A Lei Geral de Proteção dos Dados (LGPD) surgiu para regular o tratamento dos dados pessoais no Brasil. A partir das normas, as empresas precisam adequar seus processos para proteger os dados de terceiros.
Mas como fazer o tratamento dos dados pessoais? Para responder essa pergunta, vamos utilizar como base as normas da própria da LGPD e as informações disponibilizadas no Guia de Boas Práticas da LGPD disponibilizado pelo Governo Federal.
Confira logo a seguir como fazer o tratamento dos dados pessoais na sua empresa!
Como fazer o tratamento dos dados pessoais?
Observe os princípios fundamentais específicos
A LGPD estabelece, em seu art. 6º, que o tratamento de dados pessoais deve observar a boa-fé e dez princípios fundamentais específicos. São eles:
- Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
- Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
- Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
- Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
- Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
- Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
- Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
- Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
- Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; e
- Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Aplique as hipóteses de tratamento
O tratamento de dados pessoais poderá ser realizado desde que enquadrado em uma das hipóteses elencadas na Lei. Tais hipóteses podem ser compreendidas como condições necessárias para verificar se o tratamento de dados pelo controlador ou operador é permitido.
Veja quais são essas hipóteses previstas na LGPD:
Hipótese 1: Tratamento mediante consentimento do titular
Essa é uma hipótese em que o titular tem chance real de escolha sobre o tratamento de seus dados. Trata-se de hipótese possível quando as demais do art. 7º forem descartadas. Uma vez descartadas as demais hipóteses, o órgão/entidade deve avaliar:
- Serão viáveis a coleta e o armazenamento da opção de consentimento do titular de modo a poder comprovar posteriormente a sua expressa manifestação de vontade?
- Se o consentimento se der de forma escrita, será garantido que a opção pelo consentimento conste de cláusula destacada das demais, em que o titular seja instado a escolher livremente pela anuência ou não ao consentimento solicitado?
- O consentimento será solicitado para cada uma das finalidades de tratamento, e será informado ao titular que tipo de tratamento será realizado, antes que este opte pelo consentimento?
- Será dada ao titular a opção de revogação do consentimento, a qualquer momento, mediante manifestação expressa, por procedimento gratuito e facilitado?
- No caso de tratamento de dados de crianças e adolescentes, será solicitado o consentimento específico por pelo menos um dos pais ou pelo responsável legal?
- No caso do tratamento de dados pessoais sensíveis, será registrada a manifestação de vontade do titular de forma específica e destacada, dando ciência do conhecimento sobre as finalidades específicas daquele tratamento?
Hipótese 2: Tratamento para o cumprimento de obrigação legal ou regulatória
Essa hipótese é aplicável quando é necessário processar dados pessoais para o cumprimento de obrigações legais ou regulatórias específicas. Não se enquadram nessa hipótese as obrigações estabelecidas por contrato.
Hipótese 3: Tratamento para a execução de políticas públicas
Essa hipótese é aplicável para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres. Trata-se de uma hipótese que dispensa o consentimento do titular e que deve ser realizada por controladores que sejam pessoas jurídicas de direito público.
Hipótese 4: Tratamento para a realização de estudos e pesquisas
Essa hipótese é aplicável para o tratamento de dados para realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais.
Hipótese 5: Tratamento para a execução de contrato ou de procedimentos preliminares relacionados a contrato
Essa hipótese é aplicável para o tratamento de dados necessário à execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular. As hipóteses de tratamento de dados estarão previstas no contrato. O consentimento é fornecido no ato de formalização do termo ou decorrente do mesmo
Hipótese 6: Tratamento para o exercício de direitos em processo judicial, administrativo ou arbitral
Essa hipótese é aplicável para o tratamento de dados necessário ao exercício regular de direitos do titular em processo judicial, administrativo ou arbitral, por quaisquer das partes envolvidas.
Hipótese 7: Tratamento para a proteção da vida ou da incolumidade física do titular ou de terceiro
Essa hipótese é aplicável para o tratamento de dados para a proteção da vida ou da incolumidade física do titular ou de terceiros.
Hipótese 8: Tratamento para a tutela da saúde do titular
Essa hipótese é aplicável para o tratamento de dados para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.
Hipótese 9: Tratamento para atender interesses legítimos do controlador ou de terceiro
Essa hipótese é aplicável para o tratamento de dados quando necessário para atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
Hipótese 10: Tratamento para proteção do crédito
Essa hipótese é aplicável para o tratamento de dados para proteção do crédito do titular.
Hipótese 11: Tratamento para a garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos
Essa hipótese é aplicável para o tratamento de dados pessoais sensíveis para assegurar a identificação e autenticação do titular para a autenticação de cadastro em sistemas eletrônicos, visando à prevenção de fraudes e à garantia da segurança do titular.
Para enquadramento nessa hipótese, deve-se avaliar se não há outro meio para a identificação do titular sem a necessidade do tratamento de dados sensíveis.
Você já sabia como fazer o tratamento dos dados pessoais? Ficou com alguma dúvida sobre o assunto? Deixe o seu comentário!