Afinal, a LGPD trata do quê?
A Lei 13.709/2018, Lei Geral de Proteção de Dados Pessoais – LGPD – protege dados pessoais. Então estamos falando da proteção de direitos das pessoas físicas. A LGPD coloca a pessoa física no papel de titular de dados pessoais e a empresa no papel de Agente de tratamento de dados pessoais. Dados pessoais são dados que identificam direta ou indiretamente uma pessoa física.
Sendo assim, o dono dos dados pessoais é a pessoa física, que a LGPD identifica como titular de dados pessoais. Já as empresas são identificadas pela LGPD como Agentes de tratamento, ou seja, ocupam a posição de quem custodia, ou protege, os dados pessoais do titular. A LGPD, então, coloca de um lado o titular, que é o protegido, e, do outro, o Agente de tratamento, que é o protetor.
Esse dever de proteção dos dados pessoais precisa acontecer durante qualquer tratamento de dados pessoais. Para a LGPD, tratamento é qualquer operação que envolva dados pessoais, de maneira digital ou analógica. Os tipos de tratamento vão da coleta até a eliminação dos dados pessoais. Inclui também qualquer modificação, cruzamento, visualização, comparação, enfim: qualquer operação que envolva dados pessoais, inclusive no ambiente físico.
Resumindo: a LGPD determina que os dados pessoais do titular sejam protegidos pelas empresas, que são consideradas como Agentes de tratamento.
Quais são as exigências da LGPD para as empresas?
A LGPD exige que a proteção de dados pessoais seja intencional, permanente, organizada, transparente e passível de auditoria. Para operacionalizar essas obrigações, a LGPD exige do Agente de tratamento um conjunto de medidas técnicas e administrativas que estejam de acordo com as melhores práticas de mercado no que se refere à proteção de dados pessoais. Vale lembrar que todas as empresas realizam algum tipo de tratamento de dados pessoais no seu dia-a-dia, ainda que sejam somente os dados pessoais de seus colaboradores.
O Agente de tratamento de dados pessoais é obrigado, então, a adotar essas melhores práticas através de um Programa de Privacidade e Proteção de Dados pessoais permanente. Um Programa de Privacidade e Proteção de Dados pessoais precisa considerar os papeis desempenhados pela empresa nos tratamentos de dados pessoais que realiza. Com isso, todas as interfaces da empresa com pessoas naturais devem ser analisadas e cada rotina deve ser mapeada para que se identifique todo tipo de tratamento realizado e suas particularidades.
Como Agente de tratamento de dados pessoais, uma empresa pode ter maior ou menor responsabilização diante da LGPD. A LGPD classifica as empresas em relação ao benefício percebido pela empresa com o tratamento de dados pessoais. Dessa forma, a empresa será um Agente Controlador de dados pessoais quando os utiliza em operações próprias, em benefício próprio, e será um Operador de dados pessoais quando realiza tratamentos em benefício de outro Agente.
Dependendo da relação que o Agente tem com o titular de dados pessoais e do papel que a empresa desempenha num determinado tratamento, ela será um Agente Controlador ou um Agente Operador. Sendo assim, há empresas que oscilam entre os papeis de Agente Controlador e Agente Operador de dados pessoais ou desempenham ambos papeis, a depender das operações que realizam e da relação que têm com os diversos tipos de titular de dados pessoais. Nesse cenário, quando uma empresa trata dados em nome de outra, ela ocupa a posição de Operador e a empresa contratante ocupa a posição de Controlador. Existem outras combinações, mas vamos pensar no básico e vamos ilustrar com um exemplo:
Por exemplo, o Agente Controlador pode ser um supermercado que tem empregados e que precisa pagar o salário deles. Neste exemplo, o Agente Operador será o provedor do sistema de folha de pagamento pois a solução de software opera com dados pessoais (realiza tratamento de dados pessoais) para a execução das funcionalidades necessárias à realização dos pagamentos em nome do supermercado. Entre Controlador e Operador, deve haver documentos contratuais que definem os produtos fornecidos e os serviços prestados e também as regras para o tratamento de dados pessoais.
Nesse contexto, o Agente Controlador é o principal responsável pelas medidas protetivas e o Agente Operador atua como seu apoiador no Programa de Privacidade e Proteção de Dados Pessoais, já que o Controlador utiliza das ferramentas fornecidas pelo Operador para operacionalizar os tratamentos necessários à sua atividade econômica.
Resumindo: o Agente Controlador precisa das soluções do Agente Operador para operacionalizar o tratamento de dados pessoais. O Controlador tem maior responsabilidade diante da LGPD por se beneficiar economicamente das atividades de tratamento de dados pessoais.
O que está envolvido na implementação da LGPD?
A LGPD impõe aos Agentes a obrigatoriedade de implementar uma série de “medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito” desde a concepção dos produtos e serviços providos ou utilizados pelos Agentes (Art. 46, §§ 1º e 2º da LGPD).
Para operacionalizar esses requisitos, a LGPD impõe a necessidade de o Agente Controlador implementar um Programa de Privacidade e Proteção de Dados Pessoais, o que implica na realização de mudanças organizacionais consideráveis.
Como em toda mudança organizacional, o Programa de Privacidade e Proteção de Dados Pessoais inicia no formato de um Projeto e esse projeto precisa movimentar pessoas, processos e ferramentas. Um Projeto de Compliance com a LGPD requer a definição de uma metodologia de implementação, com prioridades, pessoas responsáveis, geração de conscientização sobre os novos conceitos em todos os níveis organizacionais e muitas outras atividades de Projeto, com o objetivo de manter as medidas em funcionamento no longo prazo.
Como vimos, A LGPD usa as expressões “medidas técnicas e organizacionais”, “medidas de segurança”, “boas práticas” e um “programa de governança em privacidade”. A LGPD prevê a obrigação de “demonstrar” e “dar transparência” dessas melhores práticas e desse Programa, ou seja, a LGPD exige a implementação de rotinas de Compliance.
Muitas empresas questionam a efetividade das medidas fiscalizatórias da Autoridade Nacional de Proteção de Dados, mantendo uma postura cética em relação à necessidade de Compliance com a LGPD. Essa postura se deve a questionamentos sobre a capacidade da Autoridade para realizar todo o trabalho necessário, considerando a grande quantidade de Agentes e todas as particularidades dos tratamentos de dados pessoais.
Evidentemente, acompanhar o ambiente regulatório com relação à fiscalização é essencial, mas não deveria ser a única preocupação dos Agentes de Tratamento. A percepção do titular de dados pessoais com relação à posição vulnerável que ocupa na cadeia de valor vem mudando nos últimos anos, sendo que as gerações mais jovens estão mais atentas ao compartilhamento de seus dados pessoais com as empresas e a preservação de sua privacidade. As empresas que tomam os devidos cuidados no tratamento de dados pessoais serão cada vez mais valorizadas e escolhidas pelos titulares em suas relações de consumo.
Além disso, há crescente judicialização dos assuntos relativos à violação de direitos de proteção de dados pessoais, principalmente depois que esses direitos passaram a integrar a lista de direitos humanos fundamentais previstos na Constituição Federal, em fevereiro de 2022 (Emenda Constitucional 115/2022). Em paralelo, a Autoridade Nacional de Proteção de Dados – ANPD – publicou o Regulamento de Aplicação de Sanções Administrativas em fevereiro de 2023, o que aparelha a ANPD para ampliar a sua função fiscalizatória.
Resumindo: A implementação da LGPD é diferencial competitivo para todas as empresas. O Compliance com a LGPD inicia-se como um Projeto e deve ser considerado a longo prazo como uma necessidade de negócio.
