francaadvogados.com.br

Quando se ouve falar nessa sigla, logo se pergunta, mas o que é isso? Se eu nem sei o que é, como diria estar preparado?

A LGPD, ou melhor, dizendo a Lei Geral de Proteção de Dados, nada mais é do que uma proteção, já há muito tempo necessária, aos dados da pessoa física.

Com os movimentos ao futuro principalmente ligados à tecnologia e a era digital, tudo se torna muito rápido, as coisas acontecem de uma forma cada vez mais célere e é necessário dar às  pessoas físicas a proteção necessária aos seus dados pessoais.

Em exemplo prático: Quantas vezes você já recebeu ligação de empresas de telefonia, com qual você nunca teve contrato, lhe oferecendo um produto ou serviço? Você já se perguntou onde esses dados foram obtidos?

Pois bem, a Lei Geral de Proteção é necessária, entre outros, para impedir que estas ações corriqueiras continuem a existir. Seja para oferecimento de um produto ou seja até para impedir que o titular dos dados seja vítima de um crime de extorsão por exemplo.

Vai da hipótese mais singela e cotidiana, não tão nociva, à mais prejudicial, pois de maneira geral abrange TODOS os dados pessoais e neste sentido, acaba por englobar ainda elementos adicionais de informação que permitem a identificação de alguém.

Para garantir que seja atingido o seu objetivo, a Lei traz diversas espécies de operações de tratamento que devem ser observadas na hora de lidar com os dados da pessoa. E para tanto a Lei traz em suma, três figuras nessa relação: CONTROLADOR, OPERADOR e o DPO (ou em termos brasileiros o Encarregado).

Em linhas gerais e de maneira bem resumida, o CONTROLADOR seria a pessoa a quem compete a decisão sobre o tratamento, ou seja, é ele quem decide o que será feito com os dados. Já o OPERADOR é a pessoa que realiza o tratamento em si, em nome do controlador. E por fim o DPO (Data Protection Officer) é o encarregado que deverá ser indicado pelo controlador e será responsável por ser o canal de comunicação com as autoridades nacionais responsáveis e também, em alguns casos, com o titular dos dados.

Quanto à operação de tratamento de dados, por tratamento, entende-se ser toda e qualquer operação que possa ser feita com dados pessoais, e nestes termos deve-se ter muito cuidado, pois há algumas regras que devem ser observadas, a exemplo: porque eu preciso destes dados? Ele é discriminatório? Há compatibilidade com as finalidades para que preciso? São dados necessários e pertinentes à finalidade? Estes questionamentos, entre outros, deverão ser vistos como base para as operações de tratamento.

Enquanto perdurar condição da finalidade para qual se destinam, é necessária a manutenção do armazenamento dos dados (por exemplo), podendo então serem mantidos no banco de dados do controlador. Entretanto, a Lei obriga que, depois de cessada a finalidade, bem como a operação de tratamento, os dados devem ser eliminados.

Mas quando isso ocorre? Há algumas regras básicas para concluir-se pela possibilidade de eliminação dos dados, são algumas delas: a) Quando atingida a finalidade de uso; b) Quando os dados não forem mais necessários ou pertinentes à finalidade; c) Fim do período de tratamento; d) Comunicação do titular, resguardado o interesse público; e) Determinado por autoridade nacional.

Mas ainda assim, a própria lei mitiga essa possibilidade dizendo que não precisa ser eliminado quando for necessário para o cumprimento de uma obrigação legal, por exemplo.

A exemplo disso tem-se uma relação de emprego em que após deixar a empresa, o ex-funcionário ajuíza uma Ação Trabalhista. A Consolidação das Leis de Trabalho prevê em seu art. 11, que após o término do contrato/rescisão, tem-se o prazo de até 2 anos para ingressar com ação trabalhista.

Veja, a finalidade para que se destina a colheita dos dados, tratamento realizado no ato da contratação do funcionário, é o Registro nos Recursos Humanos da empresa, para o recebimento de suas verbas salariais mensalmente e etc. Assim, com o término do contrato/rescisão, findaria assim operação de tratamento a qual se destina e, em regra geral, deveriam ser então eliminados.

Neste ponto, chegamos a uma das hipóteses de exceção à regra, que embora não esteja expresso na lei, há a permissão para manter-se os dados por certo período, que no caso citado, o prazo mínimo seria o do ex-funcionário para ingressar com a ação na Justiça do Trabalho, por exemplo.

Desta forma, seria então razoável a manutenção dos dados em tratamento de armazenamento, pelo período necessário para se cumpri a obrigação legal e defender-se judicialmente.

Neste contexto, a LGPD traz inovações há muito necessárias para além de proteger os dados da pessoa física que antes eram tratados de forma “banal”, por assim dizer, também inclui o Brasil no game internacional de Ciber Security, sendo o tema de relevância mundial.