Falar sobre a implantação da LGPD (Lei Geral de Proteção de Dados) no Brasil, sancionada e distante apenas 10 meses de seu vigor, ainda gera dúvidas ao empresariado, que agora precisa correr contra o tempo para deixar tudo em ordem para não correr riscos de fugir da conformidade legislativa.

Para tudo, porém, há um início. E algumas incertezas precisam ser esclarecidas com assertividade.

Por exemplo: é preciso pedir consentimento para todo e qualquer dado pessoal coletado ou utilizado? Existem dez bases legais que permitem a utilização de dados pessoais. O consentimento é apenas uma delas.

As outras nove permitem a utilização de dados pessoais sem o consentimento desde que haja uma boa justificativa vinculada a um suporte legal para o dado utilizado e que alguns quesitos sejam cumpridos.

Um dos receios dos empresários é em relação a processos de negócio que utilizam dados pessoais para fins de marketing, prospecção e ofertas.

Como isso fica? Vamos usar o exemplo do envio de uma oferta por e-mail por uma empresa. Se a empresa (controlador) já tem uma relação previamente estabelecida com o consumidor (titular), então o envio de uma oferta daquela empresa é algo que está dentro da expectativa do titular, desde que essa oferta esteja alinhada com a natureza da relação prévia.

Por exemplo, uma empresa de móveis enviar uma oferta de uma estante é algo esperado. Agora, quando o contato fere a expectativa do consumidor em algo que não está alinhado com a natureza do relacionamento estabelecido – uma empresa de móveis enviando uma oferta de crédito de um parceiro, por exemplo – dificilmente haverá sustentação em alguma base legal e isso poderá ser considerado uma infração.

Portanto, fica a recomendação para as empresas avaliarem a utilização de dados pessoais sob alguns critérios, tais como a prévia relação com o titular, a expectativa do titular em relação ao escopo e conteúdo do contato, além, claro, dessa utilização ser lícita, haver um interesse efetivo e alinhado com o negócio e ser suficientemente claro, ou seja, com a finalidade e necessidade destacadas e transparentes.

Outra dúvida bastante latente é no que tange a possibilidade de se coletar vários dados pessoais, classificar quais serão usados e descartar os outros.

Isso pode ser feito? Não. É preciso haver uma preocupação em relação aos dados pessoais desde o momento de sua captação, eventualmente mudando-se processos de negócio para evitar excessos e tomando mais cuidado com a coleta de dados sensíveis.

Ou seja, a coleta de dados deverá ser realizada de forma mais direta e específica possível. O controlador passa a ser responsável por todo e qualquer dado recebido. Menos dados, menos riscos.

E como ficam as empresas que utilizam dados pessoais de menores de idade? Nesse caso deve haver um tratamento das informações baseado também em consentimento, fornecido por pais ou representantes legais, com o conjunto de dados e seus tratamentos descritos de forma específica e inequívoca, além de demandar um esforço adicional da empresa (controlador) para evidenciar que os responsáveis forneceram tal permissão.

E as empresas que utilizam dados sensíveis? São aqueles, resumidamente, que podem trazer discriminação ao indivíduo, como biométricos (cor da pele, altura, peso, digitais, etc), de saúde (prontuários, exames, prescrições médicas), de preferências e orientações (políticas, sexuais, religiosas).

A regra de tratamento e utilização deve ser baseada em uma justificativa sólida (finalidade e necessidade) atrelada às bases legais relacionadas.

Além disso, deve haver um controle rigoroso dos fluxos de dados nos processos de negócio, com permissões de acesso restritas ao limite e com uma forte auditoria.

Estratégias para reduzir as possibilidades de identificação da pessoa física, como anonimização e pseudonomização, devem ser utilizadas.

Agora, tudo acima descrito vai por água abaixo se os dados não estiverem protegidos onde estarão armazenados. A proteção acontece “do dado para fora”.

De nada adianta um rigoroso controle de conformidade, justificativas, papelada, se a informação pode ser acessada, lida e copiada por pessoas sem a cabida anuência.

Um simples acesso indevido já caracteriza vazamento de dados e o que vai determinar o tamanho do risco e impacto de tal ação são quais informações foram vazadas, como e para onde foram.

Quando ocorrer um vazamento, o que também determinará o tamanho da sanção, seja ela uma multa ou algo maior, é a importância e o esforço que a empresa já fez para proteger os dados controlados por ele e a postura perante o incidente.

* Ricardo Becker é empresário da área de tecnologia.