A entrada em vigor da Lei Geral de Proteção de Dados (LGPD) está cada vez mais próxima, mas todas as dúvidas que surgem em torno do tema estão longe de serem respondidas.
Tantas pontas soltas fazem os questionamentos se proliferarem com o passar do tempo, e uma das perguntas mais recorrentes diz respeito à legalidade do compartilhamento de dados pessoais com terceiros. Existe alguma situação que justifique essa prática tão comum entre as empresas?
Em 2017, com base no Código de Defesa do Consumidor, o Superior Tribunal de Justiça já considerava abusivas as cláusulas que obrigavam o consumidor a concordar com o compartilhamento de seus dados pessoais.
Muitas vezes essas cláusulas passam despercebidas, escondidas em extensos termos de uso, e acabam gerando grandes atritos no relacionamento do cliente com a empresa contratada.
Com a LGPD, tudo indica que esse comportamento passará a ser coibido, e as organizações têm que correr contra o tempo para adaptar seus processos e evitar o pagamento de multas que podem chegar a 2% do seu faturamento. Mas o que diz a LGPD sobre o compartilhamento de dados com terceiros? Afinal, ele é ou não legal? Quando essa atitude pode ser justificada?
Qual a definição do uso de compartilhamento de dados pessoais?
Em primeiro lugar, vamos resgatar a definição de “uso compartilhado de dados pessoais”. Segundo a LGPD, o uso compartilhado pode ser entendido como as situações em que os dados pessoais são comunicados, difundidos, transferidos internacionalmente ou interconectados.
Também entra nessa lista o tratamento compartilhado de bancos de dados pessoais feito por órgãos e entidades públicas que estejam cumprindo competências legais, ou entre órgãos públicos e entidades privadas. Nesses casos, todas as partes envolvidas devem possuir autorizações específicas para executar uma ou mais modalidades de tratamento.
Outros conceitos que precisam ser lembrados são os de “controlador de dados” – representado pela pessoa física ou jurídica que decide como e com qual finalidade os dados serão tratados – e o de “titular”, a pessoa natural a quem se referem os dados.
O que a LGPD diz sobre o compartilhamento de dados com terceiros
Caso o controlador precise comunicar ou compartilhar dados pessoais com terceiros, deve obter consentimento expresso do titular para esse fim, exceto em situações já previstas em lei que dispensam tal autorização. É importante que o pedido de consentimento seja visível e deixe explícito para o titular a finalidade da transferência de dados.
Existem situações em que o consentimento é dispensado – um desses cenários é quando os dados tratados já foram tornados públicos pelo titular.
Quando o consentimento do titular dos dados é dispensado?
Ainda assim, ficam mantidos os direitos do indivíduo e os princípios previstos na LGPD. Também é dispensado o consentimento do titular dos dados nas situações abaixo:
- Quando os dados forem indispensáveis para o controlador cumprir obrigações legais ou regulatórias;
- Quando o tratamento compartilhado de dados for necessário para a execução de políticas públicas;
- Para que os órgãos de pesquisa possam realizar estudos, sempre observando a anonimização de dados pessoais sensíveis;
- Para o exercício regular de direitos, incluindo contrato e processo judicial, administrativo e arbitral;
- Em caso de proteção da vida ou segurança física do titular dos dados, ou de terceiros;
- Para tutela de saúde, em procedimentos que devem ser realizados por profissionais ou serviços de saúde/autoridade sanitária;
- Para garantir que o titular dos dados esteja seguro e prevenido de fraudes, sempre observando o direito à informação e transparência garantido pela lei (exceto em casos onde a proteção dos dados seja fundamental para garantir direitos e liberdades).
Falando especificamente sobre a administração pública, o uso compartilhado de dados entre pessoas jurídicas de direito público é permitido com o objetivo de executar políticas públicas discriminadas na lei, respaldadas por contratos e convênios.
Segundo Kleicy Braga, especialista do time jurídico da idwall, enquanto as pessoas jurídicas de direito privado só podem compartilhar dados quando houver base legal que justifique o compartilhamento, as pessoas jurídicas de direito público podem compartilhar as informações entre si conforme o disposto nos artigos 25 e 26 da LGPD.
“Esses dispositivos demonstram que o uso de dados pelo poder público já foi pensado para ser compartilhado, tendo em vista os serviços que esses órgãos realizam”, diz Kleicy. “Neste sentido, o Presidente da República recentemente decretou a criação do ‘Cadastro Base do Cidadão‘, uma base de dados integradora das bases de dados temáticas e descentralizadas que existem atualmente, que está alinhado com o disposto na LGPD.”
Isso não significa que os princípios de proteção aos dados pessoais devem ser esquecidos, muito pelo contrário – as entidades públicas devem observar todas as disposições listadas no Art.6º da LGPD, garantindo sempre a:
- I- Finalidade
- II – Adequação
- III – Necessidade
- IV – Livre Acesso
- V – Qualidade dos Dados
- VI – Transparência
- VII – Segurança
- VIII – Prevenção
- IX – Não discriminação
- X – Responsabilização e Prestação de Contas
Já o compartilhamento de dados entre uma pessoa jurídica de direito público e uma empresa privada é proibido pela LGPD, salvo algumas exceções – quando esses dados já estiverem expostos publicamente, ou quando a execução descentralizada da atividade pública exigir a transferência para esse fim específico.
Caso o compartilhamento aconteça, deve ser informado à ANPD, que pode definir normas complementares para a comunicação ou uso compartilhado dos dados pessoais.
Situações em que o compartilhamento de dados não é permitido
Os controladores de dados pessoais estão proibidos de comunicar ou compartilhar dados pessoais sensíveis referentes à saúde com o objetivo de obter vantagem econômica – porém, podem fazê-lo em casos de prestação de serviços de saúde ou assistência farmacêutica.
Deve-se observar que as operadoras de planos privados de saúde não devem utilizar essas informações como forma de aceitar ou excluir beneficiários na contratação de qualquer modalidade.
É importante frisar que, a qualquer momento, o titular dos dados pode obter do controlador a relação de dados pessoais tratados, mediante apresentação de solicitação; assim como as informações de entidades públicas e privadas com as quais o controlador realizou o uso compartilhado dos dados.
É direito do titular também solicitar a correção, eliminação, anonimização e bloqueio dos seus dados junto ao controlador, ações que devem ser estendidas aos demais agentes de tratamento da cadeia.
Como as empresas podem se adaptar à LGPD
Destacar as solicitações de compartilhamento de dados
Considerando todas as informações acima, as empresas devem pensar em formas de explicitar e dar mais destaque às solicitações de compartilhamento de dados com terceiros, não sendo mais perdoável a inserção de cláusulas que passam despercebidas aos olhos do titular de dados.
Kleicy diz que o objetivo da LGPD não é acabar com nenhum tipo de mercado, mas coibir práticas abusivas. “Nestes casos, empresas cujas atividades demandam o compartilhamento de dados deverão começar a solicitar consentimento para este fim e, quando isso não for possível, adequar seu tratamento a outra base legal, como o legítimo interesse”, diz.
Empresas que têm o compartilhamento de dados como core business do negócio devem se antecipar e buscar a adequação para obter o consentimento prévio do titular.
Vai de cada modelo de negócio identificar seus diferenciais para fazer com que o usuário QUEIRA ceder seus dados para tratamento e compartilhamento.
Atente-se aos princípios da LGPD e ao direito a privacidade do titular
Tenha sempre em mente os princípios da LGPD, observando o direito à privacidade e autonomia do titular. Portanto, forme seus colaboradores e oriente-os sobre os procedimentos adequados em casos onde o usuário solicitar informações sobre seus dados ou a sua exclusão, correção e anonimização.
A doze meses da entrada em vigência da lei e diante dos pontos de incerteza que ainda a cercam, é fundamental ter um planejamento bem estruturado sobre o que deve ser feito na empresa para que ela fique em compliance com a Lei Geral de Proteção de Dados. Visite nosso site especial sobre o assunto e saiba mais sobre como preparar sua organização!
É fundamental verificar também se seus parceiros e fornecedores estão preparados. As soluções de Background Check, biometria facial e leitura de documentos da idwall asseguram o correto cumprimento de suas normas de compliance, inclusive com a LGPD.
Entre em contato pelo formulário abaixo e saiba como podemos automatizar seu processo de onboarding: