Perguntas Frequentes - FAQ por assuntos da LGPD
A) O QUE SÃO DADOS PESSOAIS?
A LGPD, à luz do que já havia sedimentado o GDPR (Regulamento europeu de proteção de dados), definiu dados pessoais como informações relacionadas à pessoa natural, que possibilitam sua identificação, direta ou indiretamente. Assim, podemos entender como exemplos de dados pessoais: CPF, RG, profissão, IP, entre outros dados que nos permitam identificar alguém. Sendo assim, dados anonimizados não são considerados dados pessoais, não sendo estes sujeitos às aplicações da lei.
B) O QUE SÃO DADOS PESSOAIS SENSÍVEIS?
Dados pessoais sensíveis são considerados uma categoria especial de dados pela LGPD, que atribui ao tratamento dela algumas particularidades, bem como a define como todo dado pessoal que se refira a: origem racial ou étnica; convicção religiosa; opinião política; filiação a sindicato ou à organização de caráter religioso, filosófico ou político; dado referente à saúde ou à vida sexual; dado genético ou biométrico, quando vinculado a uma pessoa natural. Note, que, muitas vezes, apesar de o dado pessoal demandar certa confidencialidade e dever de sigilo, como é o caso dos dados bancários e perfis de compras, ele nem sempre será tratado como sensível pela LGPD.
C) COOKIES E IPS DE MÁQUINA SÃO CONSIDERADOS DADOS PESSOAIS PERANTE A LEI?
Conforme definido acima, dados pessoais são informações que possibilitam a identificação de um indivíduo. Assim, pensando nesse conceito -embora a LGPD não defina expressamente o número do IP e do cookie como dado pessoal -, o GDPR traz a interpretação de que, pela natureza identificadora do IP e do cookie, eles podem ser usados como ferramentas para definição de perfis e identificação de pessoas -o que se encaixa no conceito de dado pessoal. Sobre o IP dinâmico, existem entre os pareceres emitidos pelo Grupo de Trabalho de Proteção de Dados Pessoais do artigo 29 e o Parecer n° 4/2007, que, em resumo, define: ao registrar sistematicamente data, hora, duração e IP, mesmo que dinâmico, é possível identificar o usuário, utilizando meios razoáveis. Por isso, também é enquadrado como dado pessoal.
D) COMO AS AGÊNCIAS DIGITAIS PODEM SER CLASSIFICADAS: SÃO OPERADORES DE DADOS OU CONTROLADORES? QUAL É A RELEVÂNCIA DESSA DIFERENCIAÇÃO?
A LGPD classifica os agentes de tratamento de dados em controlador e operador. Controlador de dados é o responsável por tomar decisões acerca do tratamento de dados; o operador de dados segue as instruções daquele, operacionalizando tão somente o tratamento dos dados pessoais.O mais comum seria classificar os Agentes Digitais como operadores, vez em que normalmente executam os tratamentos de dados seguindo a determinação de seus clientes, os controladores. Quando realizamos uma campanha de e-mail marketing, por exemplo, embora sejamos responsáveis pela criação do HTML e pelo disparo, estamos seguindo recomendações específicas do anunciante, que também foi o responsável pela captura do mailing do cliente. Essa diferenciação é essencial, pois a LGPD distribui de forma distinta as obrigações e as responsabilidades dos agentes. Se a Agência Digital for entendida como controladora com o seu cliente, eventual violação à legislação de proteção de dados gerará corresponsabilidade em reparar o dano.
E) SE, AO TRANSFERIR DADOS PESSOAIS ORIGINADOS DE BANCOS DE DADOS DE CLIENTES PARA UMA EMPRESA TERCEIRA, QUE REALIZA DISPAROS DE E-MAIL, OCORRER UM VAZAMENTO DE DADOS, A MINHA AGÊNCIA SERÁ CORRESPONSÁVEL?
Se o Agente Digital em questão transferir dados pessoais do banco de dados de seu cliente para a empresa terceira por determinação do cliente, em razão de a terceira ser sua parceira, nesse caso, não há corresponsabilidade, pois o agente será classificado como operador e terá agido segundo as instruções do controlador. Todavia, se a decisão de compartilhar os dados com empresa terceira for tomada pelo Agente Digital, ele será classificado como controlador e responderá solidariamente, isto é, será corresponsável em relação à reparação de eventuais danos sofridos pelos titulares dos dados.
F) QUAL É O JEITO CORRETO DE CAPTURAR DADOS?
Como ponto de partida, é necessário entender que, segundo a LGPD, os dados coletados pertencem ao indivíduo ao qual dizem respeito, de forma que qualquer tipo de tratamento de dados realizado está condicionado aos requisitos impostos pela lei e pelas demais legislações que tratam do tema. Dessa forma, o tratamento de dados pessoais deve se restringir a propósitos legítimos e à finalidade específica informada ao titular de dados pessoais, no momento da coleta. Além disso, o tratamento de dados pelos Agentes Digitais deve sempre estar fundamentado em uma das seguintes hipóteses enumeradas pela LGPD - do contrário, será ilegal:
• Consentimento (escrito ou por meio que demonstre a vontade do titular);
• Cumprimento de obrigação legal;
• Necessidade para execução contratual;
• Exercício regular de direitos em processo judicial, administrativo ou arbitral;
• Proteção à vida ou incolumidade física do titular ou de terceiro;
• Tutela da saúde;
• Atendimento de legítimo interesse do controlador (quem exerce poder de decisão sobre o tratamento dos dados) ou terceiro;
• Proteção de crédito; e,
• Em razão da publicidade dada aos dados por seu titular ou do acesso público irrestrito a este, desde que observados a finalidade com que o dado foi disponibilizado, a boa-fé e se não fere direitos e garantias fundamentais.
• Consentimento (escrito ou por meio que demonstre a vontade do titular);
• Cumprimento de obrigação legal;
• Necessidade para execução contratual;
• Exercício regular de direitos em processo judicial, administrativo ou arbitral;
• Proteção à vida ou incolumidade física do titular ou de terceiro;
• Tutela da saúde;
• Atendimento de legítimo interesse do controlador (quem exerce poder de decisão sobre o tratamento dos dados) ou terceiro;
• Proteção de crédito; e,
• Em razão da publicidade dada aos dados por seu titular ou do acesso público irrestrito a este, desde que observados a finalidade com que o dado foi disponibilizado, a boa-fé e se não fere direitos e garantias fundamentais.
G)QUANDO É NECESSÁRIO OBTER O CONSENTIMENTO DO TITULAR DE DADOS PESSOAIS?
O consentimento, como visto no questionamento anterior, é apenas uma das bases legais a fundamentar o tratamento de dados pessoais; sendo assim, é necessário coletar e guardar o registro do consentimento quando o tratamento não se encaixar em nenhuma das demais bases legais de tratamento. Por exemplo, uma empresa que capture dados para fins de prevenção a fraudes não necessitaria da coleta do consentimento, visto que “proteção ao crédito” é uma das bases legais.
H) DADOS CAPTURADOS EM REDES SOCIAIS, COMO WHATSAPP E FACEBOOK, SÃO CONSIDERADOS PESSOAIS?
Dados pessoais são informações relacionadas à pessoa natural identificada ou identificável; assim, o meio pelo qual são capturados não altera a sua natureza, pois os dados continuam sendo pessoais e de titularidade da pessoa a que se referem. No caso do WhatsApp, os dados são veiculados em conversas privadas ou para grupos de pessoas; ainda que se verifique certa publicidade dos dados, ela é limitada. Assim, uma eventual utilização desses dados deve enquadrar-se em uma das bases legais; do contrário, será indevida. Em relação ao Facebook, se os dados estiverem abertos a todos e a informação tiver sido publicada pelo titular, configurará a hipótese da coleta de dados tornados manifestamente públicos pelo titular, sendo possível a sua utilização para novas finalidades, desde que observados os propósitos legítimos e específicos para o novo tratamento de dados, e desde que preservados os direitos do titular. Se os dados não foram divulgados com esse intuito, esse tipo de tratamento não estaria sob o manto da boa-fé.
I) QUAIS SÃO AS INFORMAÇÕES OBRIGATÓRIAS QUE DEVEM CONSTAR DOS TERMOS DE CONSENTIMENTO DO USUÁRIO?
Deste termo deverão constar: a finalidade específica do tratamento; com quem eventualmente aquele dado pessoal será compartilhado; qual será o período de duração do tratamento; a informação da possibilidade de não fornecer o consentimento; e quais seriam as consequências da negativa. Além disso, o termo deverá consistir em manifestação livre (verdadeira escolha, decisão voluntária), informada (informação completa, exata, disponibilizada de forma clara e compreensível) e inequívoca (o procedimento para a obtenção do consentimento não pode dar margem à dúvida quanto à intenção da pessoa em dar o seu consentimento). Diante disso, não são mais aceitos ou vistos como manifestação de consentimento válido comportamentos de omissão (opt-out), como caixas previamente assinaladas.
J) O QUE PODE SER ENTENDIDO COMO TRATAMENTO DE DADOS?
A LGPD conceitua o tratamento de dados como toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Assim, toda operação que envolva informações capazes de identificar alguém direta ou indiretamente é considerada tratamento de dados pessoais, podendo encontrar-se entre os exemplos práticos o serviço de tratamento e de duplicação de dados (data quality), a seleção de públicos para audiência para campanhas, o desenvolvimento de modelos e algoritmos com dados de cliente, o enriquecimento de banco de dados com listas externas e os serviços de geolocalização.
K) POSSO CONTINUAR A COMPRAR DADOS EXTERNOS PARA ENRIQUECIMENTO?
A LGPD não faz nenhuma restrição expressa no tocante à utilização de bancos de dados externos; entretanto, caso se opte por esta possibilidade, deve-se tomar alguns cuidados: certificar-se de que a coleta dos dados externos esteja fundamentada em uma das bases legais previstas na LGPD; exigir do fornecedor os registros de coleta; averiguar se a finalidade divulgada ao titular de dados é compatível com o tratamento que será destinado aos dados; certificar-se de que o compartilhamento dos dados foi devidamente informado e consentido (caso essa seja a base legal utilizada) pelo titular de dados pessoais.
L) AINDA POSSO FAZER MÍDIA PROGRAMÁTICA UTILIZANDO DMPS (DATA MANAGEMENT PLATFORM)?
A LGPD não veio para pôr fim às ferramentas de marketing digital, mas será necessário que os Agentes Digitais, ao utilizá-las, tomem algumas precauções e respeitem os limites legais. Dessa forma, como as DMPs envolvem coleta e tratamento de dados pessoais, elas deverão respeitar o privacy by design, consistindo em plataformas que cumpram os requisitos legais impostos pela LGPD para tratamento de dados pessoais. É necessário sempre questionar e exigir comprovações acerca da origem dos dados coletados e oferecidos.
M) SERÁ POSSÍVEL USAR DADOS DE GEOLOCALIZAÇÃO DENTRO DOS CRITÉRIOS DA LEI PARA REALIZAR CAMPANHAS DE MARKETING DIGITAL?
Da mesma forma como as demais práticas, a realização de campanhas por dados de geolocalização não foi inviabilizada pela LGPD. Se os dados estiverem anonimizados, ou seja, se o seu titular não puder ser identificado por esforços técnicos razoáveis, não há impedimento, visto que dados anonimizados não são considerados dados pessoais, de forma que a LGPD não se aplica a eles. Por outro lado, caso seja possível a identificação do indivíduo, os dados de geolocalização estarão sob o manto da LGPD e a eles deverão ser destinados os mesmos cuidados que aos demais dados pessoais.
N) QUAIS SÃO AS CERTIFICAÇÕES DE SEGURANÇA QUE ATENDEM À LEI?
Em relação à temática da segurança, a LGPD exige que os Agentes Digitais façam uso de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. Isso significa que, em todo o fluxo de dados pessoais, não pode haver falhas de segurança que possibilitem acesso não autorizado. As licenças devem ser válidas, os softwares devem ser atualizados, os funcionários devem ser conscientizados acerca das medidas de segurança etc. Apesar de a legislação não exigir certificações, a ISO 27001 - padrão para gestão da segurança da informação - tem sido em muito utilizada para o cumprimento deste requisito da LGPD.
O) O QUE SIGNIFICA PRIVACY BY DESIGN E PRIVACY BY DEFAULT?
O privacy by design visa a utilização de mecanismos de privacidade em todo o ciclo do dado a ser tratado. A privacidade deve ser incorporada ao desenho do produto ou serviço, de modo a assegurar todo o fluxo do dado, desde a coleta até o término do tratamento. O privacy by default, por sua vez, introduz a privacidade como modelo de conduta, de modo a minimizar o processamento de dados pessoais, pela adoção de técnicas como a pseudononimização e a criptografia. São modelos que devem ser adotados pelos Agentes Digitais com o objetivo de propiciar o cumprimento dos demais requisitos legais para o atingimento de um tratamento de dados que respeite efetivamente a privacidade.
P) QUAIS SÃO AS PENALIDADES PREVISTAS NA LEI PARA QUEM NÃO ESTIVER EM COMPLIANCE?
Quem não se adequar estará sujeito à fiscalização da Autoridade de Proteção de Dados Pessoais e às seguintes penas:
• Advertência: com indicação de prazo para adoção de medidas corretivas;
• Multa: simples ou diária de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício - limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais), por infração;
• Publicização: após sua apuração e confirmação de ocorrência, com possibilidade de sanção em caso de vazamento de dados pessoais;
• Bloqueio dos dados: a que se refere a infração até a sua regularização; e
• Eliminação dos dados: a que se refere a infração.
A aplicação das sanções será precedida de procedimento administrativo que possibilite a oportunidade de ampla defesa, de acordo com as peculiaridades do caso concreto.
• Advertência: com indicação de prazo para adoção de medidas corretivas;
• Multa: simples ou diária de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício - limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais), por infração;
• Publicização: após sua apuração e confirmação de ocorrência, com possibilidade de sanção em caso de vazamento de dados pessoais;
• Bloqueio dos dados: a que se refere a infração até a sua regularização; e
• Eliminação dos dados: a que se refere a infração.
A aplicação das sanções será precedida de procedimento administrativo que possibilite a oportunidade de ampla defesa, de acordo com as peculiaridades do caso concreto.
Q) O QUE ACONTECE DIANTE DA OCORRÊNCIA DE UM INCIDENTE DE SEGURANÇA DA INFORMAÇÃO?
Em caso de ocorrência de qualquer incidente de segurança, o Agente Digital, caso opere como controlador, deverá notificar a Autoridade Nacional de Proteção de Dados, em tempo razoável. A LGPD não determina prazo certo - diferentemente do GDPR, que fixou o parâmetro de 72 horas, o qual poderá ser utilizado como orientador diante da atual lacuna de regulamentação nesse sentido. Caso o Agente Digital atue como operador e detecte um incidente de segurança, deverá notificar o controlador a respeito, documentando devidamente essa notificação para eventual prestação de contas à Autoridade Nacional de Proteção de Dados. A Autoridade Nacional de Proteção de Dados averiguará a gravidade do incidente, podendo determinar ao controlador a ampla divulgação do fato em meios de comunicação e medidas para reverter ou mitigar os efeitos do incidente.
R) QUEM É RESPONSÁVEL PELO MONITORAMENTO DO CUMPRIMENTO DA LEI?
Em 09 de julho de 2019, foi publicada a Lei n° 13.853, proveniente da Medida Provisória n° 869/2018, que criou a Autoridade de Proteção de Dados (ANPD). Ela foi instituída como órgão da administração pública federal, integrante da Presidência da República, e possui a competência para fiscalizar e monitorar o cumprimento da LGPD, cabendo a esta a aplicação de sanções.
Com informações da Abradi