LGPD - Perguntas e Respostas
Perguntas e Respostas sobre o
Tratamento de Dados Pessoais pela Membran-i
O conceito de “dado pessoal” encontra-se no artigo 5º, inciso I, da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), também chamada de “LGPD”. Trata-se de “informação relacionada a pessoa natural identificada ou identificável”
Ou seja, os dados referentes a pessoas jurídicas coletados pela Membran-i não se enquadram nessa definição prevista na lei. Cabe destacar que a LGPD considera dado pessoal não apenas a informação relacionada a uma pessoa natural identificada, mas também identificável. Isto é, nome, CPF e RG não são as únicas informações consideradas dados pessoais. E-mails, dados de geolocalização e dados de navegação na web, por exemplo, também podem ser dados pessoais, caso seus titulares sejam identificáveis.
Em contrapartida, os dados anonimizados não são considerados dados pessoais, por ser
muito difícil ou praticamente impossível a associação, direta ou indireta, a indivíduos, levando-se em consideração os meios técnicos disponíveis na época do tratamento.
O conceito de “tratamento de dados pessoais” é bastante amplo. De acordo com o artigo
5º, inciso X, da LGPD, trata-se de “toda operação realizada com dados pessoais, como as
que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.
Esse conceito é fundamental, visto que, sempre que houver uma operação de tratamento de dados pessoais, aplicam-se as regras da LGPD.
O artigo 6º da LGPD estabelece que as atividades de tratamento de dados pessoais
devem observar a boa-fé, além de dez princípios.
O primeiro dos princípios é a finalidade. Qualquer atividade de tratamento de dados pessoais deve ter propósitos legítimos, específicos, explícitos e informados ao titular. Em seguida, a lei estabelece o princípio da adequação, segundo o qual o tratamento deve ser
compatível com as finalidades informadas ao titular, de acordo com o contexto do tratamento. Complementando os dois primeiros princípios, o terceiro é o da necessidade, ou seja, o tratamento deve se limitar ao mínimo necessário para a realização das finalidades previstas.
O quarto princípio é o do livre acesso, que garante aos titulares de dados a consulta facilitada e gratuita sobre a forma e a duração do tratamento. Em seguida, a LGPD prevê o princípio da qualidade dos dados, o qual garante a exatidão, a clareza, a relevância e a atualização dos dados, e o princípio da transparência, segundo o qual os titulares devem receber informações claras, precisas e facilmente acessíveis sobre as operações de tratamento e sobre os agentes de tratamento.
O sétimo princípio é o da segurança, o qual estabelece que os agentes de tratamento devem utilizar medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas. Já o princípio da prevenção prevê que sejam adotadas medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.
Por fim, os últimos dois princípios previstos na lei são os de não discriminação e de responsabilização e prestação de contas. Enquanto aquele estabelece a impossibilidade de realização de tratamento para fins discriminatórios ou abusivos, este determina que o agente demonstre a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e da eficácia dessas medidas.
Como posso exercer esses direitos?
O artigo 17 da LGPD prevê que os agentes de tratamento devem assegurar os direitos
fundamentais de liberdade, intimidade e privacidade.
Além disso, o artigo 18 da LGPD apresenta uma lista de direitos dos titulares de dados,
que podem ser exercidos a qualquer momento, mediante requisição. São eles:
legal ou regulatória pelo controlador; (ii) estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; (iii) transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos na LGPD; ou (iv) uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados;
A Membran-i disponibiliza um endereço eletrônico por meio do qual o titular dos dados
pode exercer os direitos mencionados acima: (lgpd@membran-i.com).
Sim. Apesar de o modelo de negócio da Membran-i não ser voltado para a
exploração comercial dos dados pessoais dos usuários, a empresa realiza algumas
operações de tratamento de dados pessoais.
Por isso, a Membran-i se enquadra nas definições de “controlador” (“pessoa natural ou
jurídica, de direito público ou privado, a quem competem as decisões referentes ao
tratamento de dados pessoais”) e “agente de tratamento” (“o controlador e o operador”).
Cada operação de tratamento de dados pessoais deve ocorrer com base em uma
justificativa legítima prevista na LGPD. O consentimento do titular de dados é uma dessas
bases legais, mas não é a única.
O artigo 7º da LGPD apresenta dez bases legais que podem ser usadas pelos agentes de tratamento de dados. Assim, o tratamento somente pode ser realizado nas seguintes hipóteses:
necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
Deve-se ressaltar que o fato de alguns dados serem de acesso público, ou terem
se tornado públicos por vontade do próprio titular, não exclui completamente a proteção da LGPD.
Ao tratar de dados de acesso público, como nome e CPF, por exemplo, o parágrafo 3º do artigo 7º da LGPD estabelece o seguinte: “O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização”.
Já ao tratar de dados tornados manifestamente públicos pelo titular, como aqueles inseridos em redes sociais utilizadas para fins profissionais, como LinkedIn, por exemplo, o parágrafo 4º do artigo 7º prevê o seguinte: “O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização”.
Quais são as bases legais desse tratamento?
Sim. Para fins de marketing com conteúdo direcionado, a Membran-i solicitará o consentimento dos titulares de dados ao se inscreverem nos formulários do site. Nesse caso, o consentimento será obtido por meio de opção opt in em formulário. No mais, para envios de newsletters e e-mails marketing a Membran-I se pautará também na base legal do legítimo interesse, podendo coletar e-mails de leads qualificados para enviar suas informações.
Caso o titular de dados opte por não receber mais esse conteúdo, será simples revogar o seu consentimento. Em cada e-mail, a Membran-i disponibilizará a opção de exclusão da lista.
Sim. A Membran-i realiza tratamento de dados para prospecção passiva e ativa de
clientes.
Em relação à prospecção ativa, a Membran-i coleta dados de potenciais clientes por meio de perfis presentes em redes sociais públicas, como o LinkedIn. Caso o usuário disponibilize publicamente seu nome e e-mail, há uma expectativa legítima de que interessados em realizar negócios entrem em contato. Por isso, a base legal utilizada neste caso é a do legítimo interesse. Além disso, pode-se aplicar neste caso o parágrafo 4º do artigo 7º, que dispensa a exigência de consentimento caso os dados tenham se tornado manifestamente públicos pelo próprio titular.
Quanto à prospecção passiva, a Membran-i coleta dados de pessoas que se mostrem interessadas nos serviços prestados pela empresa, seja durante eventos, formulários e até mesmo pelo site da Membran-i. Nesse caso, a situação é mais simples do que a prospecção ativa, podendo-se aplicar tanto a base legal do legítimo interesse quanto a do consentimento.
Além disso, em situações nas quais o próprio titular entra em contato com a Membran-i, seja por telefone, e-mail ou por outro meio de contato, presume-se o interesse em conhecer os serviços prestados pela empresa, de modo que o consentimento está presente.
Deve-se ressaltar que, a qualquer momento, o titular de dados poderá requerer que a Membran-i não entre mais em contato.
Sim. Para as atividades de cadastramento e liberação de acesso aos usuários, o titular poderá fornecer dados como nome completo, e-mail, CPF e cargo na empresa. Eventualmente, a Membran-i pode exigir outros dados, por motivos de segurança ou de operacionalidade dos serviços prestados pela empresa.
Como esses dados são indispensáveis para que a Membran-i possa prestar os serviços contratados e emitir notas fiscais, a base legal é da execução de contrato. Nesse sentido, a coleta e o tratamento desses dados respeitarão as finalidades estabelecidas nos termos de uso e na proposta comercial, sendo que o acesso dessas informações, até para os colaboradores da Membran-i, será controlado.
Sim. Os dados de navegação, as páginas ou outro conteúdo que os usuários acessam ou criam, suas buscas, participações em pesquisas ou fóruns e outras ações relativas ao
desempenho de suas negociações na plataforma são utilizados com o fim de aprimorar o sistema de inteligência artificial da plataforma. Nesse caso, a base legal que fundamenta esse tratamento é a do legítimo interesse.
Sim, mas esses perfis são das empresas, não das pessoas físicas. Os dados utilizados são as opções dos usuários ao realizar negociações e dados de navegação na plataforma. A Membran-i reúne os dados dos usuários e representantes de determinada empresa, bem como outros dados não-pessoais, para formar perfis comportamentais dessas empresas. Com base nesses perfis, a Membran-i poderá personalizar e aprimorar a plataforma, bem como melhorar o resultado das negociações. Nesse caso, a base legal que fundamenta esse tratamento é a do legítimo interesse.
Quais são as bases legais desse tratamento?
Sim. A Membran-i compartilha dados pessoais com servidores de armazenamento em nuvem sediados nos Estados Unidos da América. Nesse caso, a base legal que fundamenta esse uso é o da execução de contrato, visto que a Membran-i depende dos serviços prestados por esses servidores para garantir o funcionamento da empresa e da própria plataforma.
Além disso, há uma outra situação em que a Membran-i recebe dados pessoais de terceiros. A Membran-i estabelece contratos com integrados tecnológicos que utilizam a plataforma desenvolvida pela empresa no formato white label. Nesse caso, a Membran-i tem acesso aos dados cadastrais dos usuários que se cadastram por meio dessa plataforma white label, bem como tem acesso às atividades desses usuários dentro da plataforma. A base legal que fundamenta esse tratamento de dados é a de execução de contrato, já que a Membran-i precisa acessá-los para manter a plataforma em operação.
Por fim, os planos ou propostas comerciais de alguns clientes da plataforma podem prever a possibilidade de requerer a expedição de um relatório de auditoria com detalhes da rodada de negociações, como os nomes das empresas que participaram da rodada, as condições de oferta e de demanda apresentadas e os nomes dos colaboradores das empresas compradoras na rodada. A base legal que fundamenta esse tratamento de dados é a de execução de contrato.
Cabe ressaltar que a Membran-i não comercializa dados pessoais, nem os utiliza para fins de publicidade ou para a criação de perfis comportamentais dos usuários em si, mas apenas para criar perfis das empresas a que eles estão vinculados.
Sim. Em conformidade com as regras previstas nos artigos 46 e seguintes da LGPD, a Membran-i adota medidas de segurança, técnicas e administrativas para proteger os dados pessoais tratados.
A Membran-i estabelece níveis de acesso diferentes a esses dados pessoais, dependendo do cargo que seus funcionários e prestadores de serviço ocupam. Isto é, aqueles que trabalham na área comercial acessam os dados necessários para o exercício de sua atuação, que são diferentes daqueles acessados pelos que compõem a área operacional, por exemplo.
Além disso, a Membran-i adota como política a exclusão de dados após 5 (cinco) anos inutilizados, caso não haja justificativa para mantê-los.
Apesar de adotar medidas razoáveis de proteção, levando-se em consideração um balanceamento entre riscos e objetivos de uso dos dados, a Membran-i também está preparada para reagir de forma célere a eventuais incidentes de segurança que possam acarretar riscos ou danos relevantes aos titulares. Assim, há uma orientação interna no sentido de que, havendo a constatação de algum incidente de segurança, a Membran-i comunicará em prazo razoável os titulares dos dados e buscará minimizar os danos, nos termos do artigo 48 da LGPD.
Por fim, a Membran-i realiza medidas educativas para conscientizar todos os seus funcionários e prestadores de serviço quanto às regras previstas na LGPD e quanto aos cuidados que devem ser tomados para a proteção de dados dos titulares.
Além disso, cabe ressaltar novamente que a Membran-i coleta uma quantidade pequena e pouco diversa de dados pessoais, de modo que os riscos de prejuízo aos titulares de dados caso ocorra algum incidente de segurança são baixos.
Qual a sua função?
Sim. De acordo com o artigo 5º, inciso VIII, da LGPD, encarregado é a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.
De acordo com o artigo 41 da LGPD, todo controlador deve indicar um encarregado, disponibilizando seus dados de contato, de forma pública, clara e objetiva, preferencialmente no sítio eletrônico do controlador. No caso da Membran-i, o encarregado é Florent Charles Desidério, que pode ser contatado pelo seguinte e-mail: lgpd@membran-i.com.
O encarregado da Membran-i está preparado para exercer todas as atividades previstas no parágrafo 2º do artigo 41, isto é: I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; II - receber comunicações da autoridade nacional e adotar providências; III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas
complementares.
Por fim, deve-se ressaltar que a Membran-i sempre se preocupou com a proteção dos dados pessoais de seus usuários, limitando a coleta apenas ao mínimo necessário, antes mesmo de a LGPD entrar em vigor. Como foi explicado acima, o baixo número e a pouca diversidade de dados coletados são fatores que diminuem os riscos de prejuízos caso ocorra algum incidente de segurança.
De todo modo, após a LGPD entrar em vigor, a Membran-i buscou formalizar ainda mais suas práticas , especificando claramente as finalidades dos tratamentos de dados e as bases legais que as justificam. Além disso, a empresa garante aos titulares de dados o exercício de todos os direitos previstos na LGPD, disponibilizando meios de contato facilitado com o encarregado.
Todos os direitos reservados ©2021 Membran-i