A Lei Geral de Proteção de Dados (LGPD), entrou em vigor em 18 de setembro deste ano e sanções e multas já podem ser aplicadas às empresas que não se adequarem à nova legislação.
A LGPD trata da proteção dos dados pessoais de cidadãos que estejam em território brasileiro, procurando resguardar a privacidade e garantir a cada cidadão o controle sobre o uso das próprias informações.
Dado o grande número de dados coletados por empresas de todos os ramos, a gestão de documentos foi diretamente afetada pela nova lei, afinal, até mesmo falhas nos protocolos de segurança são passíveis de sanção por parte do Estado.
Devido a amplitude e complexidade do tema, muitas pessoas estão com dúvidas sobre que tipo de dados fazem parte da LGPD e como documentos que contenham esses dados devem ser geridos, por isso preparamos este post com perguntas e respostas sobre a relação entre a LGPD e a gestão de documentos.
Quais dados são protegidos pela LGPD?
A LGPD divide os dados em duas categorias: dados pessoais e dados sensíveis e eles são definidos da seguinte maneira no artigo 5º:
I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
A LGPD trata apenas de documentos digitais?
Não. Embora tenha sido pensada para o ambiente digital, a LGPD não distingue documentos nato-digitais de documentos físicos e ambos precisam estar de acordo com o disposto na LGPD, conforme é esclarecido logo no artigo 1º:
Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
O que é tratamento de dados?
A definição de tratamento de dados consta no artigo 5º:
X – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Destacamos os termos arquivamento e armazenamento justamente para deixar claro que a gestão de documentos está diretamente envolvida com a LGPD.
Muitas das etapas da digitalização, organização e gestão documental agora estão sob o disposto na Lei Geral de Proteção de Dados, por isso, ao contratar uma empresa terceirizada para realizar a gestão documental da sua empresa é necessário ter certeza que ela já está em conformidade com as novas regras, posto que ambos serão responsáveis solidários pelo tratamento de dados e responderão judicialmente por ele.
Lembramos que a garantia de prevenção à fraude e à segurança do titular são parte das obrigações dos que coletam dados pessoais e sensíveis de outrem.
O que é Controlador, Operador e Encarregado?
O operador, o controlador e o encarregado são os três responsáveis pelo tratamento de dados. O artigo 5º os define da seguinte forma:
VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
VIII – encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Aqui a responsabilidade solidária que citamos anteriormente fica mais clara. Quando uma companhia contrata outra empresa para digitalizar documentos, por exemplo, uma assumirá o papel de Operadora e a outra de Controladora, ou seja, as duas são responsáveis pelas informações com as quais estão lidando.
É preciso ter processos de segurança e sigilo que garantam o anonimato das pessoas cujos dados estão sendo tratados, proteção contra vazamentos e um protocolo de exclusão de dados. Também é importante fazer o descarte dos papéis de forma correta, no caso de documentos físicos, para que informações importantes não acabem caindo nas mãos de golpistas, por exemplo.
Outro ponto importante é a solicitação da exclusão de dados pelo titular. Tanto a empresa que originalmente coletou os dados, quanto a que está responsável pela sua gestão devem fazer a exclusão dos dados.
Qual o prazo para as empresas se adaptarem as novas regras?
Em tese, desde o dia 18 de setembro de 2020, quando a lei entrou em vigor, sanções de natureza cível já podem ser aplicadas pelas instituições responsáveis, como o Poder Judiciário e o Procon.
Ou seja, caso a sua empresa ainda não tenha se adequado à LGPD, é preciso se apressar para colocar os seus processos em dia e treinar seus colaboradores para lidarem com dados pessoais e sensíveis da maneira exigida pela lei.
A LGPD vale apenas para empresas e bancos de dados localizados no Brasil?
Não, a LGPD é válida para dados de pessoas naturais que estejam no Brasil, independentemente da localização das empresas e bancos de dados. Todo o capítulo V da LGPD é sobre a internacionalização de dados e em quais condições é possível fazer a transferência de informações para outros países.
É possível terceirizar a gestão de documentos?
Sim. Como já discutimos, as duas empresas se tornarão solidárias quanto ao tratamento dos dados e ambas deverão estar em acordo com o disposto na lei.
Estas são apenas algumas das questões mais importantes referentes à LGPD, se você ficou com dúvidas ou quiser saber mais sobre como a gestão documental é afetada pela LGPD, deixe um comentário ou entre em contato conosco!