Tratamento de dados: o que é e como ele é regulamentado pela LGPD
É bem provável que você já saiba que a LGPD (Lei Geral de Proteção de Dados) regulamenta o tratamento de dados pessoais no Brasil. Agora, na prática, o que exatamente é considerado tratamento de dados e de que forma ele é regulamentado?
Neste post, nós vamos entrar em mais detalhes sobre tudo que configura atividade de tratamento, trazendo alguns exemplos práticos. Confira!
Confira neste artigo!
Adeque o tratamento de dados na sua empresa
A Get Privacy conta com uma equipe especializada em LGPD para garantir que a sua organização esteja adequada à lei. Evite multas e adeque-se já!.
Tratamento de dados: o que é
Quando pensamos em tratamento de dados, normalmente temos como referência as atividades mais evidentes, como a coleta e o uso do dado. Um exemplo clássico é quando uma empresa solicita um e-mail de contato para enviar notícias e promoções.
No entanto, as práticas que configuram tratamento de dados (e portanto estão sob o escopo da LGPD) vão muito além da coleta e uso.
O conceito de tratamento de dados inclui qualquer operação que envolva dados pessoais, em todo o seu ciclo de vida, da coleta ao descarte.
Portanto, simplesmente acessar, excluir ou manter um dado pessoal armazenado, mesmo que não tenha mais uso, já configura atividade de tratamento de dados.
Aliás, apenas para relembrar, vamos destacar o que, exatamente, é um dado pessoal.
Dado pessoal
Dado pessoal é toda informação que identifique ou permita identificar uma pessoa natural (física). Fragmentos de informação que, quando postos juntos, em determinado contexto, permitam a identificação de uma pessoa também são dados pessoais.
Por exemplo, nome, e-mail, endereço, RG, CPF, idade, dados de localização, endereço de IP etc.
Dado pessoal sensível
Dentro da categoria de dado pessoal, a lei definiu que há um conjunto de dados que podem ser considerados “sensíveis”, porque trazem risco maior de tratamento discriminatório e prejudicial ao titular.
Por conta da sua natureza, os dados sensíveis tem uma base jurídica diferenciada e mais restritiva (ou seja, é preciso justificar o tratamento de dados sensíveis com ainda mais cautela).
Pela definição da lei, dados sensíveis são relativos a “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.”
Atividades práticas que configuram tratamento de dados
Como mencionamos, o tratamento de dados envolve qualquer operação relacionada a dados pessoais.
Isso inclui: coleta; produção; recepção; classificação; utilização; acesso; reprodução; transmissão; distribuição; processamento; arquivamento; armazenamento; eliminação; avaliação ou controle; modificação; comunicação; transferência; difusão; extração.
Para facilitar o entendimento, confira alguns exemplos práticos de atividades que se enquadram como tratamento de dados e exigem adequação à LGPD.
Manter lista de e-mails
Uma lista de e-mails com o contato de, por exemplo, clientes, fornecedores e leads, configura atividade de tratamento de dados.
Mesmo que a lista não seja utilizada para o envio regular de comunicação ou materiais de marketing, o simples fato de armazená-la já é considerado tratamento de dados.
Armazenar dados de funcionários
Se a sua empresa possui funcionários, ela com certeza trata dados pessoais. Isso porque as informações dos colaboradores, como nome, telefone e dados da carteira de trabalho, também estão sob o escopo da LGPD.
A própria lei entende que uma das justificativas para o tratamento de dados é quando ele é necessário para cumprir uma obrigação legal. Esse costuma ser o caso dos dados de funcionários, que muitas vezes devem ser armazenados pela empresa por conta de obrigações trabalhistas.
O importante é limitar a coleta dos dados de funcionários ao mínimo possível e armazená-los de forma segura, apenas pelo tempo necessário.
Guardar informações pessoais em arquivos físicos
A LGPD vale tanto para dados armazenados em meios digitais quanto em meios físicos. Portanto, manter arquivos físicos com informações pessoais também é considerado tratamento de dados pela LGPD.
Assim como ocorre com os arquivos digitais, é preciso adotar medidas de segurança para evitar perda, acesso indevido e destruição de dados físicos. Da mesma maneira, a empresa deve estabelecer um protocolo para a eliminação segura e periódica desses dados, à medida em que não forem mais necessários.
Coletar dados biométricos
Digamos que para ter acesso à sede da sua empresa o visitante tenha que fornecer algum dado biométrico para fins de identificação e controle – como a digital ou uma imagem do seu rosto.
Neste caso, há tratamento de dado sensível, já que a biometria é enquadrada dentro dessa categoria “especial” de dado pessoal.
A coleta de um dado sensível aumenta o grau de risco do tratamento de dados para a empresa, e deve ser analisada e justificada com cautela.
Para saber mais sobre dados sensíveis, confira o post completo que publicamos sobre o assunto.
Solicitar qualquer tipo de dado pessoal para compra, negociação ou cadastro
A solicitação de qualquer tipo de dado pessoal para compra, negociação ou cadastro é configurada como tratamento de dados. Isso inclui qualquer dado mesmo – nome, telefone, e-mail, CPF, endereço, data de nascimento etc.
Mesmo que o dado pessoal seja estritamente necessário para a transação (como a solicitação de nome e endereço para a entrega de um produto), é preciso que esse tratamento seja feito em conformidade com a LGPD.
Usar cookies em sites
Se a sua empresa tem um site, ele provavelmente usa cookies. Basicamente, os cookies são arquivos de texto que ficam salvos no navegador e podem coletar e armazenar diferentes tipos de informações do usuário. Por exemplo, as páginas que foram visitadas no site, o tempo gasto e o IP do usuário.
De maneira geral, o uso de cookies em sites é considerado tratamento de dados porque envolve a coleta de informações que podem levar à identificação de uma pessoa, como o endereço de IP.
Por isso, é importante garantir que seu site esteja adequado à LGPD. Uma das maneiras de fazer isso é informar o usuário sobre o uso de cookies e permitir que ele possa escolher quais cookies ele autoriza que sejam ativados ou não.
A Get Privacy tem um pacote especial para pequenas empresas que desejam adequar seus sites à LGPD. Fale conosco para saber mais.
Baixe a cartilha gratuita sobre LGPD
Nossos especialistas prepararam um material completo e gratuito com os fundamentos da lei. Clique e confira!
Como a LGPD regula o tratamento de dados
O principal objetivo da LGPD é garantir que o tratamento de dados seja feito de forma responsável. Ou seja, nenhuma das práticas mencionadas acima é necessariamente proibida -elas apenas devem ser feitas de acordo com a lei.
Na prática, a lei permite ao titular do dado (ou seja, a pessoa a quem o dado pessoal diz respeito) ter visibilidade e controle sobre o que é feito com as suas informações.
Já para as empresas, coloca limites em práticas que antes eram corriqueiras, como coletar CPF, nome e e-mail de consumidores sem informar para que os dados eram necessários nem como seriam utilizados.
Para estabelecer esses limites e garantir um tratamento de dados responsável, a LGPD criou um tripé composto por:
- Os princípios da lei, que devem nortear todo tratamento de dados pessoais;
- As bases legais, que são as hipóteses que justificam o tratamento de dados (o tratamento só é considerado legítimo se for justificado por uma dessas bases legais, como o consentimento, por exemplo);
- Os direitos dos titulares, que passam a ter mais poder sobre suas informações.
Qualquer organização pública ou privada que trate dados pessoais deve sempre atuar em conformidade com esse tripé. Por isso, sugerimos que você clique nos links acima e leia mais sobre cada um desses itens.
Além disso, a organização deve estar atenta aos demais pontos da lei, como garantir a segurança dos dados durante todo o seu ciclo de vida.
A segurança, aliás, é um requisito de conformidade com a LGPD, mas é frequentemente deixada de lado pelas empresas. No entanto, é preciso lembrar que um incidente de segurança (como um vazamento de dados ou um acesso indevido) pode levar a ações judiciais, multas e outras sanções administrativas.
Como se adequar à LGPD
A adequação à LGPD passa por compreender como é feito o tratamento de dados e buscar adequá-lo considerando as exigências legais e o contexto da organização.
Isso normalmente é feito por meio de um programa de conformidade, que passa por várias etapas para garantir a adequação à lei. O programa costuma incluir um mapeamento de dados, análise de riscos, análise de segurança, criação de políticas e revisão de contratos, dentre outros poontos.
Portanto, para atender todas as exigências da LGPD, é preciso envolver conhecimentos jurídicos, de segurança da informação e do negócio em si.
Na Get Privacy, nós contamos com uma equipe multidisciplinar pronta para atender todas as necessidades da sua empresa em relação à LGPD e à proteção de dados.
Fale conosco e veja como podemos ajudar
CONFIRA
OUTROS POSTS
