Home / Privacidade e Proteção de Dados / Verdades e mitos da LGPD

Verdades e mitos da LGPD

A LGPD já está em vigor há alguns meses, mas ainda há quem acredite que a lei não vai pegar. Há ainda as pessoas que acreditam que a lei veio para impedir que as empresas tratem os dados pessoais de seus clientes. Pensando nisso, preparei uma lista com algumas verdades e mitos da LGPD para sanar algumas dúvidas que ainda pairam pela mente das pessoas. Será que você acerta todas?

1 – A LGPD não vai pegar! É mais uma dessas leis que não irão se tornar realidade no Brasil.

Mito

A Lei Geral de Proteção de Dados já está em vigor e já tem efetividade. Essa conversa de que a lei não vai pegar é um grande mito. Já temos discussões no judiciário falando sobre a aplicação da lei. Na esfera trabalhista, na esfera civil, ou seja, em processos que buscam reparações pelo descumprimento da lei e não somente no âmbito administrativo. Ou seja, quando uma lei já está em funcionamento, ela pode ser exigível inclusive nos tribunais.

Outro fator que prova a efetividade da Lei é a ANPD (Autoridade Nacional de Proteção de Dados), órgão responsável por zelar, implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados no Brasil. A ANPD já está funcionando e, ao logo de 2021, já elencou diversas atividades a respeito desse assunto, como, por exemplo, realizou audiência pública, em setembro de 2021, para debater a proposta de norma de aplicação da LGPD para microempresas e empresas de pequeno porte.

2 – O consentimento do titular dos

dados pessoais é a regra para tratar os dados pessoais e as demais bases legais são exceções (temos mais 9 bases legais).

Mito

O consentimento é uma das 10 hipóteses que temos para tratar os dados pessoais. A lei não elenca prioridade, então não podemos falar em regras ou exceções. Existe uma estrutura legislativa e o tratamento de dados pessoais só será admitido nas seguintes hipóteses:

        Consentimento do titular;

        Legítimo Interesse do Controlador ou de terceiros;

        Cumprimento de obrigação legal ou regulatória pelo Controlador;

        Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas;

        Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

        Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

        Para o exercício regular de direitos em processo judicial, administrativo ou arbitral ;

        Para a proteção da vida ou da incolumidade física do titular ou de terceiros;      

        Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;  

        Proteção do crédito.

Temos aqui uma lógica no ecossistema de bases legais (hipóteses) para o tratamento, que valoriza um dos fundamentos da proteção de dados pessoais que é a autodeterminação afirmativa, cabendo ao titular determinar, sim, ele mesmo, o uso dos dados pessoais e de que forma serão utilizados e nesse contexto o consentimento surge como a primeira hipótese.

 O Controlador deve olhar a finalidade do tratamento e decidir qual hipótese se encaixa melhor.

3 – A LGPD permite que o titular dos dados pessoais exija a eliminação total dos seus dados pessoais.

Mito

A LGPD permite que o titular dos dados pessoais solicite a eliminação total dos seus dados pessoais. Por não ser um direito absoluto, o titular não pode exigir a eliminação de seus dados pessoais. O artigo 18º da LGPD traz os direitos do titular de dados, entre eles, o direito de solicitar a eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD ou a eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16º da LGPD          

A organização (pública ou privada) tem a obrigação de ouvir e responder a todas as solicitações, mas é possível que a organização tenha uma justificativa que inviabilize a eliminação dos dados pessoais.

Um exemplo é a emissão de uma nota fiscal numa relação de compra e venda. Existe uma  legislação brasileira que exige a manutenção do documento fiscal por um período para a fiscalização, seja do estado, do município ou federal. Essa manutenção é para poder comprovar, em caso de alguma solicitação que a nota foi emitida e para quem foi emitida. A nota contém dados pessoais se emitida para consumidores, como nome, CPF e endereço. Contudo, por mais que o titular solicite a exclusão, esses dados pessoais precisam ser mantidos por, no mínimo, cinco anos. 

4 – A devida adequação à LGPD pode se tornar um diferencial competitivo! Não é apenas o cumprimento de uma obrigação legal.

Verdade

Temos visto bem aplicado o conceito de governança dentro das organizações, principalmente naquelas organizações consideradas agente de tratamento do tipo Operador, que são cada vez mais exigidas pelos seus clientes, para que estejam devidamente preparadas para proteger os dados pessoais, adotando medidas técnicas e administrativas aptas para tais proteções.    

As organizações que não atenderem esses requisitos, poderão perder mercado,  perdereferência e, notadamente, perder para a concorrência que está preparada e que demonstra isso por meio documental e/ou por meio de auditoria, consequentemente consegue estar à frente por esse diferencial.

5 – A LGPD se aplica somente aos dados pessoais tratados em meios físicos, pois temos outras legislações que protegem os dados pessoais nos meios digitais.

Mito

O texto da LGPD diz que se aplica no tratamento de dados pessoais das pessoas naturais, inclusive nos meios físicos”. Mas não só nestes!           

Com essa questão, a lei quer explicar exatamente o contrário da informação acima: qualquer tipo de tratamento, realizado por qualquer meio (incluindo o meio físico), é considerado tratamento para fins de aplicação da LGPD.

Para os profissionais da área de Privacidade e Proteção de Dados Pessoais

Você sabe o quanto você vale como profissional? 

Faça o QUIZ e descubra! 

6 – Caso ocorra um incidente com dados

pessoais que traga riscos às pessoas, além das sanções administrativas, poderão ocorrer outras sanções.

Verdade

A preocupação sobre a LGPD é muito grande. Além das sanções administrativas, como multa de 2% do faturamento, que pode chegar até R$ 50 milhões, eliminação dos dados e proibição de tratamento, as empresas podem sofrer outras sanções.

Se o tratamento de dados pessoais for realizado em uma relação de consumo, o Procon pode atuar e pode aplicar uma multa administrativa. Se o tratamento de dados pessoais estiver relacionado  a colaboradores de uma organização, poderá ocorrer uma obrigação de indenizar o colaborador por mal uso dos dados pessoais na esfera trabalhista.

Então é muito importante tomar cuidado, pois temos um mundo paralelo que, por vezes, acabamos esquecendo.

7 – A LGPD impede que as empresas utilizem dados pessoais de seus clientes e colaboradores.

Mito

A lei não impede a utilização dos dados pessoais por empresas. O artigo 7º e o artigo 11º que tratam das hipóteses para o tratamento de dados pessoais dizem que os dados pessoais podem ser tratados a depender das hipóteses elencadas pela lei. Então podemos dizer que o tratamento de dados pessoais é permitido, desde que obedecidos os requisitos para o tratamento, bem como respeitando os princípios da lei e os direitos do titular dos dados pessoais.

8 – A LGPD não se aplica ao meu caso, pois os dados pessoais são propriedade da minha empresa há muito tempo, antes mesmo dessa nova lei.

Mito

Os dados pessoais pertencem ao titular de dados. Então, mesmo que uma organização tenha os dados de clientes há muito tempo, isso não garante que a empresa possa utilizá-los, e muito menos que esses dados pertençam a empresa. Lembrando: a empresa deve verificar as hipóteses do tratamento de dados pessoais e ver quais dados podem ou não continuar sendo tratados.

9 – “A organização está apenas guardando os dados pessoais, não está fazendo nada com eles.” Nesse caso a LGPD será aplicada, pois “guardar” os dados pessoais é considerado tratamento.

Verdade

Quando a empresa  armazena dados pessoais, já está fazendo um tratamento, logo a LGPD se aplica a isso. Como gosto de dizer para os meus alunos, só faltou o verbo “amar” na lei. Armazenar, coletar, tratar e inclusive destruir ou eliminar são considerados como tratamento de dados pessoais e a LGPD se aplica.

10 – A LGPD se aplica a qualquer tipo de dado que possa identificar ou tornar identificável uma pessoa natural. Portanto, a placa de um carro, um dado de geolocalização, um endereço IP ou um CEP são considerados dados pessoais.

Verdade

A lei diz que dado pessoal é aquele que posso identificar ou tornar identificável uma pessoa natural. E isso depende de um simples tratamento. A placa de um carro, por exemplo, com a intenção de identificar o motorista, se eu tenho a capacidade tecnológica, eu consigo identificar. A análise que deve ser feita é se eu consigo conectar esse dado de qualquer maneira a uma pessoa natural. Entender o contexto e o cenário em que está incluso esse tipo de dado.

Quer obter a formação mais procurada nos próximos anos?

Conheça o curso da CARREIRA DATA PROTECTION OFFICER – DPO

Conheça também o curso CDPO Brasil – Certified Data Protection Officer e seja um dos PRIMEIROS profissionais de Privacidade e Proteção de dados certificados em CDPO pela IAPP do Brasil!

Sobre Reinaldo Correa

mm
Pós-graduado em Gestão de Segurança da Informação e Gestão de Riscos e Continuidade de Negócios, formado pela Daryus Educação, atual IDESP, tem uma carreira construída nas áreas de negócios, administrativa e de operações em empresas dos segmentos de Tecnologia da Informação, serviços e instituições financeiras. Reinaldo Correa, atua na área de negócios e atendimento aos clientes da Daryus Consultoria. Possui mais de 17 anos de experiência em projetos relacionados à Gestão de Riscos, Compliance, Governança, Políticas de segurança da informação, revisão de processos e prevenção a fraudes. É instrutor credenciado no EXIN Institute nos cursos: Exin Privacy and Data Protection Essentials (LGPDP); Exin Privacy and Data Protection Foundation (GDPR); Exin Privacy and Data Protection Practitioner (GDPR); Exin Information Security Foundation based on ISO IEC 27001; Auditor Líder ISO 27001 e Lead Implementer ISO 27701. É o principal instrutor do curso para formação de DPO (atendimento ao GDPR) desde 2018 no IDESP.

Confira tambem

Saiba quais são todos os direitos do titular de dados, segundo a LGPD

Dado pessoal é qualquer informação que permita identificar, direta ou indiretamente, uma pessoa. São dados …

Deixe um comentário

O seu endereço de e-mail não será publicado.