Por Renata Ciampi
A Lei Geral de Proteção de Dados (LGPD) aplica-se a qualquer operação de tratamento de dados pessoais, realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que: a operação de tratamento seja realizada no território nacional; a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
Trata-se, portanto, de uma lei de aplicação extraterritorial, não importando se os dados pessoais são de cidadãos brasileiros ou não, mas sim se tais dados foram coletados ou serão tratados no Brasil.
Assim, é importante entender o que são os tão falados e agora famosos "dados pessoais". São eles qualquer informação relacionada a uma pessoa natural identificada ou identificável. Dessa forma, se sua empresa armazena, por qualquer motivo que seja, dados como nome, idade, documento de identificação (como CPF), a LGPD se aplica. Claro que isso poderá variar de acordo com o tipo de negócio da empresa, uma vez que o número de uma conta corrente, pura e simplesmente, pode ser um dado pessoal para uma instituição bancária, mas não para uma cafeteria.
Tão importante quanto a definição de dados pessoais, é a definição de "dados pessoais sensíveis" que são aqueles dados pessoais sobre origem racial ou étnica, convicção religiosa ou opinião política etc. Esses dados pessoais sensíveis têm tratamento especial sob a LGPD, já que podem ser utilizados de discriminatória.
Mesmo diante das definições acima, pode haver quem se pergunte se precisa se preocupar com a LGPD. Um indício de que talvez a LGPD seja aplicável a sua empresa é a existência de funcionários, pois, neste caso, sempre haverá tratamento de dados pessoais em alguma medida. Além disso, ainda que seu negócio não tenha empregados e seja apenas B2B, é possível que a LGPD se aplique na medida em que sejam coletados dados pessoais dos funcionários do cliente e que tais dados sejam utilizados para fins diversos daqueles previstos na contratação da sua empresa com referido cliente.
Portanto, é essencial que seja feita a seguinte lição de casa: mapeamento dos dados que circulam na empresa. Num segundo momento, caberá analisar a real necessidade da coleta de tais dados (excluindo eventuais dados desnecessários) e, dependendo da quantidade final e da finalidade da coleta dos dados pessoais, verificar se para cada dado tratado está presente a respectiva hipótese legal que autoriza o tratamento e, com relação ao consentimento do titular, garantir que este tenha sido obtido da forma adequada conforme determinada a LGPD.
Comments