Veja quais são as normas que uma empresa precisa seguir para se adequar ao tratamento de dados pessoais previsto na LGPD.
A coleta de dados pessoais por parte das empresas é um processo comum. No entanto, é preciso zelar pelas informações adquiridas.
Para assegurar que os dados não sejam vazados, vendidos ou usados de forma irregular, foi criada a Lei Geral de Proteção de Dados (LGPD). Conhecer as suas diretrizes é o primeiro passo para evitar problemas jurídicos.
Nesse sentido, o compliance pode ser um grande aliado. O programa auxilia no desenvolvimento de ações que visam garantir a conformidade com a legislação vigente, o que inclui a base legal para tratamento de dados pessoais.
Neste conteúdo, vamos explicar a importância de estar em conformidade com a LGPD, detalhando as suas diretrizes e a relação com o compliance. Confira!
Quais são as bases legais para tratar dados pessoais?
A Lei Geral de Proteção de Dados (LGPD) prevê normas para coleta, armazenamento e tratamento de dados pessoais por parte das organizações públicas e privadas.
O artigo 7 da LGPD descreve as bases legais para a realização desse trabalho, ou seja, apresenta os critérios legalmente aceitos para o processamento das informações. Na prática, as organizações que não seguem tais diretrizes estão infringindo a lei.
O titular tem total direito sobre seus dados pessoais, por isso, deve ser informado sobre a segurança de suas informações.
Além de ser um preceito legal, também, isto demonstra ética e responsabilidade no que diz respeito à garantia de direitos do cidadão.
Pensando nisso, detalhamos as bases legais para o tratamento de dados:
Consentimento do titular
Essa base se refere à necessidade do usuário declarar o consentimento sobre o tratamento de seus dados, e está expressa na lei da seguinte forma:
- Artigo 5º, inciso XII: Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
Assim, é necessário que a empresa forneça um documento que especifique o uso e a finalidade dos dados para o usuário.
O consentimento é uma das principais bases para justificar o tratamento de dados, e deve ser sempre priorizado pelas organizações. Os termos de política de privacidade para abrir uma conta ou realizar o cadastro em um site são exemplos de como colocar em prática esta base legal.
No entanto, é importante lembrar que o controle das informações é sempre do titular, que pode revogar a autorização. Por isso, existem outras nove bases legais para estar de acordo com a LGPD.
Interesse
Essa é uma base legal ampla, que autoriza o tratamento de dados pessoais quando há um legítimo interesse definido.
- Artigo 10º: O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:
I – apoio e promoção de atividades do controlador;
II – proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.
Para ficar mais claro, as empresas podem usar os dados coletados dos usuários, desde que estejam de acordo com o contexto e com a expectativa do titular.
Por exemplo, se você cadastrou o seu e-mail em uma plataforma para receber assuntos sobre marketing digital, mas começou a receber conteúdos que não correspondem com o seu interesse inicial, o armazenamento de seus dados não se justifica.
Além disso, esse pressuposto não se aplica para o tratamento de dados sensíveis, que são informações sobre:
- Raça
- Etnia
- Condições de saúde
- Opiniões políticas
- Crenças religiosas
Cumprimento legal
Permite o uso de dados mediante o cumprimento de outra obrigação legal ou regulatória.
É uma forma de garantir a segurança jurídica. No processo de contratação de novos empregados, por exemplo, a empresa precisa ter acesso aos documentos e dados dos candidatos, logo, o armazenamento desses dados é justificado pelo cumprimento da ordem trabalhista.
Tratamento da administração pública
Essa premissa se refere apenas ao setor público e afirma que não é necessário o consentimento do titular quando a utilização dos dados pessoais tem a finalidade de cumprir políticas públicas determinadas em lei.
Portanto, a administração pública deve ter o cuidado de ser transparente com o propósito do tratamento dos dados. É o caso, por exemplo, do cumprimento de programas de assistência previstos em contratos, convênios ou similares.
Pesquisas
A lei assegura o uso de dados para a promoção de pesquisas científicas. Portanto, órgãos públicos e privados podem coletar e tratar as informações desde que sejam de forma anônima, preservando a identidade das pessoas.
O Instituto Brasileiro de Geografia e Estatística (IBGE) é um exemplo na coleta de dados com objetivo de realizar pesquisa de interesse social.
Contratos
A assinatura de contratos dá o direito ao tratamento de dados. Assim, ambas as partes, ao formalizarem o processo contratual, autorizam a utilização de dados pessoais para o cumprimento dos termos acordados.
Exercício de direito
O tratamento de dados pode ser realizado para a execução legal de direitos em processos judiciais, administrativos ou arbitrais.
Isso significa que, se determinada pessoa ou empresa precisa construir provas ou se defender em um processo, o tratamento de dados é um direito.
Proteção do crédito
Não há impedimentos ao tratamento de dados para análises de crédito. Ela deve ocorrer para evitar riscos em transações, e as informações oferecem o histórico de compra e pagamento do titular.
Proteção da vida
Quando o uso de dados é solicitado para proteger a vida de uma pessoa ou assegurar a sua integridade física, não é necessário aguardar consentimento do titular.
Nesse caso, a segurança da vida é justificativa suficiente para o uso de dados pessoais.
Questões de saúde do titular
É designada, exclusivamente, aos profissionais de saúde e autoridades sanitárias. Devido às características da profissão, os agentes de saúde têm acesso às informações pessoais, como os resultados de exames.
Assim, eles têm o direito de tratamento dos dados mediante a necessidade de assistência de saúde do paciente.
Relação entre LGPD e compliance
O programa de compliance ajuda a assegurar as bases legais da LGPD. Assim, prevê formas para as empresas protegerem os dados de colaboradores, clientes e parceiros comerciais. A lei determina a responsabilidade das organizações em implementar um programa de governança em privacidade que seja efetivo.
Por isso, é essencial contar com indicadores e evidências durante o processo, demonstrando as boas práticas adotadas pela empresa. Conheça as principais ferramentas que podem auxiliar o processo e garantir a conformidade com a lei:
- Governança de documentos: é um portal que auxilia na administração dos documentos, proporcionando maior clareza sobre as etapas. Além disso, facilita o controle sobre os procedimentos internos.
- Canal de denúncias: é usado para evitar qualquer tipo de irregularidade na empresa, incluindo roubo e vazamento de dados. Assim, funcionários, parceiros e consumidores podem relatar suspeitas de atos ilícitos e assumir o compromisso com a transparência.
- Treinamento de compliance: promove o engajamento da equipe com as políticas de conformidade e a cultura organizacional da empresa.
- Canal de privacidade: é uma solução para assegurar a privacidade dos usuários, protegendo seus dados pessoais e evitando o descumprimento da lei. Ele permite atender solicitações dos titulares e documentar o tratamento das informações.
clickCompliance auxilia na conformidade da proteção de dados pessoais
Para uma política de compliance bem estruturada, é fundamental estar de acordo com a LGPD.
Os serviços do clickCompliance ajudam você a estar por dentro de todos os critérios vistos neste post sobre as bases legais para o tratamento de dados pessoais.
Se você ainda tem dúvidas, entre em contato conosco! Agende uma demonstração!