tratamento de dados pessoais

O que você precisa saber sobre tratamento de dados pessoais

Com a chegada da LGPD, a preocupação das empresas com a proteção dos dados pessoais de clientes, funcionários e parceiros, entre outros, precisou ganhar camadas de ações efetivas para uma possível (e provável) comprovação do correto tratamento de dados pela empresa.

Ou seja, as ações corriqueiras e vistas como inofensivas de sair do computador ou notebook e deixar a máquina desbloqueada, anotar senhas importantes em post-its e outras que colocam a segurança da informação em xeque, precisaram ser substituídas por medidas técnicas e administrativas que regulamentem o tratamento de dados pessoais e coloquem a proteção deles em primeiro plano.

Focando nessas medidas e em como devem ser tratados os dados dentro das normas previstas pela LGPD, vamos começar discutindo:

O que são dados pessoais na LGPD?

A LGPD traz duas categorias de dados, sendo elas:

Dados pessoais são informações de pessoas naturais vivas (pessoas físicas) que, direta ou indiretamente, identificam um indivíduo, como:

  • Nome;
  • Sobrenome;
  • RG;
  • CPF;
  • Endereço;
  • E-mail.

Essa informação de forma direta permite a imediata individualização da pessoa, e a indireta necessita de uma reunião de informações para chegar à identificação do titular do dado.

Já os dados pessoais sensíveis são aqueles dados que podem causar discriminação a uma pessoa, por isso exigem maior proteção.

De acordo com a Lei, dados sensíveis são aqueles que envolvem:

  • Origem racial ou étnica;
  • Convicção religiosa;
  • Opinião política;
  • Filiação a sindicato ou organização de caráter religioso;
  • Filosófico ou político;
  • Dado referente à saúde ou à vida sexual;
  • Dado genético ou biométrico, quando vinculado a uma pessoa natural.

Os dados pessoais sensíveis necessitam de um cuidado ainda maior no seu tratamento.

Existem ainda os dados anônimos, que se referem a pessoas que não podem ser identificadas, como dados estatísticos, que ainda que sejam referentes a uma pessoa (ou grupos de pessoas), não permite a identificação de seu titular.

Esse dado geralmente passou por um processo de anonimização, uma técnica de processamento de dados que remove ou modifica informações que possam identificar uma pessoa.

O que é tratamento de dados pessoais?

De acordo com a LGPD, “considera-se ‘tratamento de dados’ qualquer atividade que utilize um dado pessoal na execução da sua operação, como, por exemplo: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.”

Traduzindo o “juridiquês”, toda e qualquer operação realizada com os dados de pessoas naturais, seja ela em meio físico ou digital,é um tratamento de dado. Quantos às atividades podem ser de:

  • Coleta: processo de captação de dados pessoais;
  • Retenção: armazenamento do dado de acordo com a política da empresa;
  • Processamento: são as várias etapas que ocorrem com um dado, que vai desde a coleta até a disponibilização dessas informações;
  • Compartilhamento: disponibilização dos dados para outra empresa;
  • Eliminação: descarte do dado.

Como deve ser feito o tratamento de dados pessoais?

Os dados pessoais podem ser tratados desde que sigam regras estabelecidas pela Lei Geral de Proteção de Dados, o que inclui:

  • Só realize o tratamento do dado de uma pessoa natural caso ela tenha te dado permissão;
  • Seja sempre transparente em relação ao uso dos dados;
  • Crie um Política de Segurança da Informação e adote as técnicas necessárias para a proteção dos dados;
  • Respeite os princípios basilares para tratamento de dados pessoais, previstos na LGPD.

Princípios do tratamento de dados pessoais

São 10 os princípios da LGPD que norteiam o tratamento de dados e que servem como base para qualquer empresa que deseja se adequar à Lei.

  1. Finalidade
    O tratamento de dados pessoais deve ser feito com fins específicos, legítimos e explícitos, sendo assim não colete dados sem explicar ao titular para que ele será utilizado.
  2. Adequação
    Verifique se os dados que você está pedindo são realmente necessários à finalidade que você especificou.
  3. Necessidade
    O princípio da necessidade trata a limitação dos dados. Ou seja, solicite apenas os dados necessários e essenciais, eliminando os excessos.
  4. Livre Acesso
    A pessoa física titular dos dados tem o direito de consultar livremente e de forma gratuita quais dados dela a empresa trata.
  5. Qualidade de dados
    Estabelece a necessidade de que as informações disponíveis tenham exatidão, clareza e relevância, de acordo com a finalidade de tratamento.
  6. Transparência
    Define que toda empresa, órgão ou entidade deve ser clara com os titulares dos dados, oferecendo informações precisas e facilmente acessíveis sobre o uso dos dados.
  7. Segurança
    É responsabilidade das empresas adotar procedimentos, tecnologias e soluções que garantam maior proteção dos dados pessoais em casos de acessos não autorizados por terceiros, como em caso de ataques hackers.
  8. Prevenção
    Crie um plano para lidar com qualquer problema eventual que aborde detalhadamente as medidas que devem ser adotadas para prevenir danos aos dados pessoais.
  9. Não discriminação
    Os dados pessoais nunca devem ser usados para discriminar ou promover abusos contra os seus proprietários. Por isso, a LGPD criou parâmetros específicos para os dados pessoais sensíveis.
  10. Responsabilização e Prestação de contas
    As empresas devem ter provas e evidências de que medidas e procedimentos foram tomados a fim de garantir a proteção de dados dos usuários.

Benefícios do correto tratamento dos dados

Entenda que é preciso olhar além do tratamento dos dados, mas mirar a adoção de medidas que levem sua empresa ao compliance com a Lei Geral de Proteção de Dados e com a obtenção de todos os benefícios legais e corporativos que vêm junto com ela.

Conheça alguns dos benefícios de se adequar à LGPD:

  • Melhoria da reputação e imagem da empresa no mercado;
  • Fidelização dos clientes e parceiros comerciais por oferecer uma política clara do tratamento dos dados;
  • Fortalecimento das relações comerciais, sobretudo com empresas maiores, que buscam parceiros em conformidade com a lei;
  • Redução de custos operacionais;
  • Melhoria das práticas de gestão.

Como saber se estou adotando as medidas necessárias?

Infelizmente não existe um manual com medidas e instruções para o correto tratamento de dados pessoais.

De acordo com a LGPD, cabe à Autoridade Nacional de Dados (ANPD) interpretar, de acordo com cada cenário, as medidas técnicas, processuais e jurídicas tomadas para garantir que aquele dado esteja realmente protegido.

Nesse caso, levando em consideração a multidisciplinaridade da Lei, que exige conhecimento jurídico, processual e de Tecnologia da Informação, o melhor caminho é contar com uma consultoria para apoiar a sua empresa no processo de adequação à LGPD e apontar as políticas e tecnologias necessárias ao correto tratamento do dado pela sua empresa.