Desde que a Organização Mundial de Saúde elevou a disseminação da Covid-19 à categoria de pandemia, um sem-número de eventos, qual uma corrente elétrica, percorre o mundo. Com isso, alguns paradigmas foram alterados, talvez para sempre. E um deles diz respeito à privacidade e segurança de dados pessoais.
Nestes tempos, em que a relevância dos dados pessoais foi à estratosfera e os riscos associados à sua utilização vêm num crescendo, as organizações têm aprendido, não sem esforço, a harmonizar o captar/tratar dados com a necessidade de lhes aplicar mais segurança.
E é por isso que este texto busca um pouco de luz sobre grave questão: que dados as companhias podem coletar de terceiros ou fontes abertas em relação a seus empregados e outras pessoas?
Ativo que dispensa apresentações, os dados pessoais estão, provavelmente, em quase todo tipo de transação, e, num mundo conectado, são tanto modelo de negócio quanto commoditie digital. Mas até há dois anos não gozavam de proteção ostensiva.
Em 2018, porém, veio a Lei nº 13.709, a Lei Geral de Proteção de Dados (LGPD), marco legal da salvaguarda de dados e informações pessoais. Inspirada, ou mais que isso, na General Data Protection Regulation (GDPR) europeia, entrou em vigor naquele ano, embora parte de seus dispositivos só serão vigentes em 2021.
Alguns conceitos estruturais se destacam na LGPD
O primeiro é o de dado pessoal: todo elemento referencial que identifique ou torne identificável um indivíduo é dado pessoal (art. 5º, inc. I); o segundo é o de titular, a pessoa a quem pertencem ou se referem os dados (art. 5º, inc. V); o terceiro é o de tratamento, qualquer ação sobre os dados, incluídas coleta, alteração, armazenamento e até eliminação (art. 5º, inc., X); o quarto é o de agente de tratamento, a pessoa, física ou jurídica, que atua sobre os dados (art. 5º, inc. IX); e o quinto é o de base legal, a justificativa que o agente utiliza para motivar o tratamento (art. 7º).
Dados pessoais são captados via coleta – ativa ou passiva -, e estão, como regra, relacionados a uma finalidade específica, ou a um grupo delas. Mas pode ocorrer que a coleta tenha por finalidade a implementação de medidas de interesse geral ou público, em caráter de excepcionalidade.
Declarado o estado de calamidade – Decreto Legislativo nº 6 -, as organizações, para proteger empregados e relacionados e resguardar suas operações, tiveram que implantar mecanismos de gerenciamento dos efeitos da pandemia. Esses mecanismos estão centrados em três pilares: administração de pessoal, controle e acompanhamento e planejamento da retomada.
Em qualquer dessas vertentes, obter, processar, analisar e utilizar dados é uma natural decorrência, e isso significa coletar e tratar dados pessoais. O problema é: embora a coleta e tratamento desses dados estejam relacionados à implantação daqueles mecanismos, não têm correspondência com as hipóteses que a LGPD formalmente prevê (art. 7º).
Mas, à parte isso, a coleta e o tratamento de dados são quase impositivos, visto que o programa de gerenciamento dos efeitos da pandemia depende disso.
Agora é saber: que dados abrangem?
Aqui, importa um princípio da LGPD (art. 6º, inc. III) – e da GDPR (Regulamento 2016/679, art. 1º, al. c): a minimização. Para ele, o agente de tratamento deve coletar apenas os dados necessários à finalidade proposta.
E por que isso? Porque a coleta de dados induz concluir que o agente vai tratá-los; ora, mais dados significa mais tratamento, e isto implica maior responsabilidade do agente. Portanto, seria no mínimo imprudente captar mais dados que o necessário.
Assim, estabelecida a pertinência da coleta, a limitação de dados captáveis e a finalidade, resta saber que classe de dados coletar e tratar. Há duas classes coletáveis para tal finalidade: de saúde e informativos.
Possível, pois, captar dados como condição de saúde pré e durante a pandemia, doenças preexistentes, fatores de risco e contaminação anterior por outros agentes viróticos; e também dados como situação familiar e risco de contato com pessoas ou grupos vulneráveis ao coronavírus.
Cada dado desses, se puder ser associado a uma pessoa ou puder identificá-la, é um dado pessoal e tem a proteção da LGPD. Mais: em se tratando de dado de saúde, é qualificado como sensível (art. 5º, inc. II), sujeito, portanto, a proteção mais incisiva.
Outro aspecto é a fonte de coleta dos dados. Há fontes abertas e fechadas, ou restritas. Fechadas são aquelas em que, por presunção, os dados devem estar; abertas são as que, por presunção, os dados podem estar. Exemplo típico das fechadas é o titular, porque se espera que seus próprios dados estejam com ele; e das abertas são as indexações obtidas via mecanismos de busca, pois se imagina que alguns dados podem estar em página ou arquivo de livre consulta.
Nas fechadas, se a origem for o titular, o recomendável é que se obtenha seu consentimento (LGPD, arts. 5º, inc. XII, 7º, inc. I, e 8º); caso contrário, a coleta deve se dar sob um indicativo de finalidade, que pode ser uma das bases legais da LGPD, um de seus princípios, ou as normas excepcionais do período.
Quanto às abertas, dispensam consentimento (LGPD, art. 7º, §4º), mas a LGPD dispõe que, seja qual for a fonte ou origem, dados têm tratamento linear quanto à segurança e privacidade (art. 7º, §6º).
De todo modo, se deseja coletar dados pessoais para o gerenciamento dos efeitos da pandemia, a empresa deve, como boa prática, criar seu protocolo de coleta de dados e informações (data and information gathering protocol), o guia de captação de dados e informações.
Ninguém sabe quanto tempo durará a pandemia, e tampouco quais serão suas consequências.
A diferença entre ser mais ou menos atingido será medida pela qualidade e eficácia do planejamento de gestão e retomada, que passa por saber que riscos podem ou devem, ou não, ser assumidos, inclusive quanto a dados pessoais. E a melhor maneira de fazer isso é com inteligência e estratégia.
*Japyassú Resende Lima é sócio consultor do escritório Lopes Pinto Nagasse.
Add new comment