No último texto, divulgado na semana passada, chamamos a atenção das construtoras e empresas de médio porte para a real necessidade de se adequarem à Lei Geral de Proteção de Dados (LGPD), para não serem “barradas”/”eliminadas” de cara no processo de cotação das grandes empresas.
Naquele artigo, sugerimos às empresas e construtoras de médio porte que comecem a adequação à LGPD nomeando um encarregado, que será a pessoa dentro da empresa responsável pela implantação e pela comunicação junto à ANPD (Autoridade) Nacional de Proteção de Dados e entendendo os principais conceitos envolvendo a LGDP.
E para ajudá-los nessa jornada, vamos responder, de forma simples e objetiva, as perguntas mencionadas na semana passada.
O QUE SÃO DADOS PESSOAIS?
Quaisquer informações ou características que permitam a identificação de alguém. Exemplos: nome completo, telefone, endereço, CPF, e-mail, link de perfil em redes sociais, “gestora da área de TI”, se ela for a única pessoa nesse cargo etc.
QUAL A DIFERENÇA ENTRE DADOS PESSOAIS E DADOS SENSÍVEIS?
Os dados sensíveis também são dados pessoais, e são definidos pela lei como: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião pública, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
O QUE SIGNIFICA ANONIMIZAÇÃO DE DADOS?
A Lei definiu a anonimização como “utilização de meios técnicos razoáveis e disponíveis no momento do tratamento de seus dados pessoais para uma finalidade determinada”.
Em outras palavras, trata-se de um procedimento adotado para desvincular o(a) titular dos dados e as informações existentes sobre ele(a), ou seja, com a anonimização se impede a identificação do titular com relação aos dados retidos ou sob a posse do controlador e do operador.
Se o dado estiver anonimizado a LGPD não se aplicará a ele.
O QUE SIGNIFICA TRATAMENTO DE DADOS?
O tratamento de dados abrange todas as ações/atividades que podem ser feitas com os dados pessoais, desde o momento que ele é recebido ou coletado até ele ser excluído ou eliminado.
QUAIS SÃO OS TIPOS DE TRATAMENTO DE DADOS?
São considerados tratamentos de dados: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
É importante ter em mente que o dado pessoal pode chegar até você ou ser usado pela sua empresa de várias maneiras, por e-mail, via site, de forma física, através das redes sociais, em função de uso de biometria, não importa o meio, o principal a saber é que de um jeito ou de outro, sua empresa certamente faz o tratamento de dados pessoais.
QUAL A DIFERENÇA ENTRE CONTROLADOR(A); ENCARREGADO(A) E OPERADO(A)?
CONTROLADOR: é a pessoa física ou jurídica (pública ou privada), responsável pelas decisões sobre a finalidade do tratamento de dados pessoais, o meio de captação desses dados e os fluxos relativos a tais informações.
OPERADOR: é a pessoa física ou jurídica (pública ou privada) que realiza o tratamento de dados pessoais a pedido ou por determinação do controlador.
ENCARREGADO ou DPO (Data Protection Officer): é a pessoa indicada pelo controlador e pelo operador, para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD (Autoridade Nacional de Proteção de Dados).
A função de ENCARREGADO pode ser exercida por pessoa física ou jurídica e não precisa, necessariamente, ser alguém de dentro da empresa, você pode contratar alguém de fora para exercer essa função e te representar perante a ANPD e os titulares dos dados.
COMO OCORRE A RESPONSABILIZAÇÃO DOS(AS) CONTROLADORES(AS) POR INCIDENTES ENVOLVENDO A PROTEÇÃO DE DADOS?
De acordo com a LGPD, quando o controlador, no exercício de qualquer tratamento de dados pessoais, causar dano patrimonial, moral, individual ou coletivo, em evidente violação aos termos da Lei, ele será obrigado a reparar o titular dos dados pelo(s) dano(s) ocasionado(s). Além disso, também responderá pelos danos que der causa quando houver violação da segurança dos dados, quando deixar de adotar as medidas de segurança previstas na Lei.
Um incidente relacionado a dados pessoais normalmente está vinculado à não observância da Lei ou à segurança (ou no caso à falta de segurança) com os dados pessoais tratados pelo controlador, ou seja, se trata de qualquer situação envolvendo violação à segurança dos dados pessoais, como por exemplo: vazamento de dados; acesso de terceiros não autorizados à base de dados do controlador; captação dos dados por terceiros para uso inadequado ou ilícito, entre outros.
Qualquer evento que possa gerar risco para os direitos e liberdades do titular dos dados pessoais pode ser considerado um incidente.
O controlador só não será responsabilizado quando:
a) Não realizou o tratamento de dados que lhe foi atribuído;
b) Tiver realizado o tratamento de dados que lhe foi atribuído, mas não houve violação à LGPD;
c) O dano é decorrente de culpa exclusiva do titular dos dados ou de um terceiro.
Esses são os principais conceitos envolvendo a LGPD que você precisava conhecer para saber por onde começar.
Resumindo, você, empresa ou construtora de médio porte, certamente é uma controladora, que, no mínimo, faz os seguintes tratamentos de dados pessoais: coleta, recepção, reprodução, transmissão, processamento, armazenamento, arquivamento, eliminação e transferência, pois se você tem ao menos um colaborador contratado, você coletou os dados completos dele (nome, RG, CPF, endereço), recepcionou a cópia dos documentos, reproduziu (tirou uma cópia para o prontuário), transmitiu para o eSocial, para Previdência, para Receita Federal, para o Banco, para pagar o salário, entre outras atividades que levam ao tratamento de dados.
Sendo assim, não tem como você se eximir ou fugir por muito tempo da adequação à LGPD e quanto antes você fizer isso, melhor!
Por fim, procure ajuda de quem entenda desse assunto, para lhe ajudar na adaptação prática à LGPD e não deixe para depois o que já devia ter sido feito.