O que os brasileiros devem exigir das empresas quando o assunto é a proteção de dados pessoais?
Confira cinco perguntas que os cidadãos devem fazer a respeito da segurança das informações pessoais que as instituições armazenam
O que podemos exigir de toda a empresa, agora com a LGPD? A Lei Geral de Proteção de Dados entrou em vigor no dia 18 de setembro de 2020, há quase dois anos e até hoje a maioria das empresas ainda não começou o processo de adequação. No setor público, 76,7% dos órgãos federais não adotaram ainda a LGPD e 24% não têm sequer uma Política de Segurança da Informação, segundo Relatório TC 039.606/2020-1 apresentado pelo ministro Augusto Nardes, do Tribunal de Contas da União (TCU). Mas parte dessa demora das empresas também se deve ao fato do titular, o dono do dado pessoal, ou seja, eu e você, não exigirmos nossos direitos. Mas quais direitos a LGPD – Lei Geral de Proteção de Dados nos deu?
Dentre tantos, vale destacar apenas um: agora a proteção de dados pessoais é direito e garantia fundamental e está na Constituição Federal, no artigo 5°, inciso LXXIX. É tão importante quanto o direito de ir e vir, por exemplo. Mas o que o brasileiro deve exigir das empresas quanto o assunto é a proteção de seus dados pessoais? A advogada especialista em LGPD Silvia Brunelli, Data Protection Officer (DPO) e relações governamentais da Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD), elenca cinco perguntas que todos os brasileiros podem exigir das empresas:
- Perguntar o motivo pelo qual a empresa pediu seu CPF: quem nunca foi a um supermercado e uma farmácia e em que foi pedido seu CPF? Você já se perguntou o que eles fazem com o seu dado coletado? Com qual finalidade e qual a hipótese de tratamento de acordo com a determinação da LGPD? Pois bem, a partir de agora, entenda que toda empresa deve informar a finalidade, a hipótese de tratamento, se há compartilhamento e quais as medidas de segurança para que esse dado não seja vazado ou tenha acesso de pessoa não autorizada. A partir de agora, pergunte tudo isso. Se o atendente não souber responder, não entregue seus dados. Eles valem muito mais do que você imagina. Essa exigência é permitida conforme o Art. 6, I – da LGPD, Princípio da Finalidade.
- Exigir local de fácil acesso e gratuito para exercer os seus direitos: de acordo com o artigo 9° e 18, ambos da LGPD, o titular dos dados pessoais tem uma série de direitos que devem ser exercidos diretamente pelo titular perante a empresa que trata seus dados, tecnicamente chamado na LGPD de Controlador. Esse acesso deve ser gratuito e facilitado. Lá o titular pode, por exemplo, revogar consentimento dado, pedir correção de dados e até mesmo exclusão de seus dados, quando for o caso. Então, titular, exija isso das empresas.
- Pedir para falar com o DPO/Encarregado de Proteção de Dados Pessoais: Esse profissional na LGPD é chamado de encarregado pelo tratamento de dados pessoais ou DPO. Ele é responsável por responder aos titulares todas as questões referentes ao tratamento de seus dados pessoais, atender solicitações, reclamações e adotar as providências. Esse profissional deve ser qualificado, uma vez que a LGPD é muito complexa; seu nome e contato devem constar, preferencialmente, no site da empresa. Quando a empresa não tiver site, deve estar em local de destaque no estabelecimento físico. Essa exigência é permitida conforme o Art. 41 – da LGPD, toda empresa deverá nomear um encarregado pelo tratamento de dados pessoais.
- Não aceitar pedidos de dados desnecessários: Muitas empresas, que ainda não cumprem a LGPD, pedem dados demais para uma finalidade sobre a qual não haveria necessidade. Então se você for fazer um cadastro para participar de um evento online e pedirem dados demais, desconfie. A coleta excessiva e desnecessária contraria o princípio da necessidade da Lei Geral de Proteção de Dados. Não entregue dados desnecessários. Essa exigência é permitida conforme o Art. 6º, III – da LGPD, Princípio da Necessidade.
- Não aceitar pedido de consentimento forçado: de acordo com a Lei Geral de Proteção de Dados, o consentimento deve ser manifestação livre do titular. Qualquer site ou documento onde você, titular, tiver que aceitar forçosamente uma cláusula de tratamento de seus dados é considerada nula. Também será nulo qualquer consentimento dado pelo titular resultante de conteúdo enganoso, abusivo ou no qual não haja total transparência sobre a finalidade e hipóteses do tratamento do dado coletado. Outro aspecto importante é que qualquer consentimento genérico também é considerado nulo. O consentimento deve ser dado para finalidades específicas. O que mais se vê hoje na internet são consentimentos forçados e genéricos. Saiba que eles são nulos! Essa exigência é permitida conforme o Art. 8º – da LGPD, Manifestação de Vontade para Consentimento.
Com essas perguntas, a população pode fazer uma pressão para que todas as empresas e o setor público se mova e saiba que proteger os nossos dados pessoais não é um diferencial ou favor, mas uma obrigação. Já existem diversas empresas sendo autuadas por não respeitarem a LGPD (veja o Portal de Violações LGPD). Em resumo, a LGPD trouxe esses e diversos outros direitos e obrigações para as empresas. De modo geral: suspeitou que a empresa esta vendendo os seus dados, te abordou sem sua autorização ou expôs algum dado pessoal de modo indevido? Peça na mesma hora para falar com o DPO da empresa. Essa é a principal dica. Se começarmos a praticá-la, as empresas entenderão que a Lei Geral de Proteção de Dados Pessoais é um direito de todos. E acompanhe esta coluna aqui na Jovem Pan. Em breve divulgarei a Parte II, com outros direitos que a LGPD nos permite exigir das empresas.
Quer se aprofundar no assunto, tem alguma dúvida, comentário ou deseja compartilhar sua experiência nesse tema? Escreva para mim no Instagram @davisalvesphd.
*Esse texto não reflete, necessariamente, a opinião da Jovem Pan.
Comentários
Conteúdo para assinantes. Assine JP Premium.