A segurança da informação é uma das prioridades em qualquer negócio, e um dos aspectos mais preocupantes é o tratamento de dados.
Lidar com informações de pessoas físicas demanda muita responsabilidade e uma série de boas práticas. Com o advento da Lei Geral de Proteção de Dados Pessoais, isso se tornou obrigatório.
Diante disso, é fundamental que o gestor saiba o que é tratamento de dados pessoais, como ele se dá na empresa e outros assuntos pertinentes à prática.
Vamos lá?
Confira nosso e-book sobre integração de redes e segurança
Leia também:
- Aprenda a manter a segurança de dados da sua empresa
- Ataques DDoS e o vazamento de dados: como eles impactam empresas e pessoas?
- Proteção de dados empresariais: como ter segurança no home office?
O que é tratamento de dados?
Tratamento de dados é qualquer operação feita com dados de uma pessoa, como coleta, armazenamento, reprodução, descarte, entre outras. No Brasil, esse processo é regulamentado e fiscalizado pela Lei Geral de Proteção de Dados Pessoais , a LGPD.
Para entender melhor o conceito, você deve saber o que é um dado pessoal.
Dado pessoal
Dado pessoal é qualquer informação que permita identificar ou identifique uma pessoa física.
Nome, endereço, e-mail, idade, CPF, endereço de IP, RG, dados de localização e histórico de pagamento são exemplos deste tipo de informação.
E o que é um dado pessoal sensível?
Dado pessoal sensível
Dados pessoais sensíveis são uma categoria de dados pessoais que trazem conteúdos “delicados”.
Por sua natureza, devem ser tratados com maior cautela, uma vez que há maior risco de tratamento prejudicial e discriminatório ao titular.
Conforme diz o artigo 5º, inciso II, da lei de proteção de dados, essas informações são dados pessoais sobre:
- opinião política;
- convicção religiosa;
- origem racial ou étnica;
- dado referente à saúde ou à vida sexual;
- dado genético ou biométrico, quando vinculado a uma pessoa natural;
- filiação a sindicato ou a organização de caráter religioso, filosófico ou político.
Dados anonimizados
Os dados anonimizados são informações relativas ao titular que passaram por processamentos que não permitem mais a sua identificação.
Em outras palavras, esses dados pessoas foram modificados a ponto de não ter possibilidade de identificar uma pessoa.
Conhecidos os tipos de dados apontados na lei, podemos entender melhor o que é tratamento de dados pessoais na prática!
Como o tratamento de dados pessoais funciona na prática?
O processo de tratamento de dados na LGPD pode ocorrer em meios físicos e digitais e pelas mãos de pessoas naturais ou pessoas jurídicas de direito público ou privado.
Antes de saber o que é o tratamento dessas informações na prática, é importante ver as atividades nele envolvidas. São elas:
- Coleta: coleta, produção e recepção.
- Retenção: arquivamento e armazenamento.
- Processamento: utilização, reprodução, classificação, controle, modificação, avaliação e extração.
- Compartilhamento: comunicação, transmissão, distribuição, difusão e transferência.
- Eliminação: descarte e finalização do tratamento.
Considerando essas etapas, o gestor deve pensar no tratamento de dados pessoais na rotina empresarial da seguinte forma:
- Fazer uma análise do processo utilizado na empresa para concluir se ele está seguindo os preceitos estabelecidos pela lei da proteção de dados;
- Avaliar as bases legais da lei e confirmar o cumprimento de todas as regras aplicáveis à sua atividade;
- Ajustar o tratamento a partir dos critérios de cada tipo de informação (dado sensível ou não etc.);
- Confirmar se as orientações de compartilhamento de dados estão sendo cumpridas e respeitadas;
- Garantir que a finalização do tratamento é realizada conforme a lei da proteção de dados.
Em suma, se o empresário realiza o tratamento de dados com a LGPD em mente, não terá grandes problemas. Pelo contrário, poderá aproveitar alguns benefícios que o tratamento correto de dados pessoais proporciona à sua empresa.
Como as empresas se beneficiam com o tratamento de dados?
Você aprendeu brevemente o que é a Lei Geral de Proteção de Dados Pessoais e o que é tratamento de dados pessoais.
E como as empresas se beneficiam ao seguir os preceitos da lei sobre os dados?
Segurança
Uma consequência do tratamento de dados pela LGPD é garantir a segurança da informação.
Todas as empresas devem se adequar às normas que a lei preconiza, certo? E uma delas traz exatamente a observância do princípio da segurança.
Para a LGPD, isso significa utilizar medidas técnicas e administrativas voltadas para a proteção de dados pessoais de acessos não autorizados e de incidentes, como alteração, destruição, perda etc.
Confiança
A partir do momento em que a empresa garante a segurança da informação, ela ganha a confiança de seus clientes, fornecedores e profissionais.
Afinal, todos os stakeholders sabem que ela está tomando medidas preventivas e corretivas para manter seus dados em segurança. Na prática, a confiabilidade entre as partes pode aumentar.
Transparência
O processo de tratamento de dados conforme a lei facilita a organização das informações e estabelece uma padronização neste processo, inclusive na coleta.
Neste primeiro momento, a empresa deverá, por exemplo, conseguir o consentimento do titular para tratar os dados pessoais.
Apesar de isso ser uma obrigatoriedade da lei, é uma prática que demonstra a preocupação da empresa com as informações que o titular está fornecendo.
Isso ajuda a promover a transparência no uso dos dados e na relação.
Exemplo de atividades se enquadram na lei da proteção de dados
O tratamento de dados na LGPD inclui desde a coleta até o descarte da informação, como já apontamos anteriormente.
Para entender como isso se manifesta nas ações do dia a dia corporativo, apresentamos alguns exemplos de atividades que devem obedecer à lei de proteção dos dados.
Armazenar lista de e-mails
É muito comum que as empresas utilizem a tática de ter uma mailing list para trabalhar o marketing com clientes e leads, certo? Isso também acontece com fornecedores e colabores.
Mesmo que não seja utilizada para envio regular de e-mails, armazenar essa lista é uma atividade de tratamento de dados pessoais.
Armazenar dados dos colaboradores
Uma empresa com funcionários costuma ter uma base de dados deles com diversas informações, tais como nome, dados da carteira de trabalho e telefone.
Neste caso, o tratamento de dados não só existe, como é necessário para cumprir uma obrigação legal trabalhista.
O importante é seguir o princípio da mínima coleta, armazenado somente os dados necessários pelo menor tempo possível
Armazenar dados pessoais em arquivos físicos
Em negócios mais antigos, que precedem a transformação digital, há salas de arquivos físicos. Boa parte deles contém informações pessoais, e isso também se enquadra na LGPD.
O gestor empresarial deve se atentar para adotar medidas de segurança quanto às informações disponíveis em meio físico para evitar acesso indevido, perda e destruição de dados físicos.
Ao eliminar tais informações, é fundamental estabelecer padrões de descarte seguro e periódico, caso não sejam mais necessárias.
Armazenamento de cookies em sites
Os sites na internet costumam utilizar cookies (arquivos de texto salvos no navegador) que coletam e armazenam diferentes tipos de informações do usuário.
Qual página foi visitada? Por quanto tempo o usuário ficou na página? Qual seu endereço de IP? Tudo isso faz parte dos cookies, motivo pelo qual eles também são considerados tratamento das informações.
Não custa lembrar que o endereço de IP pode identificar uma pessoa.
Coleta de dados biométricos
Sua empresa possui um controle de acesso por biometria (digital ou imagem do rosto)?
Ela é um tipo de identificação muito comum na atualidade, certo? Mas é preciso ficar atento, pois ocorre tratamento de dado sensível.
Agora que você já sabe o que é tratamento de dados pessoais e como sua empresa o realiza na prática, é preciso ficar atento à fiscalização.
E como a LGPD fiscaliza o tratamento de dados?
Para que as pessoas físicas e jurídicas trabalhem de forma correta com as informações, a LGPD pura e simplesmente não é o bastante. Afinal, temos reiterados casos de violação de normas por parte de muitas empresas, não é mesmo?
Para que a lei seja cumprida, é preciso que ela seja também fiscalizada.
A LGPD existe para que o titular do dado saiba exatamente o que controladores e operadores fazem com suas informações. Ao mesmo tempo, exige das empresas boas práticas em relação a elas.
Para que isso aconteça na prática, existe uma Autoridade Nacional de Proteção de Dados Pessoais (ANPD). Por definição da própria lei, no artigo 5º, inciso XIX:
XIX – autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.
A estrutura regimental, a finalidade e as competências da Autoridade Nacional estão dispostas no Decreto nº 10.474/2020.
Em suma, a ANPD integra a Presidência da República, possui autonomia técnica e decisória, e tem como objetivo “proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa natural” (art. 1º do Decreto).
Um dos pontos que merece observância e fiscalização, inclusive, é a obtenção do consentimento do titular.
Como as empresas devem obter o consentimento do titular para tratar os dados pessoais?
Na definição da lei (artigo 5º, inciso XII), consentimento é a “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”.
O fornecimento de consentimento pelo titular, salvo nas exceções previstas na própria lei, é fundamental para que este tratamento ocorra.
De acordo com a LGPD, a empresa deve obter o consentimento do titular seguindo as seguintes regras:
- O consentimento pode ser dado por escrito ou por qualquer meio capaz de demonstrar a manifestação de vontade do titular dos dados;
- Se por escrito, o consentimento deve ser feito em cláusula destacada das demais cláusulas contratuais;
- É preciso explicar as finalidades específicas do aceite, sendo que autorizações genéricas são nulas;
- Caso o controlador precise comunicar ou compartilhar os dados pessoais do titular com terceiros, deverá obter um consentimento específico para este fim;
- Em caso de alteração na forma de tratamento das informações, o titular deve ser informado e tem o direito de revogar sua autorização se discordar das novas condições.
- O titular pode revogar seu consentimento a qualquer momento, bastando que se manifeste expressamente de forma gratuita e facilitada.
- Cabe ao controlador o ônus de provar que obteve a autorização do titular.
E se a empresa usar dados que foram tornados manifestamente públicos pelo titular? Neste caso, é dispensada a exigência do consentimento .
Essas são regras básicas para qualquer empresa tratar dados pessoais, ok? E elas dizem respeito somente a um dos princípios trazidos pela lei.
Caso haja descumprimento das normas, a organização pode ser penalizada.
Qual a penalidade em caso de descumprimento da Lei?
O artigo 52 da LGPD traz todas as sanções administrativas que os agentes de tratamento de dados podem sofrer em caso de descumprimento da lei. São elas:
- Advertência;
- Multa de até 2% do faturamento da pessoa jurídica, limitada a R$ 50 milhões por infração;
- Multa diária;
- Publicização da infração após confirmação e apuração da sua ocorrência;
- Bloqueio dos dados pessoais referentes à infração até a sua regularização;
- Eliminação dos dados pessoais referentes à infração;
- Suspensão parcial do funcionamento do banco de dados referentes à infração por até 6 meses (prorrogável por igual período) até a regularização da atividade;
- Suspensão do exercício da atividade de tratamento referente à infração por até 6 meses (prorrogável por igual período)
- Proibição parcial ou total do exercício de atividades relacionadas ao tratamento.
Por isso, o gestor empresarial deve manter seu negócio adequado, adotando práticas de segurança da informação. Dessa forma, evita incidentes que podem causar penalidades.
Confira nosso infográfico de proteção web e veja como proteger seus dados!
Perguntas Frequentes sobre tratamento de dados
Algumas perguntas nos ajudam a recapitular tudo que falamos anteriormente, vamos lá?
O que é tratamento de dados na LGPD?
Toda operação realizada com dados pessoais, como coleta, reprodução, distribuição, armazenamento, transferência e extração.
O que é a Lei geral de proteção de dados?
A LGPD é a lei que protege os direitos fundamentais de privacidade e liberdade, e o livre desenvolvimento da personalidade da pessoa natural por meio da proteção de dados pessoais.
Quais são os princípios para o tratamento de dados?
Os princípios podem ser divididos em quatro grupos:
- Finalidade, necessidade e adequação;
- Prestação de contas e responsabilização;
- Prevenção, segurança e não discriminação;
- Livre acesso, qualidade dos dados e transparência.
O que é um dado pessoal?
Um dado pessoal é uma informação referente à pessoa natural identificada ou identificável.
Quem são os agentes de tratamentos de dados?
Os agentes de tratamento de dados são o controlador e o operador. Ambos podem ser uma pessoa natural ou jurídica, de direito público ou privado.
Enquanto o controlador toma as decisões referentes ao tratamento dessas informações, o operador é quem o realiza em nome do controlador.
Conclusão
O tratamento de dados pessoais é qualquer operação realizada com as informações de uma pessoa física. Por dizer respeito à esfera individual, é uma prática que deve se cercar de cuidados e obedecer às normas legais.
Uma empresa preocupada com a segurança desses dados deve tratá-los consoantes as regras da LGPD. Assim, não só evita as penalidades impostas pela lei como também é vista com mais confiabilidade.
Que tal se inteirar mais sobre medidas de segurança para sua empresa? Conheça os vírus mais comuns na internet e como evitá-los!