TRANSPARÊNCIA
Viabilidade Jurídica
Esse documento trata da viabilidade jurídica das atividades que realizamos à luz da legislação brasileira, especialmente diante da vigência da Lei Geral de Proteção de Dados (Lei n. 13.709/2018 ou “LGPD”).
Vive-se hoje a chamada data driven economy ou economia baseada em dados. Nesse contexto, naturalmente, empresas, assim como entidades públicas, buscam reunir e analisar quantidade significativa de dados, para extrair inteligência, modelar suas atividades e, assim, potencializar o alcance de resultados pretendidos, para diversas finalidades, mais ou menos nobres.
Contexto Geral
Para retratar a importância de análises preditivas baseadas em dados, citem-se estudos desenvolvidos com o objetivo de alertar a ocorrência de catástrofes naturais e, com isso, minimizar seus indesejados impactos. É o caso da iniciativa promovida pela empresa americana Google intitulada Google Public Alerts, que consiste em programa, viabilizado por meio de parcerias com agências governamentais de diversos países, que torna possível a análise, em tempo real, da ocorrência de eventos climáticos relevantes e emissão instantânea de alertas para a população situada nas regiões afetadas.
No cenário brasileiro, o uso de dados também permeia outras atividades de grande relevância, a exemplo de ações promovidas com o objetivo de (i) prevenir a ocorrência de crimes de corrupção (como é o caso do Portal da Transparência disponibilizado e mantido pelo Governo Federal) ou (ii) combater a prática de crimes de lavagem de dinheiro e financiamento ao terrorismo, com o amparo de regulamentações do Banco Central do Brasil que estabelecem, entre outros, o dever das instituições financeiras em reportar quaisquer transações com características suspeitas.
Em paralelo, há legislação específica que disciplina a atividade de tratamento de dados pessoais e se pauta, principalmente, na ideia de autodeterminação informativa, que prega o controle do fluxo informacional por parte do titular de dados. Assim, há nítida tensão entre o regramento jurídico e a atividade realizada por data providers, o que pode muitas vezes conduzir à falsa conclusão de que esta atividade seria proibida ou contrária à lei. Entretanto, a verdade é que, ainda que haja desafios impostos pela lei (como era de se esperar), é plenamente possível que a atividade dos data providers seja modelada de forma compatível com a lei, a partir do estabelecimento de algumas balizas e aplicação de medidas a mitigar eventuais riscos, conforme veremos a seguir, e assim continuar a produzir valor a partir da análise destas informações.
Viabilidade jurídica das atividades realizadas pela NOVA VIDA
De início, vale pontuar que o principal diploma jurídico que rege as atividades de tratamento de dados pessoais no país é a já citada Lei Geral de Proteção de Dados (Lei Federal n. 13.709/2018), mais conhecida por sua sigla LGPD.
Assim, ao mergulharmos na análise de viabilidade das atividades de coleta e tratamento de dados pessoais realizadas pela NOVA VIDA no contexto anteriormente destacado, temos de levar em conta os fundamentos da disciplina da proteção de dados pessoais estabelecidos pela lei. Nesse sentido, verifica-se que – além do respeito à privacidade e da já mencionada autodeterminação informativa (art. 2º, I e II) – a LGPD destaca também o desenvolvimento econômico e tecnológico e a inovação e a livre iniciativa (art. 2º, V e VI).
Portanto, decorre da arquitetura da LGPD o ideal de equilíbrio entre os valores mencionados, uma vez que estes são colocados em pé de igualdade. Tal configuração releva o entendimento do legislador de que tais valores tratados podem coexistir, em harmonia, e não de que seriam incompatíveis ou contrapostos. Não há que se falar, portanto, em desconformidade absoluta de modelos de negócio que buscam máxima extração de valor de dados pessoais para incrementar objetivos de natureza negocial meramente porque colocariam em xeque direitos como o de privacidade e proteção de dados. Ora, se é verdade que tais atividades trazem desafios aos direitos citados, a solução não seria aniquilá-las, mas criar para os agentes que as exploram o ônus de – a partir de critérios de razoabilidade e proporcionalidade – mapear riscos e traçar estratégias para mitigá-los, de maneira a restaurar o equilíbrio em eventuais cenários de descompensação.
Nessa busca de conformidade, em nossa leitura, o caminho desenhado pela lei passa pela (i) observância dos princípios para o tratamento de dados pessoais; (ii) enquadramento das atividades realizadas às bases legais; (iii) garantia dos direitos dos titulares; e (iv) aplicação de medidas técnicas e organizacionais aptas a proteção dos dados tratados.
Assim a NOVA VIDA estruturou sua jornada de adequação, que será detalhada a seguir.
Aplicação dos princípios para o tratamento de dados pessoais
As atividades da NOVA VIDA são rigorosamente orientadas pelos princípios para o tratamento de dados pessoais trazidos pela LGPD em seu artigo 6º:
Definição
Os objetivos das atividades de tratamento de dados pessoais devem ser justos, lícitos e sempre alinhados com as informações prestadas ao titular.
Significado para a NOVA VIDA
Ainda que os reais propósitos para uso dos dados pessoais que tratamos sejam definidos por organizações contratantes de nossos serviços, nos preocupamos que tais objetivos estejam inseridos no guarda-chuva de finalidades reconhecidas pela LGPD como lícitas (a partir do enquadramento de bases legais). Além disso, em nossos contratos, deixamos clara a responsabilidade de nossos clientes com relação ao uso ético de dados pessoais.
Definição
O tratamento deve ser compatível com as finalidades definidas. Assim, deve ocorrer na medida certa para que se alcancem as finalidades, nada mais.
Significado para a NOVA VIDA
Para definirmos o cardápio de dados pessoais que compõem nossas soluções, realizamos análise de risco que, levando em consideração a fonte de dados, a sensibilidade e potencial de identificação dos titulares, mede a compatibilidade/adequação do tratamento em face dos propósitos perseguidos pelos clientes.
Definição
Menos é mais. Organizações devem buscar tratar o mínimo de dados possível, pelo menor tempo possível, para alcançar as finalidades do tratamento.
Significado para a NOVA VIDA
A depender das finalidades viabilizadas por nossos serviços, a forma de consumo de informações em nossa plataforma pode variar. A rigor, não possibilitamos acesso a mais informações do que aquelas consideradas necessárias para o atingimento das finalidades contratualmente definidas. Quando possível, inclusive, preferimos exibir informações estatísticas e generalizadas acerca de um grupo, em vez de individualizadas.
Definição
Devem ser criadas condições para que o titular possa acessar os dados tratados e exercer seus direitos sobre eles.
Significado para a NOVA VIDA
Contamos com Encarregado pelo Tratamento de Dados Pessoais, ao qual compete o atendimento de solicitações relacionadas aos dados pessoais, por meio do e-mail dpo@novavidati.com.br.
Definição
Os dados pessoais tratados têm de ser exatos, claros, relevantes e atualizados.
Significado para a NOVA VIDA
As informações que edificam nossos produtos são constantemente renovadas, para que – na medida do possível – estejam sempre relevantes e atualizadas. Contudo, esse processo vê-se limitado ao fato de que é possível que as fontes que disponibilizam tais informações se encontrem desatualizadas, algo que deixamos claro em nossa prestação de serviços.
Definição
Devem ser prestadas informações claras, precisas e de fácil acesso ao titular.
Significado para a NOVA VIDA
Ainda que, como regra, não tenhamos relação direta com os titulares de dados, esforçamo-nos para trazer a máxima transparência possível a nossas atividades, em especial a partir do nosso Aviso de Privacidade, acessível em https://novavidati.com.br/privacidade/ , o qual foi elaborado com uso de linguagem leiga e de fácil compreensão.
Definição
Tratar dados impõe responsabilidade. É preciso aplicar medidas aptas a proteger os dados e impedir a ocorrência de incidentes.
Significado para a NOVA VIDA
Segurança é um assunto muito sério para nós. Estamos sempre em busca das melhores soluções para garantir que os dados que tratamos estão sujeitos aos melhores controles de segurança da informação. No tópico ‘Medidas de segurança de dados pessoais’ detalhamos algumas dessas medidas.
Definição
Melhor prevenir do que remediar. Diante de possíveis riscos, deve-se adotar medidas que diminuam ou eliminem tais riscos.
Significado para a NOVA VIDA
Contamos com processos para gestão de riscos em privacidade, a qual começa desde a fase de concepção de um novo produto (a partir da abordagem de Privacy by Design). Assim, privacidade torna-se um elemento considerado ao lado dos nossos objetivos de negócio.
Definição
Os dados dizem muito a respeito de alguém. Assim, tomar decisões com base em dados pessoais requer responsabilidade para que se evite qualquer discriminação injusta.
Significado para a NOVA VIDA
A fim de minimizar eventuais efeitos discriminatórios, optamos por não tratar dados sensíveis, que poderiam revelar camada de intimidade maior dos titulares e, assim, sujeitá-los a riscos desproporcionais. Além disso, a rigor, não tomamos decisões a partir dos dados que fornecemos; estas competem a nossos clientes, os quais são orientados a agir de modo ético e responsável.
Definição
Aqui se faz, aqui se paga. Tratar dados gera o dever, para a organização, de demonstrar cuidado e responsabilidade.
Significado para a NOVA VIDA
Nossa jornada de adequação, bem como processos e rotinas de privacidade realizados no dia a dia geram evidências que armazenamos a fim de demonstrar a importância do tema conformidade com a LGPD e uso ético de dados pessoais para a NOVA VIDA.
Bases legais para tratamento de dados pessoais
Como medida de adequação, verificamos a existência de bases legais que amparem o tratamento de dados pessoais realizados, por nós e por nossos clientes. Assim, de maneira objetiva, a seguir mapeamos as finalidades dos contratantes de nossos serviços para o tratamento dos dados pessoais e as correspondentes bases legais.
De modo geral, entendemos que os objetivos – perseguidos por nossos clientes e viabilizados por nossos produtos – constituem propósitos lícitos e valiosos e cuja viabilização não diminui ou desconsidera os interesses, expectativas e direitos dos titulares.
Com efeito, acreditamos que há significativo interesse, de toda a sociedade, que relacionamentos estabelecidos no âmbito empresarial sejam dotados de boa-fé, livres de fraudes e outras práticas ilícitas e irregulares. Além disso, entendemos que se insere dentro da expectativa geral dos titulares, principalmente enquanto representantes de empresas, a possibilidade de serem impactados com ofertas que sejam de seu interesse ou, ainda, para fins de cobrança de débitos que são por eles devidos, respeitados parâmetros éticos e não abusivos de cobrança, é claro.
Finalidades
Garantir a qualidade e a confiabilidade de informações previamente fornecidas pelos clientes, por meio da realização de validações que indiquem a veracidade ou promovam a atualização dos dados, permitindo maior assertividade para fins de contato ou gestão cadastral.
exemplo prático
Cliente possui base de dados contendo informações de contato de devedores e pretende garantir a atualização destas informações para realizar a devida cobrança. Assim, por meio de uma consulta à base Ipê, é possível obter a validação e o enriquecimento da base de dados e, desse modo, aumentar a chance de recuperação do crédito.
bases legais
Interesse legítimo (art. 7º, IX):
o enriquecimento da base de dados propiciado aumenta o poder de conhecimento de nossos clientes sobre os titulares de dados com quem têm relacionamento. E, exatamente diante da existência de vínculo prévio, a princípio há expectativa suficiente a amparar o interesse ora articulado.
Execução de contrato (art. 7º, V):
em se tratando de cobranças de débitos devidos pelo titular de dados aos clientes de nossos serviços, para além do interesse legítimo, há ainda obrigação contratual que justifica o tratamento de dados.
Proteção do crédito (art. 7º, X):
por vezes a coleta e tratamento de dados por parte de nossos clientes dizem respeito a processos de concessão/análise de crédito. Assim, entendemos que tais atividades estariam resguardadas pela base legal de proteção do crédito.
Finalidades
Garantir a assertividade de atividades de investigação, prevenção a fraudes, análise reputacional e gestão de riscos, permitindo a consulta de diversas fontes de dados publicamente acessíveis e a geração de dossiê específico sobre indivíduos consultados.
exemplo prático
Cliente do ramo de transportes de carga decide realizar a contratação de novo motorista e, então, durante a condução do processo seletivo e após informar o candidato sobre esta atividade, decide realizar pesquisa na base Gênesis para garantir a idoneidade do indivíduo e, assim, prosseguir com o processo seletivo.
bases legais
Interesse legítimo (art. 7º, IX):
em casos em que os dados pessoais alimentam processos internos de compliance, prevenção a fraudes e combate a práticas ilícitas (como lavagem de dinheiro etc.), entendemos que haveria claro interesse legítimo para tratamento dos dados pessoais (não somente dos clientes de nossos serviços, mas também da sociedade como um todo).
Execução de contrato (art. 7º, V):
em determinadas situações, o contrato (ou diligências prévias a esse relacionadas) pode pautar a atividade de coleta de dados por parte dos clientes de nossos serviços, inclusive para assegurar a manutenção da qualidade dos dados ao longo do tempo.
Proteção do crédito (art. 7º, X):
por vezes a coleta e tratamento de dados por parte de nossos clientes dizem respeito a processos de concessão/análise de crédito. Assim, entendemos que tais atividades estariam resguardadas pela base legal de proteção do crédito.
Finalidades
Aplicabilidade variada, de acordo com a demanda do cliente, viabilizando desde o enriquecimento de informações até processos de validação da veracidade, qualidade e atualização de dados.
exemplo prático
Cliente deseja adquirir empresa, mas antes define a necessidade de realizar processo de due diligence para avaliar as informações mantidas em base de dados legada, garantindo segurança para continuidade do projeto.
bases legais
Interesse legítimo (art. 7º, IX):
validar a veracidade, qualidade e atualização de informações aumenta a confiabilidade dos negócios travados por nossos clientes e garante o atendimento do princípio da qualidade dos dados trazido pela LGPD (art. 6º, V).
Proteção do crédito (art. 7º, X):
vezes a coleta e tratamento de dados por parte de nossos clientes dizem respeito a processos de concessão/análise de crédito. Assim, entendemos que tais atividades estariam resguardadas pela base legal de proteção do crédito.
Finalidades
Solução que se utiliza das bases utilizadas para os produtos Gênesis e Ipê a fim de permitir ao cliente consulta/validação imediata de dados via integração API em site.
exemplo prático
Cliente deseja disponibilizar serviço em sua plataforma on-line que permite aos usuários passar por análise de crédito, em tempo real. Por meio da integração webservice o cliente poderá consultar instantaneamente as bases de dados Gênesis e Ipê e assim obter a informação necessária para definir a aprovação ou negativa de crédito.
bases legais
Interesse legítimo (art. 7º, IX):
em casos em que os dados pessoais sirvam ao propósito de promover as atividades comerciais de nossos clientes, resta evidente a presença de interesse relevante para tratamento destas informações. Isso não retira a necessidade de análise do caso concreto por nossos clientes, em especial para avalia o peso de tais interesses frente à expectativa do titular dos dados.
Execução de contrato (art. 7º, V):
em determinadas situações, o contrato (ou diligências prévias a esse relacionadas) pode pautar a atividade de coleta de dados por parte dos clientes de nossos serviços, inclusive para garantir a possibilidade de efetivar o relacionamento com o titular de dados.
Proteção do crédito (art. 7º, X):
por vezes a coleta e tratamento de dados por parte de nossos clientes dizem respeito a processos de concessão/análise de crédito. Assim, entendemos que tais atividades estariam resguardadas pela base legal de proteção do crédito.
Finalidades
Garantir melhor conhecimento sobre o segmento de mercado dos nossos clientes, permitindo a distribuição de produtos de acordo com a demanda por região, maior conhecimento sobre as características do público-alvo e possível identificação de oportunidades de negócio.
exemplo prático
Cliente disposto a expandir as suas operações decide realizar pesquisa que reúna indicadores de desenvolvimento de seu segmento de mercado na região de interesse, a fim de realizar análise concreta da viabilidade da operação.
bases legais
Interesse legítimo (art. 7º, V):
entendemos que há razoável interesse, ao menos em tese, de nossos clientes na descoberta de oportunidades de negócio (não só, mas principalmente em contexto B2B) pautada em coleta de dados pessoais. Isso não dispensa, é claro, que nossos clientes venham a medir seus interesses no caso concreto, com eventuais análises de proporcionalidade e relatórios de impacto, a depender de seus próprios apetites de risco.
Garantia dos direitos dos titulares
Respeitamos a autodeterminação informativa, assegurando a possibilidade de os titulares de dados recorrerem ao nosso Encarregado pelo Tratamento de Dados pessoais, por meio do e-mail dpo@novavidati.com.br para exercício de seus direitos previstos no artigo 18 e seguintes da LGPD, que contemplam:
- Confirmação do tratamento
- Acesso aos dados
- Retificação de dados
- Anonimização, bloqueio ou eliminação
- Portabilidade dos dados
- Informação sobre uso compartilhado
- Informação sobre dispensa do consentimento e consequências
- Revogação de consentimento
- Oposição ao tratamento
- Reclamação à autoridade nacional
- Revisão de decisões automatizadas
Medidas de segurança aplicadas aos dados pessoais
segurança é um assunto muito sério para nós.
Assim, possuímos uma Política de Segurança Informação, que é constantemente revisada e atualizada e estabelece rígidas diretrizes corporativas e aplicação de controles efetivos para proteção de nossos ativos de informação, como classificação da informação e controle de acessos, a fim de assegurar a integridade, disponibilidade e confidencialidade dos dados que tratamos e prevenir de riscos. Referida política dispõe, ainda, sobre os procedimentos de resposta em caso de incidentes.
Em termos de governança, temos um Comitê de Segurança da Informação que se responsabiliza pela gestão da segurança e monitora a adequação e cumprimento de nossas políticas.
Transferimos esse cuidado a nossos clientes, fornecedores e colaboradores com relação à segurança, aplicando as devidas cláusulas contratuais que tratam do tema, bem como periodicamente conduzindo treinamentos internos sobre o assunto, de modo que cada integrante entenda e cumpra seu papel nesse processo.
Conclusão
Ante o exposto acima, vislumbramos que nossas atividades encontram respaldo na LGPD, estando em linha com os fundamentos da lei, pois funcionam como motor da inovação, desenvolvimento tecnológico e estímulo à iniciativa privada. Além disso, são lícitas, já que orientadas pelos princípios legais para tratamento de dados pessoais, fundamentadas em sólidas bases legais, além de contar com garantia ao exercício de direitos dos titulares e com a aplicação de adequadas medidas de segurança.
Não deixe de conferir nosso Guia de Boas Práticas, para saber melhor como nossos clientes podem garantir a manutenção da conformidade com a Lei Geral de Proteção de Dados ao consumirem nossos produtos.
Colocamo-nos à disposição para eventuais esclarecimentos.