A LGPD já está em vigor há alguns meses, mas ainda há quem acredite que a lei não vai pegar. Há ainda as pessoas que acreditam que a lei veio para impedir que as empresas tratem os dados pessoais de seus clientes. Pensando nisso, preparei uma lista com algumas verdades e mitos da LGPD para sanar algumas dúvidas que ainda pairam pela mente das pessoas. Será que você acerta todas?
1. A LGPD não vai pegar! É mais uma dessas leis que não irão se tornar realidade no Brasil.
Mito.
A Lei Geral de Proteção de Dados já está em vigor e já tem efetividade. Essa conversa de que a lei não vai pegar é um grande mito. Já temos discussões no judiciário falando sobre a aplicação da lei. Na esfera trabalhista, na esfera civil, ou seja, em processos que buscam reparações pelo descumprimento da lei e não somente no âmbito administrativo. Ou seja, quando uma lei já está em funcionamento, ela pode ser exigível inclusive nos tribunais.
Outro fator que prova a efetividade da Lei é a ANPD (Autoridade Nacional de Proteção de Dados), órgão responsável por zelar, implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados no Brasil. A ANPD já está funcionando e, ao logo de 2021, já elencou diversas atividades a respeito desse assunto, como, por exemplo, realizou audiência pública, em setembro de 2021, para debater a proposta de norma de aplicação da LGPD para microempresas e empresas de pequeno porte.
2. Consentimento é sempre necessário para o tratamento de dados pessoais
Mito.
O consentimento é uma das 10 hipóteses que temos para tratar os dados pessoais. A lei não elenca prioridade, então não podemos falar em regras ou exceções. Existe uma estrutura legislativa e o tratamento de dados pessoais só será admitido nas seguintes hipóteses:
- Consentimento do titular;
- Legítimo Interesse do Controlador ou de terceiros;
- Cumprimento de obrigação legal ou regulatória pelo Controlador;
- Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas;
- Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
- Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
- Para o exercício regular de direitos em processo judicial, administrativo ou arbitral ;
- Para a proteção da vida ou da incolumidade física do titular ou de terceiros;
- Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
- Proteção do crédito.
Temos aqui uma lógica no ecossistema de bases legais (hipóteses) para o tratamento, que valoriza um dos fundamentos da proteção de dados pessoais que é a autodeterminação afirmativa, cabendo ao titular determinar, sim, ele mesmo, o uso dos dados pessoais e de que forma serão utilizados e nesse contexto o consentimento surge como a primeira hipótese.
O Controlador deve olhar a finalidade do tratamento e decidir qual hipótese se encaixa melhor.
3. A LGPD permite a eliminação total dos dados pelo titular
Mito.
A LGPD permite que o titular dos dados pessoais solicite a eliminação total dos seus dados pessoais. Por não ser um direito absoluto, o titular não pode exigir a eliminação de seus dados pessoais. O artigo 18º da LGPD traz os direitos do titular de dados, entre eles, o direito de solicitar a eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD ou a eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16º da LGPD
A organização (pública ou privada) tem a obrigação de ouvir e responder a todas as solicitações, mas é possível que a organização tenha uma justificativa que inviabilize a eliminação dos dados pessoais.
Um exemplo é a emissão de uma nota fiscal numa relação de compra e venda. Existe uma legislação brasileira que exige a manutenção do documento fiscal por um período para a fiscalização, seja do estado, do município ou federal. Essa manutenção é para poder comprovar, em caso de alguma solicitação que a nota foi emitida e para quem foi emitida. A nota contém dados pessoais se emitida para consumidores, como nome, CPF e endereço. Contudo, por mais que o titular solicite a exclusão, esses dados pessoais precisam ser mantidos por, no mínimo, cinco anos.
4. Adequação à LGPD pode ser um diferencial competitivo
Verdade.
Temos visto bem aplicado o conceito de governança dentro das organizações, principalmente naquelas organizações consideradas agente de tratamento do tipo Operador, que são cada vez mais exigidas pelos seus clientes, para que estejam devidamente preparadas para proteger os dados pessoais, adotando medidas técnicas e administrativas aptas para tais proteções.
As organizações que não atenderem esses requisitos, poderão perder mercado, perder referência e, notadamente, perder para a concorrência que está preparada e que demonstra isso por meio documental e/ou por meio de auditoria, consequentemente consegue estar à frente por esse diferencial.
5. A LGPD só se aplica a dados tratados digitalmente
Mito.
O texto da LGPD diz que se aplica no tratamento de dados pessoais das pessoas naturais, “inclusive nos meios físicos”. Mas não só nestes!
Com essa questão, a lei quer explicar exatamente o contrário da informação acima: qualquer tipo de tratamento, realizado por qualquer meio (incluindo o meio físico), é considerado tratamento para fins de aplicação da LGPD.
6. Incidentes com dados pessoais podem gerar múltiplas sanções
Verdade.
A preocupação sobre a LGPD é muito grande. Além das sanções administrativas, como multa de 2% do faturamento, que pode chegar até R$ 50 milhões, eliminação dos dados e proibição de tratamento, as empresas podem sofrer outras sanções.
Se o tratamento de dados pessoais for realizado em uma relação de consumo, o Procon pode atuar e poderá aplicar uma multa administrativa. Se o tratamento de dados pessoais estiver relacionado a colaboradores de uma organização, poderá ocorrer uma obrigação de indenizar o colaborador por mal uso dos dados pessoais na esfera trabalhista.
Então é muito importante tomar cuidado, pois temos um mundo paralelo que, por vezes, acabamos esquecendo.
7. A LGPD impede empresas de usarem dados pessoais
Mito.
A LGPD não proíbe o uso de dados pessoais. Ela estabelece regras claras para seu tratamento, garantindo que os princípios da lei e os direitos dos titulares sejam respeitados.
8. Dados pessoais antigos não precisam ser adequados à LGPD
Mito.
Os dados pertencem ao titular, independentemente do tempo que estão armazenados. Empresas devem revisar suas bases e ajustar o tratamento conforme a lei.
9. Apenas guardar dados já é considerado tratamento
Verdade.
O simples ato de armazenar dados configura tratamento e está sujeito à LGPD. Empresas devem adotar medidas de segurança, mesmo que não usem os dados ativamente.
10. Dados como CEP ou placa de carro também são pessoais
Verdade.
Se essas informações puderem identificar ou tornar uma pessoa identificável, são consideradas dados pessoais e devem ser protegidas pela LGPD.
A LGPD não é apenas uma obrigação legal; é uma mudança de paradigma na forma como tratamos dados pessoais. Empresas que se adequam à lei não apenas evitam sanções, mas também ganham a confiança de seus clientes e um diferencial competitivo.
Recapitulando:
- A LGPD já está em vigor e é aplicável a todos os setores.
- Consentimento não é a única base legal para tratar dados.
- Estar em conformidade fortalece a reputação e reduz riscos.
Com a LGPD, estamos diante de uma nova era de responsabilidade e proteção de dados. Sua empresa está preparada?
Quer se destacar na área de privacidade e proteção de dados? Conheça nossos cursos e formações:
- Pós-Graduação em Cyber Security: Capacite-se para os desafios da proteção de dados no mundo digital.
- MBA em Gestão de Tecnologia em Segurança da Informação: Conecte teoria e prática com os melhores especialistas do mercado.
