O consentimento é apenas uma das dez bases legais que a legislação trouxe para autorizar as empresas a tratarem dados pessoais
Camila Trevisan (*)
Provavelmente você já ouviu falar na Lei Geral de Proteção de Dados (LGPD), que entrou em vigor em 18/09/2020, ressalvadas as sanções visto que somente poderão ser aplicadas a partir de agosto/2021, conforme estabelecido pela Lei 14.010/20.
A Lei veio para fomentar o desenvolvimento econômico e tecnológico das empresas, bem como proteger direitos e liberdades fundamentais dos titulares, jamais para prejudicar qualquer modelo de negócio.
Mas uma visão errada que as empresas estão tendo sobre a LGPD é que agora será necessário coletar o consentimento de todos os titulares de sua base de dados para continuar realizando o tratamento desses dados.
O consentimento é apenas uma das dez bases legais que a legislação trouxe para autorizar as empresas a tratarem dados pessoais. Aliás, em que pese não haver sobreposição entre as bases legais, o que se aconselha é que as empresas utilizem o consentimento em último caso, ou seja, apenas quando determinada finalidade de tratamento de dados não se encaixar nas outras nove bases legais.
Frisa-se que o que determina qual base legal tem que ser usada é o caso concreto e devem ser levadas em consideração a origem, a categoria e a finalidade do dado. Além disso, tem-se que para cada finalidade é necessário indicar uma base legal para justificar o tratamento daqueles dados.
Lembrando que, de acordo com a LGPD, compreende-se como tratamento de dados toda e qualquer atividade relacionada ou feita com o dado pessoal, desde o momento em que ele é coletado até o momento em que ele é excluído da base de dados.
Outro ponto importante da Lei para o qual as empresas devem se atentar, são os direitos dos titulares e como garantir que sejam cumpridos dentro da organização. Dentre eles estão os direitos de acesso, confirmação e
retificação dos dados, os quais são mais simples de serem cumpridos, bem como os direitos de cancelamento, oposição, portabilidade, compartilhamento de dados e revisão de decisões automatizadas, estes um pouco mais complexos e que vão exigir uma boa gestão de privacidade de dados dentro da empresa.
Ressalta-se que, antes de cumprir qualquer dos direitos acima expostos, é necessária a autenticação do usuário, devendo encontrar uma maneira eficiente de confirmar que quem está exercendo aquele direito é, de fato, o titular.
Punições mais prejudiciais
Por fim, com relação às sanções previstas na Lei, observa-se que uma das maiores preocupações das empresas é a aplicação de multa em caso de infração da mesma, entretanto, existem outras punições que podem ser muito mais prejudiciais à empresa como, por exemplo, a suspensão do exercício da atividade de tratamento de dados, ocasião em que a empresa ficará suspensa de tratar dados por determinado período, uma penalidade muito mais severa, dependendo do modelo de negócio.
Vale destacar que será avaliado, dentre outros fatores, quais foram os danos gerados para o titular e qual a gravidade daqueles danos para a aplicação de uma eventual sanção, o que demonstra a importância de uma cultura de proteção de dados efetiva dentro da empresa, uma vez que a demonstração dos esforços voltados para essa área tornam a empresa menos propensa a ser penalizada com uma das sanções previstas na Lei.
Posto isso, apesar de ser um tema cheio de detalhes, o caminho para tratamento de dados em consonância com a LGPD é mais simples do que parece. Basta que as empresas foquem sempre na transparência em suas relações com seus titulares, deixando tudo bem documentado, caso seja necessária uma prestação de contas à ANPD (Autoridade Nacional de Proteção de Dados).
(*) Advogada do Escritório Rocha Leite