O sócio e especialista em Lei Geral de Proteção de Dados (LGPD), Fabio Rivelli, criou um FAQ com as principais dúvidas sobre coleta e tratamento de dados em tempos de pandemia. Confira:
Notícias sobre o monitoramento das pessoas infectadas pelo COVID-19 têm sido relatadas com o objetivo de utilidade pública e o monitoramento de risco. Como analisar a questão diante do posicionamento da proteção de dados?
Estamos passando por um período inédito nestas proporções e de calamidade global, enquanto isso, as empresas existentes nos países que possuem suas respectivas normas para a proteção de dados estão em fase de mapeamento, implantação de novas metodologias de trabalho e outras com seus processos já adequados, ou seja, em adequação para garantir os direitos dos seus usuários.
A garantia da conformidade da proteção de dados deverá ser mantida independente do estado em que se encontram os países, por certo podemos afirmar que o processamento dos dados envolvendo o monitoramento das pessoas infectadas deve ser realizado com a exclusiva finalidade da saúde e interesse público, protegendo seus cidadãos, obviamente sem a necessidade do seu consentimento. O que não pode acontecer é o dado ser destinado para uso diverso desta finalidade, aproveitando-se da situação.
A anonimização também será de fato uma boa medida para garantir a segurança daqueles monitorados. Portanto, a Lei de Proteção de Dados deve ser rigorosamente seguida e mantida para garantir a segurança dos dados pessoais de toda pessoa física. Tomando como base a regulamentação europeia, recentemente o presidente do Conselho Europeu de Proteção de Dados (EDPB) fez uma declaração nesse sentido disse “(…) nestes tempos excepcionais, o controlador de dados deve garantir a proteção dos dados pessoais dos titulares dos dados. Portanto, várias considerações devem ser levadas em consideração para garantir o processamento legal de dados pessoais”.
Estamos diante de um cenário de calamidade e mesmo assim, quando a LGPD entrar em vigor, seja em agosto de 2020 ou em janeiro de 2021, será necessário que a empresa esteja adequada à Lei?
Sim, será necessário que todas as empresas que utilizam os dados pessoais das pessoas físicas em todo o território nacional precisarão estar adequadas, algumas empresas ou setores coletarão dados para uso dentro dos protocolos de saúde, porém, será importante limitar o risco da exposição de tais dados, anonimizando suas informações; garantindo a governança dos dados dentro da empresa; segurança da informação e assim por diante. O que precisa ficar claro é que tal exposição poderá gerar um risco desnecessário contra a sua empresa, com medidas judiciais e administrativas de seus colaboradores e clientes. Portanto, as penalidades estabelecidas na norma são uma das sanções que poderão ser aplicadas contra àqueles que não tiverem seus procedimentos adequados à LGPD.
Posso aproveitar o momento da crise e coletar os dados dos consumidores para manter meu negócio ativo?
A resposta é não, a boa-fé, segurança e a finalidade são alguns dos princípios da LGPD, você não poderá aproveitar dos dados coletados para outra finalidade, se este for o caso.
A lei de proteção de dados veio para ficar?
Precisamos ter em mente que a proteção de dados é uma tendência mundial, diversos países em todos os continentes já possuem suas respectivas leis em vigor, alguns países estão em outros estágios, por exemplo, o Brasil está com a sua regulamentação para entrar em vigor.
É importante destacar que a adequação à norma, além de garantir a segurança dos dados pessoais, permite a abertura comercial da empresa para a relação com outros países, ou seja, uma empresa estrangeira que tem sua norma de proteção de dados vigente não poderá, ou melhor, não estará em compliance, caso realize transações comerciais com àquelas que ainda não estão adequadas. É uma cadeia de empresas adequadas garantindo a segurança umas das outras.
O uso indiscriminado das informações pessoais poderá ser um fator de risco para as empresas e todos os cidadãos. O quanto antes a empresa estiver com os seus procedimentos e governança de dados implantados, menor será o impacto futuro – indenizações e sanções – caso seja necessário o uso de alguns dados para benefício do monitoramento da saúde, por exemplo, com a requisição de dados dos funcionários como vem ocorrendo na comunidade europeia.
A requisição de dados compartilhados para avaliar os riscos de novo coronavírus entre grupos de empresas está sendo realizado na Europa. Como as empresas devem proceder neste caso?
A finalidade desta medida adotada ainda em alguns países europeus é de ter uma visão geral do comprometimento da empresa e adotar medidas emergenciais. Pela norma europeia – GDPR – exige-se a proteção e segurança necessários dentro das transações.
As empresas precisam se certificar de que os dados serão devidamente tratados dentro das respectivas governanças adotadas, até mesmo aquelas fora do continente. Perceba a importância de sua empresa estar enquadrada nesta situação aqui no Brasil – e devidamente adequada à LGPD (norma brasileira).
A falta de tais procedimentos acarretará o impedimento das transações, o que porventura recairá sobre as questões comerciais. Em resumo, seja em agosto deste ano ou em janeiro de 2021, o importante é começar as adequações o quanto antes, ainda há tempo, apesar de curto. Estas questões e outras mais minuciosas demonstram a importância e o impacto de não estar aderente à proteção de dados dos países.
Confira as últimas atualizações jurídicas sobre o impacto do Coronavírus no Brasil e no mundo →