Digitalização do acervo: com a LGPD, é preciso pedir consentimento para todos os funcionários novamente? Entenda (Getty Images/Getty Images)
Da Redação
Publicado em 9 de junho de 2021 às 13h22.
Última atualização em 9 de junho de 2021 às 16h12.
Por Flávio Machado, sócio do escritório Filhorini Advogados Associados
Muitas empresas temem a nova Lei Geral de Proteção de Dados (LGPD) por entenderem que vai obrigá-las a colher novamente o consentimento para todos os dados pessoais que detêm.
Muitas, também, desejam realizar a digitalização de seus arquivos físicos e se questionam se isso exigirá a coleta de consentimentos individuais para permitir que os dados passem de seu acervo em suporte físico impresso para uma base digital. Os mesmos cuidados também se aplicam a empresas que prestam esses tipos de serviço para outras empresas.
Quer abrir a sua própria startup? Saiba como com os fundadores da ACE Startups
Uma boa notícia é que, no nosso entender, esses medos são exagerados, pois, na maior parte das vezes, não é necessária a obtenção de novo consentimento para simplesmente transferir a informação para um outro meio físico de armazenamento, se não houver modificação da finalidade e utilização do dado.
Contudo, antes de nos permitirmos saltar a conclusões generalizantes ou sair realizando migrações de dados indiscriminadamente, é importante entender corretamente a aplicação da LGPD em cada caso particular, definindo previamente o tratamento que se objetiva e, diante dessa definição, quais são as circunstâncias que exigem a obtenção de novo consentimento.
“Dado pessoal” é qualquer informação sobre pessoa natural identificada ou identificável e “tratamento de dados” significa qualquer operação que possa se fazer com um dado pessoal, incluindo coleta, armazenamento, cruzamento com outros dados e, por fim, descarte.
Primeiramente, para esse objetivo, é importante desmistificar que a aplicação da LGPD se restringiria somente a dados eletrônicos. Isso não corresponde à verdade. A LGPD se aplica a dados pessoais em qualquer meio, tanto digitais quanto impressos.
A LGPD se aplica a qualquer operação de tratamento de dados pessoais realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:
Em resumo, a lei abrange tanto o dado em meio físico quanto digital e mira virtualmente quase toda operação que use uma informação que identifique ou possa identificar alguém. Se ela tem aplicabilidade ampla, isso não deve ser motivo para pânico ou desistência de objetivos legítimos, pois há vários atenuantes e exceções à sua aplicação.
O temor das empresas, principalmente as de pequeno e médio porte, que contam com menos recursos, está normalmente ligado à ideia de que coletar o consentimento do titular de dados seria uma tarefa hercúlea e custosa, e de sofrer sanções em decorrência de pequenas falhas involuntárias.
Parte desse temor pode ser afastado com planejamento e uma rápida investigação sobre dados disponíveis e quais deles necessitarão ser tratados. De posse dessas avaliações, normalmente, constata-se que não será necessário um grande trabalho de autorização, se algum, ligado ao tratamento de dados.
Há muitas formas legítimas de tratamento de dados pessoais que dispensam o consentimento do titular. Para isso, a lei oferece um cardápio de critérios legais que varia desde a real necessidade do dado pessoal para processar pagamentos, até o amplo conceito do legítimo interesse do controlador dos dados (no nosso caso, a empresa que detém os dados pessoais). O legislador foi bastante razoável em oferecer caminhos para que executemos as nossas atividades comerciais, desde que em conformidade com os requisitos da lei.
A escolha da base legal não passa pelo mero arbítrio da empresa, mas sim por critérios importantes estabelecidos no rol de princípios da lei. Esses princípios são os elementos que precisam ser observados e cumpridos no maior grau possível para que o tratamento seja lícito e seguro para todas as partes.
Entre outros, a finalidade do tratamento de dados precisa ser explícita, lícita, legítima e observada. O tratamento de dados precisa ser necessário e proporcional para se atingir o fim almejado. A empresa deve, também, adotar medidas de segurança das informações, para prevenir vazamentos.
Isso se traduz em uma avaliação de risco que usa como base os princípios descritos no artigo 6º da LGPD. Essa avaliação leva, inclusive, a empresa a reconsiderar se precisa realmente daquelas informações, ou se está apenas carregando consigo informações inúteis, seja comercial ou historicamente, que se traduzem em um peso morto para os seus servidores e bancos de armazenamento, constituindo um passivo jurídico.
Se este for o caso, o descarte de dados obsoletos, incorretos ou sem utilidade se apresentaria como uma adequação fácil e conveniente ao princípio da lei, de forma organizada, com a vantagem de otimizar os arquivos da casa e permitir a sensível redução de passivos jurídicos.
O que a lei ensina, portanto, é o dever de cuidado. Isso, por si só, é uma enorme mudança na cultura de tratamento de dados no Brasil e, ainda que tardia, veio para promover maior confiança no mercado digital.
Empresas e órgãos públicos brasileiros estão entre as maiores vítimas de vazamento de dados pessoais no mundo, os quais são causados por uma atitude descuidada de empresas e indivíduos, que termina fomentando, às vezes, sem que se saiba, a perpetração de atividades criminosas como fraudes e roubo de identidade.
É por isso, inclusive, que a LGPD também inclui obrigações com relação à segurança da informação e que elas variam conforme o risco da atividade envolvida. A esse propósito, a Agência Nacional de Proteção de Dados (ANPD) publicou recentemente Guias Orientativos para detalhar alguns aspectos da lei, oferecendo exemplos e casos concretos como diretrizes.
Em conclusão, conforme mencionamos, a obrigatoriedade de uma empresa colher o consentimento não é exclusiva para dados em meio digital, aplica-se igualmente àqueles em meio impresso. Contudo, isso não é motivo para desespero, bastando para prevenir situações ilícitas, medidas simples, como planejamento e análise.
A LGPD coloca sobre as empresas um “dever de cuidado” sobre os dados que tratam, materializado na necessidade de gerenciar os riscos do uso indevido de dados pessoais e de embasar o tratamento de dados nas opções bastante diversas que a própria lei oferece.
Um bom projeto de adequação consegue desonerar em muito a empresas, mantendo-se políticas de revisão de dados obsoletos e inúteis, oferecendo bases menos onerosas de tratamento e conferindo segurança jurídica, prevenindo eventuais autuações da ANPD.
Fique por dentro das principais tendências do empreendedorismo brasileiro. Assine a EXAME.