Os requisitos para tratamento de dados pessoais no Brasil

Conforme abordamos em nosso artigo anterior, a preocupação com a proteção de dados pessoais, especialmente por meios digitais, tem sido frequente em todo o mundo. No Brasil não foi diferente e, por essa razão, em agosto deste ano foi promulgada a Lei nº 13.709/2018.

Embora a Lei e suas disposições entrem em vigor apenas daqui a 18 (dezoito) meses, é importante que todas as empresas que façam tratamento de dados pessoais entendam os conceitos e se adequem as normas a seguir.

O que deve se entender como tratamento de dados?

Tratamento de dados inclui toda operação realizada com dados pessoais, como: a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Em quais hipóteses o tratamento de dados pessoais poderá ser realizado por empresas em geral?

O tratamento de dados pessoais somente poderá ser feito:

  • Com o fornecimento de consentimento do titular das informações pessoais. Ou seja, nos casos em que a pessoa física tiver conhecimento de como e por qual razão os seus dados serão utilizados, além de autorizar expressamente o tratamento.
  • Para o cumprimento de obrigação legal ou regulatória pelo controlador. O controlador é definido pela Lei 13.709/18 como a pessoa que toma as decisões referentes ao tratamento de dados, ainda que não seja diretamente quem executa esse tratamento.
  • Quando as informações pessoais forem necessárias para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular dos dados, a pedido do próprio titular. 
  • Em processo judicial, administrativo ou de arbitragem.
  • Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

Como as empresas devem obter consentimento do titular para tratamento de seus dados?

O consentimento previsto na Lei nº 13.709/18 deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular dos dados.

Caso seja por escrito, deverá ser feito por meio de cláusula destacada das demais cláusulas contratuais e com as suas finalidades específicas, inclusive nos casos de necessidade de comunicação ou compartilhamento das informações com terceiros. Autorizações genéricas serão nulas e é proibido qualquer tipo de tratamento de dados pessoais com falhas no consentimento.

Nas hipóteses de alteração na forma de tratamento dos dados, o controlador deverá informar ao titular, com destaque no texto da mudança, podendo o titular revogá-lo caso discorde das novas condições.

Além disso, o consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado.

É importante destacar que o ônus de provar que a autorização foi obtida é sempre do controlador.

Assim, cabem às empresas manter meios de comprovar que o titular está ciente e de acordo com o tratamento de seus dados.

Quais informações sobre o tratamento de dados o titular tem direito de saber?

O titular tem direito a ter acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e evidente sobre:

  • A finalidade específica do tratamento.
  • A forma e duração do tratamento, observados os segredos comercial e industrial.
  • Identificação e informações de contato do controlador. - Informações sobre o uso compartilhado de dados pelo controlador e a finalidade, caso exista.
  • Responsabilidades e obrigações das pessoas que executarão tratamento.
  • Direitos que o titular possui.

Penalidades

Como é possível observar, o tratamento de dados deve ocorrer de forma transparente e respeitando os direitos de privacidade, liberdade e intimidade dos envolvidos.

Em caso de descumprimento da Lei, o infrator poderá sofrer penalidades, tais como: advertência; multa simples de até 2% (dois por cento) do faturamento da empresa no seu último exercício, limitada a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; multa diária; publicização da infração após devidamente apurada e confirmada a sua ocorrência; bloqueio dos dados pessoais a que se refere à infração até a sua regularização; e eliminação dos dados pessoais a que se refere à infração.

Assim, procure adequar o seu negócio, principalmente aqueles que funcionam de forma online, a fim de evitar a perda de clientes, sanções e nulidades nas contratações. Em caso de maiores dúvidas, busque um advogado que possa auxiliá-lo e compreenda as particularidades da sua empresa.

Por Natália Martins Nunes