A importância da ética e transparência na coleta, uso e tratamento de dados pessoais

Com o principal objetivo de unificar o tratamento de dados pessoais, se alinhando às premissas das normas internacionais, a LGPD trouxe as balizas que vão orientar a atuação de pessoas, empresas (públicas e privadas) e do poder público no que tange a coleta, uso e tratamento dos dados pessoais.

Fundada em princípios elementares de proteção da pessoa natural, vê-se que a LGPD tem claro cunho de regulamentar as normas constitucionais abertas: da dignidade; do direito à intimidade, honra e imagem; à privacidade e sigilo das correspondências ou comunicações. Também busca preservar, de forma conexa, outros direitos e garantias constitucionais igualmente fundamentais – tais como a liberdade de manifestação de pensamento, de consciência, de crença sem qualquer discriminação (por convicções filosóficas, políticas ou religiosas; orientação sexual; origem étnica ou raça; condição associativa sindical ou orientação sexual); o direito de propriedade (dos dados compartilhados); à livre iniciativa, à livre concorrência e a defesa da orientação de consumo.

A regra, tangível aos meios físicos e digitais (ou seja, não se aplica exclusivamente às plataformas ou interfaces web), tutela os dados pessoais coletados e/ou tratados em território nacional (observado também o princípio da reciprocidade que permite ampliar o alcance da norma para territórios que compartilham de política similar, mediante tratado firmado com o Brasil) ou ainda, que tenha por objetivo promover a oferta ou o fornecimento de bens e serviços. 

A LGPD previne o uso indevido dos dados pessoais e confere ao titular maior poder sobre suas informações pessoais, por indicar as premissas de uso e tratamento dos dados, os caminhos de governança, de fiscalização e punição para o abuso e incidentes de segurança cibernética.

Mas quais são os “dados pessoais” resguardados pela LGPD? 

São todas as informações relacionadas à pessoa que possam ser identificadas ou identificáveis por correlação específica e direta entre o dado e o seu titular. 

Sob essa orientação, a norma traz o conceito de “anonimização dos dados” – o que permite retirar de tais informações o que podemos chamar de  “individualidade associativa” ou a capacidade de correlação direta entre o titular e o dado pessoal coletado.

Regula-se, também, as informações consideradas como “dados pessoais sensíveis” (de “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico”) quando vinculados diretamente a uma pessoa natural.

Essa classificação de “dado sensível” demandou maior cuidado do legislador que estabeleceu regras de condutas mais severas para o seu tratamento, justamente porque a sua natureza revela maior potencialidade de causar danos a muitos dos direitos fundamentais acima indicados.

Adicionalmente, a lei atribuiu maior participação do titular no processo de gestão dos dados, com intenção de criar “cidadania dos dados”, permitindo a requisição de seus dados pessoais não anonimizados pela  “portabilidade”. Portanto é do titular o direito de propriedade dos dados coletados.

Da mesma forma, o consentimento do titular ganha maior importância para validar o tratamento de dados pessoais, sobretudo quando se trata de dado sensível, devendo ser prévio, expresso e para finalidades por ele conhecidas.

Mas nem sempre a manifestação de vontade ocorre de forma “livre”, pois muitas vezes o consentimento é manifesto por adesão: se torna requisito para que o titular dos dados possa utilizar sistemas e plataformas.

Assim a ética na coleta, uso e compartilhamento dos dados fornecidos reforça a essência não só da LGPD, mas representa “norma de conduta” imperativa a todos os operadores de meios físicos e digitais em que circulam dados pessoais, servindo também de bússola para a aplicação de punições, por exemplo, pelo compartilhamento de dados sensíveis com o objetivo de obter vantagem econômica ou para o uso não autorizado na? oferta de produtos e serviços.

Com base nessas premissas, não está sob a proteção da LGPD – mas ainda assim sob o abrigo constitucional e de outras normas específicas – a coleta de dados para fins particulares e não econômicos; para fins jornalísticos, artísticos e acadêmicos; ou para uso por motivo de segurança pública ou fins investigativos.

E o quê seria, então, o tratamento de dados pessoais?

O tratamento em si consiste em toda operação realizada com dados pessoais:  a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. 

A quem se aplica a responsabilidade pelo tratamento dos dados pessoais?

Ao “controlador” (pessoa que tem a gestão e o poder de decisão referente ao tratamento dos dados) e ao “operador” (pessoa que age em nome do controlador frente ao tratamento dos dados).

Conhecendo tais pontos, já podemos traçar breve análise dos princípios que devem orientar as boas práticas de coleta, o uso e do tratamento de dados pessoais, pois é dever do controlador definir processos claros e objetivos para esse processo e, garantir o seu cumprimento, mitigando e evitando riscos ou danos concretos à privacidade, às liberdades e aos direitos fundamentais protegidos primariamente pela Constituição Federal. 

Como alcançar boas práticas na construção de documentos internos de coleta, uso e tratamento dos dados pessoais?

A segurança e o sigilo sobre dados pessoais devem nortear os processos internos de construção de governança, assim como o objetivo de proteger as informações de acessos não autorizados. Espera-se  da mesma forma, ações que possam prevenir situações acidentais ou ilícitas que possam causar a destruição, perda, alteração, comunicação, uso inadequado ou vazamento dos dados coletados.

Pela adoção de boas práticas, os agentes de tratamento de dados (aqui compreendido como qualquer pessoa que intervenha em uma de suas fases) estão sujeitos a observar medidas de segurança, técnicas e administrativas, que deverão ser realizadas de maneira eficaz e aplicadas desde a etapa de concepção do produto ou do serviço até a sua execução final. 

A LGPD já direciona o conceito de “boas práticas” indicando os caminhos para a construção de políticas internas eficientes, e de governança aplicável aos agentes de tratamento: os processos internos devem refletir a realidade da instituição, estabelecendo as condições de organização em relação aos dados coletados; os procedimentos, reclamações e petições que possam ser utilizadas pelos titulares dos dados; as normas de segurança e padrões técnicos aplicáveis ao segmento e obrigações específicas para os diversos envolvidos no tratamento, bem como eventuais mecanismos internos de supervisão e de mitigação de riscos.

O controlador (e operador) deverá considerar o caminho de coleta e finalidade de uso dos dados, o volume de suas operações, a natureza das informações coletadas, bem como a probabilidade ou gravidade dos riscos em caso de vazamentos para direcionar tais políticas internas e, eventualmente, as ações de comunicação à Autoridade Nacional.

A boa governança funciona, portanto, como princípio ético de proteção da privacidade e garantia de cumprimento da própria LGPD.

Esse compromisso do controlador (e operador) na adoção de processos e de políticas que assegurem o cumprimento da norma, além de permitir novas oportunidades de negócio pautadas na transparência, dá maior credibilidade à marca e às relações interpessoais entre as empresas, pela construção de confiança e eficiência de resposta a eventuais incidentes.

Logo, mostra-se indispensável que todos os procedimentos e sistemas utilizados para o tratamento de dados pessoais sejam estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança, pautados nos princípios gerais complementares à norma específica.

E quais são esses princípios complementares que deverão ser contemplados e respeitados?

Os princípios indicados abaixo constam de forma expressa na LGPD:

• — Boa-fé contratual ou objetiva, princípio positivado para a proteção do consumidor e que impõe às partes o dever de agir com retidão, privilegiando valores morais e éticos reconhecidos socialmente e que orientam as relações negociais por transparência, colaboração e lealdade.
•  
• — Finalidade, que impõe o dever de clareza, de propósitos legítimos, específicos, explícitos que justificam o uso dos dados pessoais coletados e informados, previamente, ao titular; 
•  
• — Adequação, o que dá aderência e torna compatível o tratamento com as finalidades informadas ao titular; 
•  
• — Necessidade, que tem o intuito de limitar a coleta de dados ao que for necessário para a realização do tratamento específico dos dados, mantida a proporcionalidade e evitando excessos em relação às suas finalidades; 
•  
• — Livre acesso, garantido aos titulares  a consulta facilitada e gratuita dessas informações, bem como esclarecimentos sobre a forma de uso, duração e a integralidade de seus dados pessoais; 
•  
• — Qualidade dos dados, garantido aos titulares a exatidão  (autenticidade), clareza, relevância e atualização dos dados;
•  
• — Transparência, mantendo informações claras, precisas e acessíveis sobre a realização do tratamento e os respectivos agentes (com ressalva de segredos comercial e industrial); 
•  
• — Segurança, que orienta elaborar medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas, além da destruição, perda, alteração, comunicação ou difusão; 
•  
• — Prevenção, que revela adotar medidas preventivas de danos e que impeçam o tratamento de dados para fins discriminatórios, ilícitos ou abusivos e, por último,
•  
• — Responsabilização e prestação de contas para a comprovação da observância e do cumprimento das normas legais.
•  

Tais princípios se alinham aos princípios da dignidade humana, do direito à vida e de defesa aos direitos personalíssimos do cidadão – o que será o cerne de todas as medidas estabelecidas para o tratamento de dados pessoais, sejam estes sensíveis ou não.

Por esses motivos é fundamental construir todo o arcabouço de governança (a exemplo de termos de privacidade e dos termos de uso de dados pessoais; documentos informativos e de busca de consentimento; procedimentos internos de governança, coleta, tratamento e armazenamento de dados; medidas práticas de segurança das informações) fundado nesses princípios — o que irá orientar também a aplicação das penalidades e a classificação da gravidade das infrações imputadas aos agentes atuantes em todas as atividades que realizam o tratamento de dados pessoais.

E como o cenário brasileiro de proteção e punição dos agentes pelo descumprimento das normas relativas aos dados pessoais ainda está sendo desenhado, a colaboração entre a iniciativa privada, a Autoridade Nacional de Proteção de Dados e a comunidade jurídica se torna vital para permitir a apuração ética e clara dos incidentes, permitindo a correção e regularização eficiente dos processos e, assim, evitando a judicialização massiva do tema.