A atenção à segurança e à manutenção de dados com a nova LGPD

1.      Atenção a quais informações você pede

Aquele formulário, físico ou eletrônico, precisa ser revisitado.

Isso por que não há um padrão, variando a necessidade da informação em cada ramo de atividade: se você vende sapatos, por que razão quer saber o endereço do cliente, seu aniversário, estado civil, e-mail, etc?

Se há um motivo, é preciso que o cliente seja informado do motivo e da finalidade dos dados (p. ex.: usaremos seu e-mail para o envio de promoções).

Apenas para ter o e-mail, sem qualquer finalidade ou motivação específica, pode ser considerada uma exigência abusiva.

Se o e-mail é necessário para a emissão de NF-e, tudo bem – porém isso não permite que você mande uma newsletter sem a autorização específica para este fim.

Outro exemplo: qual a relevância de saber o grau de instrução na loja de sapatos? Nenhuma.

Agora, para uma empresa de recrutamento e seleção, a mesma informação é valiosa para direcionar as vagas certas ao candidato.

É a finalidade que define se o dado pode ou não ser coletado – como traz o Art. 6º Inc. I da LGPD:

I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.

2.      A manutenção dos dados não é eterna.

A empresa não pode manter os dados para além do período estabelecido pela finalidade para a qual foi coletado.

Além disso, o cliente tem o direito de saber quais dados você possui, bem como pode solicitar sua exclusão.

A lógica, aqui, é que o titular dos dados é a pessoa natural, e não a empresa que os coleta.

É exatamente esse conceito que o Art. 5º inc. V da LGPD:

V - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

3.      Demandas jurídicas para retirada de dados

Já se denota diversas demandas jurídicas no intuito de usuários que desejam retirar seus dados de sites ou, ao menos, entender o que determinadas empresas possuem de dados pessoais em sua posse.

Tal tipo de demanda deve recrudescer com o passar da compreensão sobre os termos da LGPD, especialmente se indenizações passarem a ser concedidas pelos magistrados quando a empresa falhar em prestar tais informações.

Esses tipos de ações judiciais tem aumentado nos últimos dias em plataformas de compartilhamento de petições, o que indica que há uma demanda reprimida que poderá vir à tona nos próximos meses.

4.      Cuidado com a segurança dos dados.

Outra preocupação que afeta a todas as empresas é o eventual vazamento dos dados.

E é neste caso onde as multas são mais pesadas, pois a empresa é diretamente responsável por garantir a higidez e a segurança dos dados que coleta.

Tal dever obriga a empresa tanto a adotar procedimentos internos contra o vazamento, por seus colaboradores, bem com o contra a invasão de seus servidores.

Aqui, vamos um passo adiante: a segurança dos dados proíbe também sua comercialização e seu uso para fins não alertados ao cliente.

A empresa não pode vender seu banco de dados – afinal, a LGPD trabalha com o conceito de que o proprietário dos dados é seu titular, e não a empresa que os coleta/detém.

Nem tampouco pode desviar a finalidade para a qual os coletou – um exemplo bastante simples: se você coletou o e-mail para uma campanha de Páscoa, deve eliminar os dados após a Páscoa, não podendo utilizá-lo para a campanha do Natal.

É a finalidade que norteia seu uso, e o cliente deve saber e anuir expressamente com tudo isso, tal como indica o Art. 5º inc. XII da LGPD:

XII - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

Existem ainda outros conceitos interessantes que afetam o micro e pequeno empreendedor, como private by design e private by default.

Em resumo, tais conceitos significam que todo e qualquer produto/serviço deve ser concebido, em sua origem e como padrão, de forma a manter a privacidade dos dados.

Antes, era o contrário: ao aceitar um produto/serviço, o cliente automaticamente já estava concordando com a coleta e uso de seus dados.

Agora, a configuração padrão é o oposto: tudo restrito, tudo preservado, até que o cliente conscientemente permita a coleta.

Novos tempos.

E sua empresa, já está pronta?

Sobre os autores: Williann Georgi OAB/RS 81975