. Por diversas vezes, nossos dados são enviados para empresas terceiras, sejam de marketing, contabilidade, ou qualquer outro segmento, e essa é uma informação imprescindível de ser deixada clara na Política de Privacidade, visando o princípio da transparência e mais uma vez, a autodeterminação informativa.

Logo, qualquer empresa terceira que a empresa se utilize para a prestação de qualquer serviço, como os citados acima ou qualquer outro, e um grande exemplo é o uso de backups em nuvens e afins, onde por muitas vezes pode ocorrer uma transferência internacional de dados, e nem ao menos o próprio controlador se da conta. Seja por qualquer finalidade que este compartilhamento ocorrer, ressaltando aqui as obrigações legais de comunicações com órgãos governamentais, estes devem constar obrigatoriamente na Política.

Outro ponto que cabe um destaque dentro das Políticas de Privacidade, são as medidas de segurança. É aqui que cada empresa irá dizer quais medidas internas, técnicas e administrativas são tomadas para que o dado do titular esteja em segurança.

Por fim, cabe destacar o que falamos no início, que uma das formas de concretização de diversos direitos dos titulares, se dá pelo "canal de comunicação", canal este de suma importância para tratar dados pessoais, de acordo com a lei.

E seguindo este entendimento, cabe destacar na Política de Privacidade exatamente, qual é este canal de comunicação e mais, de extrema relevância, quem é o Encarregado de dados pessoais, que a empresa elegeu para tratar dos questionamentos referentes aos dados pessoais que estão em seu poder.

Isto tudo posto, considero estes os requisitos mínimos para o desenvolvimento de uma Política de Privacidade, ressaltando que quanto mais informativo e claro, melhor é para o cumprimento de sua finalidade.