Este texto foi escrito por Mariana Caparelli, Data Protection Officer do Nubank (DPO), Gabriela Moribe, Sofia Chang e Victor Dotti, advogados da área de proteção de dados e privacidade do Nubank.
Quais dos seus dados pessoais estão sob responsabilidade de uma empresa? A resposta pode variar, mas a LGPD deixa uma coisa muito clara: essa empresa te deve transparência sobre como usa seus dados e também deve cumprir outras regras previstas na lei para fazer uso desses dados.
Como assim?
A Lei Geral de Proteção de Dados (LGPD) foi criada para dar mais clareza às pessoas sobre quais dados pessoais as instituições possuem sobre elas e garantir que essas empresas – públicas ou privadas, micro ou grandes – tratem esses dados seguindo certas regras específicas.
Em linhas gerais, portanto, a LGPD busca dar às pessoas maior controle sobre a forma como seus dados pessoais são tratados – incluindo a coleta desses dados, seu armazenamento, com quem eles são compartilhados, as finalidades para as quais são utilizados e o seu descarte.
O “juridiquês” pode ser complexo, por isso, veja abaixo algumas das perguntas mais frequentes sobre a LGPD respondidas de um jeito descomplicado.
Resumindo: o que você precisa saber sobre a LGPD
Nesse texto, a gente explica os princípios da LGPD, as bases legais que autorizam o tratamento dos dados pessoais, o que as empresas podem fazer com esses dados e quais os direitos dos titulares. Em resumo:
- As empresas podem coletar dados pessoais, mas para isso devem respeitar uma das bases legais previstas na LGPD;
- Você tem direitos sobre seus dados e pode pedir à empresa que informe quais dados pessoais ela possui sobre você;
- Excepcionalmente, em alguns casos, a empresa não tem a obrigação de informar todos os dados pessoais que possui ou os seus usos – para cumprir com obrigações legais, ou quando os dados forem gerados por atividades protegidas pelo segredo de negócio, por exemplo;
- A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão fiscalizador do cumprimento das regras da LGPD.
Pequeno glossário da LGPD
Não dá para entender a LGPD sem compreender algumas palavras-chave dela.
O que são dados pessoais?
Dados pessoais são aquelas informações que identificam (como nome, e-mail e foto) ou permitem identificar uma pessoa (como hábitos de navegação e preferências de consumo). Isso inclui o conjunto de informações que, se combinadas, podem levar à identificação de alguém (como o cruzamento de dados como endereço, idade, nacionalidade, profissão em determinados contextos específicos).
Alguns exemplos de dados pessoais são:
- Nome;
- RG;
- CPF;
- Data e local de nascimento;
- Telefone;
- Endereço residencial;
- Localização via GPS;
- Renda; e
- Histórico de pagamentos.
O que são dados pessoais sensíveis?
Dados pessoais sensíveis exigem um cuidado ainda mais rígido segundo a LGPD, já que podem revelar aspectos que potencialmente causariam algum tipo de discriminação.
São considerados dados pessoais sensíveis:
- Dados sobre a origem racial ou étnica, convicções religiosas e opiniões políticas;
- Dados sobre filiação sindical ou organização de caráter religioso, filosófico ou político;
- Dados genéticos e biométricos;
- Dados relacionados à saúde ou à vida sexual.
O que é tratamento de dados pessoais?
Na LGPD, a palavra “tratamento” se refere praticamente a tudo o que o agente de tratamento – que pode ser uma empresa, um órgão do governo ou outro tipo de organização – faz com os dados pessoais.
Isso inclui coletar seus dados (por exemplo, através de um formulário de cadastro), armazenar esses dados em seus sistemas, em nuvem ou arquivos físicos, compartilhar com terceiros (fornecedores, parceiros e até mesmo autoridades competentes), entre outras atividades relacionadas ao dado.
O que a LGPD diz?
A LGPD lista 10 princípios que devem ser considerados em todas as situações que envolvem o tratamento de dados pessoais – ou seja, são os princípios que norteiam como as organizações devem utilizar esses dados.
Abaixo, veja em detalhes uma explicação sobre cada um dos princípios:
Os princípios da LGPD
1. Finalidade do tratamento. Ele determina que, ao tratar dados pessoais, a empresa deve indicar claramente quais são as finalidades do tratamento, as quais devem ser legítimas. Por exemplo: um aplicativo de delivery pode coletar e guardar o seu endereço para te entregar comida, mas precisa deixar isso claro (como em sua política de privacidade).
2. Adequação à finalidade divulgada. Ou seja, o tratamento dos dados pessoais tem que ser compatível com as finalidades que foram previamente informadas a você.
3. Necessidade. Ou seja, o uso de dados pessoais deve ser limitado àqueles essenciais para alcançar a finalidade para a qual o dado foi obtido pela organização. Esse princípio determina também que devem ser usados o mínimo de dados necessários para atingir a referida finalidade.
4. Acesso livre, fácil e gratuito das pessoas aos seus dados pessoais e à indicação das formas como são tratados. Em outras palavras, as organizações devem garantir e facilitar a consulta sobre a forma, duração e segurança dos dados pessoais.
5. Qualidade dos dados, mantendo-os exatos e atualizados.
6. Transparência, disponibilizando informações claras e acessíveis sobre o tratamento e seus responsáveis. As pessoas devem ter a garantia de receber informações precisas sobre o tratamento, ciente de que a empresa pode resguardar segredos industriais e comerciais (falamos mais sobre isso no item “Qual é o seu direito ao pedir seus dados?” do menu).
7. Segurança para evitar situações acidentais ou ilícitas (como invasão, destruição ou perda dos dados). Esse princípio indica que a instituição deve usar técnicas de segurança eficazes para preservar os dados em um ambiente seguro.
8. Prevenção contra danos ao titular do dado pessoal e a outros envolvidos – transmite a ideia de que as organizações devem atuar de forma preventiva e diligente e não de forma reativa.
9. Não discriminação, impedindo que uma organização faça uso de dados pessoais para propósitos que sejam ilicitamente ou abusivamente discriminatórios
10. Responsabilização do agente, que é obrigado a demonstrar a eficácia das medidas adotadas para a proteção dos dados pessoais. Em outras palavras, a instituição deve prestar contas das medidas que toma para proteger os dados pessoais e a eficácia de tais medidas.
Por que (e quando) uma empresa pode coletar seus dados pessoais?
Há vários motivos para uma empresa coletar e usar dados pessoais: existem dados necessários para o próprio negócio funcionar (dados que a empresa precisa para fornecer seu produto, por exemplo), para enviar promoções que podem ser de interesse do cliente ou para cumprir com obrigações legais.
O que autoriza as organizações a tratarem dados pessoais dos titulares são as bases legais da LGPD.
Bases legais são hipóteses elencadas pela lei e nas quais o tratamento de dados deve ser enquadrado – em termos menos técnicos, são uma espécie de autorização jurídica para o tratamento. Com a LGPD em vigor, se uma empresa tratar dados de uma forma que não se encaixe em nenhuma das bases legais, ela poderá ser punida.
Além do consentimento, uma das bases legais previstas pela LGPD é a que autoriza o tratamento de dados pessoais para permitir o cumprimento de um contrato. Por exemplo, se determinado cliente contrata uma empresa de mudança para transportar os seus móveis, essa empresa precisa dos endereços de origem e destino para conseguir fazer o transporte e cumprir o contrato assinado.
Outra base legal é a do legítimo interesse, que determina que os dados pessoais podem ser usados para atender interesses legítimos da empresa e dos titulares, desde que haja um balanceamento de interesses para aquele tratamento. Por exemplo: é do interesse das empresas ter o e-mail de seus clientes para enviar conteúdo promocional, mas também é interesse e da expectativa do cliente receber essas promoções, garantindo, por exemplo, o direito do cliente de se opor ao recebimento desse tipo de comunicação.
Outras bases legais da LGPD autorizam o tratamento de dados pessoais nos seguintes casos:
- Consentimento do titular;
- Cumprimento de obrigações legais ou regulatórias;
- Execução de políticas públicas (aplicável somente para a administração pública);
- Realização de estudos e pesquisas, por órgãos especializados;
- Apresentar defesa ou provas em processos judiciais, administrativos ou arbitrais;
- Proteger a vida ou integridade física do titular ou de um terceiro (por exemplo: quando o uso dos dados pessoais serve para medidas de segurança);
- Tutelar a saúde (para os casos de atendimento hospitalar, por exemplo);
- Proteção ao crédito.
Ou seja: em qualquer uma das situações acima, as organizações têm o direito de coletar e usar dados das pessoas. As bases legais servem para regularizar esse uso de dados pessoais, evitar abusos e criar uma relação mais justa e transparente com os titulares de dados, neste caso, consumidores.
Quais são os seus direitos em relação aos seus dados pessoais?
A LGPD garante às pessoas o direito de receber informações sobre quais dados a empresa tem sobre elas e como eles são tratados. O acesso a essas informações deve ser fácil e gratuito e elas precisam ser explícitas e claras.
Isso não significa, no entanto, que a organização necessariamente deverá fornecer todos os dados pessoais e todas as informações solicitadas. A LGPD garante que a instituição pode resguardar segredos industriais e comerciais. Ou seja: se uma informação for considerada estratégica para o negócio, a empresa tem o direito de não divulgá-la.
Um exemplo prático: seguradoras consultam diversos dados pessoais para, com base no perfil de uma pessoa, definir os valores e abrangências de uma apólice de seguro. Se a pessoa quiser saber exatamente quais dados são utilizados para o cálculo de determinado produto, no entanto, a seguradora provavelmente não revelará todas as informações processadas para efetuar este cálculo, já que a disponibilização desses dados seria um problema se seus concorrentes soubessem da inteligência adotada para definição de valores.
Também são direitos dos titulares dos dados:
- Revogar o consentimento dado para alguma forma de tratamento de dados pessoais;
- Solicitar a eliminação de seus dados, caso não haja motivo ou necessidade para a sua manutenção (em alguns casos, como para cumprir obrigações legais ou regulatórias, os dados devem permanecer armazenados);
- Solicitar a correção de dados desatualizados ou errados;
- Solicitar a indicação dos terceiros com quem a empresa compartilhou os dados pessoais do titular.
Quem é a Autoridade Nacional de Proteção de Dados?
Conhecida pela sigla ANPD, a Autoridade Nacional de Proteção de Dados é o órgão responsável por fiscalizar o cumprimento da LGPD, realizar investigações e aplicar penalidades quando ela não for seguida e orientar organizações e titulares sobre a interpretação da lei.
Além disso, ela também é responsável por regulamentar alguns detalhes da LGPD que ainda dependem de aprimoramento.
Vale lembrar: a LGPD tem por objetivo proteger os direitos fundamentais de liberdade e de privacidade das pessoas, garantindo o livre desenvolvimento da personalidade da pessoa natural, isso em um mundo cada vez mais tecnológico e conectado. A LGPD tem ainda como fundamento o respeito à privacidade e dentre seus princípios, positivou a transparência aos titulares dos dados pessoais, para que estes tenham a garantia de obter informações claras sobre o tratamento de seus dados.
No Nubank levamos privacidade a sério e tratamos dados pessoais sempre com segurança e em conformidade com a lei e os regulamentos a ela relacionados. Embora a LGPD tenha sido de grande importância para concentrar regras e cuidados com relação a dados pessoais, muitas de suas premissas já estavam em leis setoriais. No setor financeiro, por ser um setor fortemente regulado, além da LGPD, coexistem muitas regras sobre proteção de dados e que norteiam o Nubank desde a sua criação.
Leia também:
Nubank trouxe mais inclusão e educação financeira para brasileiros, aponta relatório
23 milhões de brasileiros conseguiram economizar graças ao Nubank
Este conteúdo faz parte da missão do Nubank de devolver às pessoas o controle sobre a sua vida financeira. Ainda não conhece o Nubank? Saiba mais sobre nossos produtos e a nossa história.