Diretrizes para o processamento adequado de dados pessoais
Daniela Monte Serrat Cabella, da Neoway
O ano de 2018 foi emblemático para a proteção de dados pessoais. Em maio, o Regulamento nº 2016/679 europeu (General Data Protection Regulation, ou GDPR) entrou em vigor; em agosto, tivemos a nossa Lei nº 13.709/2018 (Lei Geral de Proteção de Dados, ou LGPD, como ficou conhecida), sancionada pelo Presidente; e, durante o ano todo, foram noticiadas diversas investigações do Ministério Público e notificações dos Procons sobre proteção de dados pessoais, bem como violações de dados nos mais distintos negócios, tanto no Brasil como no exterior.
Não há dúvidas de que os olhos do mercado e das autoridades continuarão atentos ao tema em 2019 – especialmente no Brasil, por ser o ano de adequação à LGPD antes de sua entrada em vigor, em fevereiro de 2020. É necessário, portanto, otimizar, nos próximos doze meses, a adequação de documentos, processos, sistemas e cultura da organização, de modo a estarem integralmente alinhados aos princípios estabelecidos pela legislação. Entre eles, destaco os seguintes:
- Transparência – Este princípio já está consolidado na legislação vigente, como no Código de Defesa do Consumidor, mas é ampliado e reforçado pela LGPD. Considerando que o objetivo da nova lei é conceder maior controle às pessoas físicas sobre o que é feito com os seus dados pessoais, o princípio da transparência gera para as organizações o dever de fornecer “informações claras, precisas e facilmente acessíveis”[1] sobre a coleta, uso, armazenamento, compartilhamento e eliminação dos dados.
- Necessidade – Toda e qualquer operação realizada com dados pessoais agora deverá envolver apenas os dados “pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento”[2]. Isso significa que o costume de coletar o máximo de dados possível para “depois ver o que fazer com eles” está condenado.
- Segurança – As empresas e instituições públicas que detêm ou utilizam dados de pessoas físicas capazes de identificá-las direta ou indiretamente devem aplicar medidas técnicas e administrativas para protegê-los de “acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão”[3]. E essa proteção deverá ser aplicada a dados processados e armazenados tanto em meios digitais como físicos.
Estamos testemunhando um momento histórico, de novas leis estabelecendo uma nova cultura no mercado, baseada no respeito ao direito fundamental à privacidade. Deve-se ter consciência, no entanto, de que a legislação nunca irá (e nem pretende) tratar de modo específico todas as situações possíveis em proteção de dados. Por esse motivo, é fundamental ter conhecimento de todos os princípios que a embasam durante a verificação dos fluxos de dados, documentos, sistemas e procedimentos internos em um processo de adequação legal. Na dúvida, “principie” pelos princípios.
Daniela Cabella é Data Protection Counsel da Neoway. Tem experiência em empresas de tecnologia e em escritórios de Direito Digital e Full Service. Primeira profissional certificada como DPO – Data Protection Officer pelo EXIN na América, Daniela é membro da IAPP – International Association of Privacy Professionals e do Comitê PrivacyBR e pós-graduanda em Gestão da Inovação e Direito Digital pela FIA. É graduada em Direito pela USP e certificada em Contratos Internacionais pela International Chamber of Commerce (ICC – França), Contratos pela HarvardX, Mediação pelo Institute of Arbitrators & Mediators Australia (Resolution Institute), National Judicial College, dos EUA, Escola Paulista da Magistratura e em Negociação Avançada por Harvard, EUA. Coautora do livro Direito Digital Aplicado 3.0.
