A Lei Geral de Proteção de Dados Pessoais (LGPD nº13.709/2018), que entrou em vigor em 18 de setembro de 2020, trouxe grandes impactos ao mercado brasileiro, exigindo a revisão das práticas que envolvem coleta, tratamento e armazenamento dos dados pessoais dos titulares dos dados, com o objetivo de proporcionar maior segurança e transparência nas relações entre empresas, clientes, colaboradores e usuários.
Neste sentido, será necessário que os processos de coleta, tratamento e armazenamento de dados se tornem mais transparentes e objetivos para os usuários, permitindo que tenham mais controle sobre o uso e a privacidade dos seus dados.
Atualmente, observa-se que a coleta de informações a respeito de hábitos de consumo, acesso à informação e disponibilização de dados é cada vez maior. Com isso, os dados pessoais tornaram-se matéria-prima não só para a gestão empresarial, mas também para o gerenciamento de recursos humanos e principalmente destinado a atividades comerciais, seja no que se refere ao atendimento de clientes quanto a prospecção de novas oportunidade de negócios, hipótese em que todas as decisões estratégicas dependem cada vez mais das informações dos usuários para serem desenvolvidas.
Neste contexto, o conceito de Inteligência Artificial (AI), se for possível explicar de uma forma bem simples, é uma técnica baseada em uma metodologia chamada machine learning, ou seja, o processamento digital de vários dados e procedimentos repetitivos que se consolida em um padrão, sequencialmente interpretado por algorítimos tecnológicos, possibilitando que seja possível tomar decisões automatizadas com base em atos e fatos baseados no aprendizado derivado da coleta, tratamento e armazenamento de dados históricos repetitivos. Ou seja, o dado pessoal nada mais é que um insumo para a Inteligência Artificial. Sem o dado pessoal, a Inteligência Artificial morre de inanição.
Apesar das grandes mudanças impostas pela lei, a dinâmica da nova regulamentação deve ser vista como uma oportunidade positiva, pois todas as instituições poderão adotar essas regras como propulsoras de inovação, evoluindo suas estratégias de governança corporativa e gestão empresarial.
Assim, é de fundamental importância que as entidades estejam em conformidade com a nova Lei Geral de Proteção de Dados – LGPD, visando dar continuidade aos seus trabalhos de coleta, tratamento e armazenamento de dados, evitando os riscos das implicações administrativas e/ou jurídicas previstas no regulamento jurídico, com a devida observação aos princípios da boa-fé, finalidade, adequação, necessidade, livre acesso e transparência.
Convém ressaltar que os dados pessoais coletados não são apenas aqueles definidos no artigo 5º da LGPD (“informação relacionada natural identificada ou identificável”), mas também aqueles estabelecidos no artigo 12, § 2º (“poderão ser igualmente considerados como dados pessoais, para os fins desta Lei, aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada”). Portanto, além da coleta de dados cadastrais, é necessário zelar também pelo tratamento adequado dos interesses, costumes e hábitos dos titulares dos dados, para fins de cumprimento da legislação.
A coleta e o processamento de dados dos usuários devem seguir 10 (dez) bases legais que autorizam o tratamento de dados, impostas no artigo 7º da LGPD, destacando-se cinco delas, para fins institucionais da mediação: o consentimento, o cumprimento contratual, a observância regulatória, o legítimo interesse e o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem).
A LGPD impõe que, antes de qualquer coleta de dados dos usuários, se faz necessário obter o consentimento do titular do dado de forma livre, explícita e com finalidade específica. Ou seja, antes de coletar qualquer informação de uma pessoa física, recomenda-se que seja informado o motivo daquela coleta e destacar que a informação coletada é necessária para determinada finalidade.
Outra estratégia muito conhecida são os anúncios baseados em cookies, que são pequenos sistemas automaticamente executáveis nos principais sites de comércio eletrônico que, se armazenam no dispositivo do usuário (celular, computador, tablet etc.) para ajudar a mapear a navegação do usuário na internet. A LGPD prevê que o usuário precisa optar por aceitar ou recusar os vários tipos de cookies, para fins de transparência. Esse consentimento deve ser de fácil procedimento para o usuário, além de poder escolher quais dados serão fornecidos ou não, podendo, inclusive, retirar seu consentimento a qualquer momento. Não é permitido compelir ao usuário a consentir com determinados cookies para ter acesso a determinada aplicação na internet.
É fundamental que as entidades sejam transparentes com seus usuários, fornecendo o máximo de informação possível sobre os dados que estão sendo coletados, salvos e, posteriormente, tratados. Deverá haver uma ação do usuário indicando sua aceitação, materializando a sua manifestação de vontade. Ou seja, a LGPD exige que haja uma manifestação válida, expressa e comprovada. O silêncio ou a omissão nunca poderão ser considerados consentimento, nos termos da legislação. Com isso, o titular passa a ganhar mais controle sobre o uso de seus dados e tem o direito de solicitar o acesso ou a remoção de todas as informações mantidas naquela instituição.
Outra hipótese relevante, que autoriza a coleta, tratamento e o armazenamento dos dados pelas entidades é o legítimo interesse. Poderá haver interesse legítimo, por exemplo, quando existir uma relação relevante e apropriada entre o titular dos dados e o responsável pelo tratamento, em situações como aquela em que o titular dos dados já é cliente ou está a serviço do responsável pelo tratamento. Entretanto, a interpretação do legítimo interesse é subjetiva e deverá ser realizada de forma isenta e independente, levando-se em consideração todas as variáveis de afinidade, relacionamento e disposição entre o titular do dado e a entidade, hipótese em que o tratamento do dado deverá agregar valor para ambas as partes, favorecendo não só a entidade como também o titular do dado, resguardando-se o direito à intimidade e privacidade do titular em todos os momentos.
Em relação aos dados armazenados, o titular terá o direito de solicitar o acesso ou a remoção de todas as informações mantidas no banco de dados de qualquer instituição resguardando-se, obviamente, as exigências regulatórias. O acesso aos dados pessoais do titular deve ser fornecido de forma clara e completa, e em caso de solicitação de remoção, a demanda deverá ser atendida sem objeções.
Contudo, tal fato poderá ser um transtorno para as entidades que mantêm seus dados em lugares diferentes e para várias finalidades, dificultando o acesso aos dados.
Com a entrada em vigor da LGPD, será necessário ter total controle sobre os dados armazenados na base de dados para comprovar o cumprimento ao dispositivo legal, devendo registrar o tratamento de dados com detalhes quanto ao processo de coleta, uso, armazenamento e compartilhamento. Tais informações farão parte do Relatório de Impacto de Proteção de Dados (RIDP), que é requisito obrigatório de acordo com a LGPD e poderá ser solicitado pela Agência Nacional de Proteção de Dados (ANPD), para verificar se há eventuais fragilidades no tratamento dos dados.
Nesse contexto, os profissionais que atuam na área de segurança da informação precisam estar atentos a quais dados estão sendo coletados, se possuem o devido e competente consentimento dos usuários, e se suas políticas de privacidade e termos de uso estão de acordo com as exigências legais. Aqueles que estiverem em conformidade no que se refere à privacidade de dados irão se destacar no mercado, conquistando mais confiança, credibilidade e, consequentemente, mais usuários fiéis e dispostos a consentir o uso de seus dados. Ademais, os contratantes irão se relacionar apenas com aqueles que adotarem procedimentos adequados no que se refere à privacidade de dados. Ou seja: quem não estiver adequado, estará fora do mercado.
Autor:
Paulo Salvador Ribeiro Perrotti
CEO da LGPDSolution, Professor de Cybersecurity e Auditor Líder ISO 27001
Deixe seu comentário