Publicado em: 23/08/2024
A Lei Geral de Proteção de Dados (LGPD), de nº 13.709/2018, que entrou em vigor em setembro de 2020, estabelece regras sobre a forma de coleta e manutenção de informações tanto de cidadãos brasileiros quanto de estrangeiros que estejam no território nacional. Foi inspirada na legislação de proteção e privacidade de dados pessoais da União Europeia, chamada GDPR.
Com o crescente aumento do uso dos dados pessoais de forma indevida e indiscriminada por diversas organizações, viu-se a necessidade de se impor regras e limites ao tipo de tratamento que as empresas poderiam realizar com os dados pessoais e, dessa forma, conter crimes cibernéticos. O objetivo da LGPD é proteger a privacidade de pessoas físicas, estipulando como as empresas podem tratar os dados pessoais.
A LGPD possui alguns princípios:
● Finalidade – todo dado pessoal coletado deve ter uma finalidade clara para seu tratamento.
● Adequação – O dado solicitado deve ser adequado/condizente ao tipo de negócio da organização.
● Necessidade – condiz em coletar apenas os dados que serão utilizados conforme a finalidade, evitando a coleta excessiva de dados pessoais.
● Livre acesso – Os donos dos dados pessoais, intitulados de titulares, têm a garantia de consultar como e por quanto tempo seus dados são tratados.
Para que uma empresa possa realizar o tratamento de dados pessoais de uma pessoa, ela precisa ter uma base legal que ampare o tratamento, como o consentimento, execução de contrato, cumprimento de obrigação legal, entre outras.
Engana-se quem pensa que, para tratar os dados pessoais, sempre é necessário o consentimento. Para emissão de nota fiscal de um bem ou serviço adquirido, a empresa precisará coletar alguns dados pessoais para a execução do contrato e/ou nota fiscal. Enquanto isso, profissionais de uma empresa precisam, obrigatoriamente pela Consolidação das Leis do Trabalho (CLT), realizar exames admissionais, demissionais ou periódicos, bem como informar alguns dados como a carteira de trabalho.
De acordo com o Ministério do Desenvolvimento e Assistência Social, Família e Combate à Fome, há quatro tipos de dados abordados pela LGPD:
O dado pessoal possibilita a identificação, direta ou indireta, do indivíduo. Alguns exemplos são: nome, RG, CPF, fotografias, endereço residencial e de e-mail, número de cartão bancário, número de telefone, etc.
Esses dados informam origem racial ou étnica, crenças religiosas, opiniões políticas, questões genéticas, biométricas e sobre saúde ou vida sexual de uma pessoa. No caso de dados correspondentes a menores de idade, é necessário obter o consentimento de pelo menos um dos pais/responsável legal e pedir apenas o conteúdo necessário, sem repasse a terceiros.
Esse tipo de dado leva em conta a finalidade, boa-fé e o interesse público para justificar sua disponibilização a terceiros. A lei define que uma empresa ou organização pode tratar dados públicos pelo titular, sem solicitar um novo consentimento, a não ser que a entidade queira compartilhar esses dados com terceiros.
Anonimizar dados é o ato de remover ou modificar informações que possam identificar a pessoa. Sendo assim, a LGPD não se aplica ao dado anonimizado.
O dado é anonimizado apenas se não permitir que seja reconstruído o caminho para revelar quem é o titular do dado. Caso contrário, se tratará de dado pseudonimizado, estando sujeito à LGPD.
A lei trouxe um novo olhar e muitos desafios para as empresas em relação a como tratar os dados pessoais. Muitos segmentos como empresas de comunicação e marketing, educação e consultorias socioambientais, como a Synergia, precisaram se adequar e fazer com que a LGPD passasse a ser parte de sua rotina diária e concretização dos projetos.
A Synergia é uma das empresas líderes em consultoria socioambiental no mercado brasileiro, e muito do nosso trabalho é relacionado ao tratamento de dados das empresas, clientes e comunidades que atendemos.
Para nós, a segurança de dados não é apenas mais uma demonstração da qualidade do nosso serviço: ela é essencial. Por isso, saímos na frente no que diz respeito à privacidade e proteção de dados pessoais e, desde 2021, estamos adequados à Lei Geral de Proteção de Dados (LGPD).
O cumprimento da LGPD por parte das empresas não é algo simples. Demanda atenção, acompanhamento do encarregado de proteção de dados (DPO), implementação de políticas de segurança da informação e controles técnicos e, principalmente, o apoio da alta direção e conscientização constante das equipes envolvidas no tratamento dos dados pessoais.
Muitas atividades, como plano de desenvolvimento territorial, envolvem ações que devem estar em conformidade com a LGPD, como o cadastro das famílias de uma determinada região, incluindo registro de imagem destas pessoas, regularização fundiária, reassentamento, mobilidade urbana. Dentre as famílias, muitas podem ser classificadas como dados sensíveis (povos indígenas, ribeirinhos, quilombolas, portadores de necessidades especiais).
Para projetos de mobilidade urbana, também se faz necessária pesquisa com a população local, para entendimento das dificuldades e expectativas com relação aos transportes urbanos. Após alguns anos da conclusão, pode ocorrer nova pesquisa para averiguar se houve melhoria na vida da população impactada.
Neste tipo de pesquisa alguns dados como nome, endereço e informações sobre rotina de transporte da pessoa podem ser solicitados, já que futuramente farão novo contato com esta pessoa para verificar as melhorias que o projeto trouxe.
Grandes projetos de obras civis podem gerar mudanças temporárias na vida da população, como construção de pontes e rodovias. Para execução, necessita-se intervir em espécies animais que vivem em rios e, consequentemente, influenciar na vida de ribeirinhos e pescadores. Para tal, antes do início da obra, as pessoas que poderão ser impactadas são mapeadas para se cadastrarem.
Após a ocorrência de desastres ambientais, como os que ocorreram após fortes chuvas em São Sebastião – SP ou no estado do Rio Grande do Sul, pode ser necessário fazer o cadastro das famílias que foram atingidas/desabrigadas para a entrega de novas moradias ou deslocamento para abrigos temporários.
São muitos os casos em que há a real necessidade de coleta dos dados pessoais. Mas, infelizmente, a população, que está tão acostumada a ter seus dados pessoais usados em golpes, muitas vezes teme a participação em cadastros ou pesquisas.
Abaixo, segue um quadro que facilitará o entendimento de qual momento existe a necessidade, por uma determinação legal ou o consentimento do titular, da coleta e tratamento dos dados pessoais.
| Situação | Coleta de dados pessoais | Exemplo de tipos de dados pessoais | Observações |
| Mobilidade urbana | Sim | Nome, idade, endereço, profissão. | A depender do contexto, a coleta pode ser via consentimento ou obrigação legal |
| Reassentamento | Sim | Nome, nascimento, endereço, profissão, composição familiar | Obrigação legal |
| Cadastro em desastres ambientais | Sim | Nome, nascimento, profissão, composição familiar, profissão, renda | Obrigação legal |
| Plano de desenvolvimento ambiental | Sim | Além dos dados convencionais, podem solicitar dados sensíveis como origem racial ou étnica. | Consentimento |
| Zona de Auto Salvamento | Sim | Nome, endereço, nascimento, composição familiar, limitação física | Obrigação legal |
| Compras em farmácias | Não há a obrigatoriedade | CPF | Podem solicitar CPF para obter desconto em programas específicos, cabendo ao titular aceitar participar ou não do programa. |
| Profissional em regime CLT | Sim | Nome, endereço, telefone, RG, CPF, nascimento, carteira de trabalho, filhos | Obrigação legal |
| Site (cookies, cadastros) | Pode ocorrer | Nome, e-mail, telefone, preferências de navegação, marca e modelo de dispositivo usado | Consentimento |
Quando a coleta de dados depende do consentimento do titular, as informações devem ser claras e objetivas, explicando ao titular qual a finalidade do dado coletado e por quanto tempo ele será utilizado.
O termo de consentimento, físico ou digital, precisa contemplar estes itens: quais os dados coletados, finalidade, tempo de uso e contato em caso de dúvida ou revogação do consentimento, pois o consentimento é passível de revogação pelo titular.
Se o dado coletado for a imagem e/ou voz, há a necessidade de termo de autorização de uso de imagem/voz, seguindo os mesmos itens mencionados anteriormente.
No Brasil, o órgão responsável pela fiscalização da LGPD é a Autoridade Nacional de Proteção de Dados (ANPD). A ANPD averigua irregularidades e pode multar as empresas que não estejam em conformidade com a legislação.
Recentemente empresas como SERASA e META (clique para acessar as notícias) foram alvo de sanções e medidas cautelares. Além disso, em julho de 2023, houve a primeira multa aplicada pela ANPD. Empresas devem cumprir a legislação e titulares precisam ficar atentos.
Estamos longe ainda da perfeição com relação ao tratamento de dados pessoais no Brasil, porém a LGPD trouxe um pouco mais de segurança e organização e as empresas com boa governança estão em conformidade com a lei.
Cadastre-se e receba nossas novidades.