O Núcleo de Proteção de Dados do Conselho Nacional de Defesa do Consumidor, em parceria com a Autoridade Nacional de Proteção de Dados (ANPD) e a Secretária Nacional do Consumidor (Senacom) publicou o guia “Como Proteger seus Dados Pessoais”, uma excelente iniciativa para a conscientização da população acerca dos cuidados com seus dados pessoais.
Não há como começar esse artigo sem alertar aqueles que participaram da elaboração desse guia e de outros que provavelmente serão feitos envolvendo a ANPD para que não se esqueçam de datar o documento. Isso é fundamental, porque o cenário legal no momento da confecção do guia é um e, se o mesmo não sofrer atualização frequente, pode ficar rapidamente desatualizado; sem a data de edição, fica difícil para o leitor ter a percepção de que o conteúdo está atualizado; se estivesse, deveria constar a data de atualização.
Focando nos aspectos relevantes do guia, ele inicia informando acerca da Lei Geral de Proteção de Dados (LGPD) e da ANPD, e elencando quais são os riscos para o consumidor quando há um tratamento ilícito de dados:
1. Monitoramento de seu comportamento e restrição a liberdades fundamentais;
2. Discriminação;
3. Prejuízos econômicos;
4. Restrição de acesso a bens e serviços;
5. Violação da intimidade;
6. Fraudes que afetam a sua identidade.
Com muita propriedade, o guia segue definindo dado pessoal como sendo qualquer “informação relacionada a pessoa natural identificada ou identificável” e esclarecendo que esse dado pessoal pertence a um titular que pode ser definido como toda pessoa natural a quem se referem os dados tratados. Portanto, qualquer pessoa é titular de dados pessoais em algum contexto.
A partir de então, o guia informa quem são os agentes de tratamento – aqueles que realizam a coleta, o uso, o compartilhamento ou outra atividade com os dados pessoais, ou seja, o controlador e o operador. Em seguida, esclarece quem é o encarregado e a sua função de facilitar a comunicação entre os agentes de tratamento, os titulares de dados e a ANPD.
Logo após, o guia define que tratamento de dados é toda operação realizada com dados pessoais, por exemplo: produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Além disso o tratamento de dados pessoais exige o enquadramento em uma das dez bases legais listadas a seguir:
1. quando há o consentimento do titular dos dados pessoais;
2. quando o controlador precisa tratar esses dados para cumprir uma obrigação legal ou regulatória;
3. quando a administração pública executa políticas públicas ou no desempenho de suas funções institucionais;
4. para a realização de estudos por órgão de pesquisa;
5. para a execução de um contrato do qual seja parte o titular, a pedido do titular dos dados;
6. para o exercício de direitos em um processo judicial, administrativo ou arbitral;
7. para a proteção da vida e da segurança física do titular;
8. para a proteção da saúde em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
9. quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; e
10. para a proteção do crédito;
Em seguida, o guia informa que o tratamento de dados pessoais deve respeitar os princípios da LGPD:
1. finalidade: o tratamento de dados pessoais deve ter um objetivo específico, claro, e ser informado ao titular. O tratamento não pode acontecer com fins genéricos;
2. necessidade: devem ser tratados apenas os dados pessoais estritamente necessários para atingir o objetivo inicialmente definido;
3. adequação: o tratamento de dados pessoais deve ser coerente com a finalidade que o motivou;
4. transparência: o titular deve ser informado de forma clara e adequada sobre os aspectos e as características relevantes do tratamento de seus dados;
5. livre acesso: o titular deve ter garantido o acesso aos seus dados pessoais, a qualquer tempo e de forma gratuita e facilitada;
6. qualidade dos dados: os dados pessoais tratados devem estar corretos, precisos e atualizados;
7. segurança: os dados pessoais devem ser tratados com as medidas físicas e lógicas necessárias à proteção, evitando acessos não autorizados;
8. prevenção: quem trata dados pessoais deve adotar medidas que evitem o tratamento em desconformidade à LGPD;
9. não discriminação: nenhum tratamento pode ser realizado para fins discriminatórios, ilícitos ou abusivos;
10. responsabilização e prestação de contas: o agente de tratamento deve garantir e demonstrar, de forma documentada, que tomou todas as medidas necessárias, eficazes e suficientes para adequar o tratamento à legislação;
Após uma sessão de perguntas e respostas muito interessante, o guia passa a discorrer sobre os direitos dos titulares de dados, comentando acerca da confirmação, do livre acesso, da correção, da anonimização, do bloqueio, da exclusão, da portabilidade, da eliminação, da revogação do consentimento, da solicitação de informações, da revisão e da solicitação de explicações.
E é após essa seção que o guia traz sugestões muito interessantes para organizações públicas e privadas no tratamento de dados pessoais:
1. Garantindo que todo tratamento de dados pessoais tenha uma base legal;
2. Mantendo registro das operações de tratamento de dados;
3. Elaborando relatório de impacto à proteção de dados pessoais quando o tratamento puder gerar riscos às liberdades civis e aos direitos fundamentais dos titulares;
4. Concebendo sistemas seguros e que protejam os dados desde a sua concepção;
5. Informando ao titular dos dados e à ANPD as violações de segurança dos dados pessoais que possam causar risco ou dano relevantes, com as devidas medidas de contenção ou mitigação;
6. Informando ao titular dos dados caso haja alguma alteração na finalidade para a coleta de dados;
7. Reparando danos causados em razão do tratamento de dados pessoais, em violação à legislação;
8. Confirmando a existência ou providenciando o acesso a dados pessoais, mediante requisição do titular;
9. Divulgando os tipos de dados coletados;
10. Descrevendo a metodologia utilizada para a coleta e compartilhamento de dados;
11. Descrevendo a metodologia utilizada para garantir a segurança das informações;
12. Avaliando de forma permanente as salvaguardas e mecanismos de mitigação de riscos adotados;
13. Indicando o Encarregado de Dados Pessoais e divulgando publicamente as suas informações de contato;
14. Aceitando reclamações, comunicações e prestando esclarecimentos aos titulares de dados;
Porém, é a próxima sessão que desvenda os mistérios do título desse guia, demonstrando o que o titular pode fazer para proteger os seus dados pessoais:
1. Criando backups dos dados armazenados, principalmente em nuvem;
2. Ativando a criptografia nos discos e mídias externas, como pen drives;
3. Criando senhas fortes, que contenham a combinação de caracteres especiais, letras maiúsculas, minúsculas e números, evitando utilizar dados pessoais ou palavras comuns;
4. Habilitando a verificação de senhas em duas etapas, sempre que disponível, principalmente em sistemas de armazenamento em nuvem e aplicativos de mensagens;
5. Instalando somente aplicativos de fontes e lojas oficiais;
6. Atualizando sempre o sistema operacional e os aplicativos;
7. Apagando os dados armazenados antes de se desfazer dos equipamentos e das mídias;
8. Desconfiando de links recebidos por aplicativos de mensagens;
9. Limitando a divulgação ou fornecimento de dados pessoais na internet, inclusive para redes sociais ou para empresas, aos casos estritamente necessários;
Por fim, o guia explica que, se houver vazamento de dados ou tratamento indevido do dado pessoal do titular, ele deve procurar a empresa; caso não consiga resolver, deve procurar a ANPD. E, se o tratamento indevido dos dados pessoais se dar em uma relação de consumo, ele deve acessar consumidor.gov.br ou se encaminhar diretamente a um dos Procons espalhados pelo país.