I - INTROITO
“Os dados são o novo petróleo”. Essa
afirmação carrega muito da transformação pela qual o mundo passou nas últimas
décadas. Com a ampliação do uso da internet, cada vez mais as relações se
desenvolvem nesse meio. Como consequência, dados pessoais são constantemente
transacionados.
De compras on-line a redes sociais, de
hospitais a bancos, de escolas a teatros, de hotéis a órgãos públicos, da
publicidade à tecnologia: a Lei Geral de Proteção de Dados Pessoais (LGPD)
afeta diferentes setores e serviços, e a todos nós, seja no papel de indivíduo,
empresa ou governo.
II - O QUE É A LEI GERAL DE PROTEÇÃO DE DADOS ?
A Lei nº 13.709, popularmente chamada de
LGPD, foi aprovada em agosto de 2018 com vigência a partir de agosto de
2020. A lei cria um cenário de segurança jurídica, com a padronização de
normas e práticas, para promover a proteção, de forma igualitária aos dados
pessoais de todo cidadão que esteja no Brasil.
A LGPD estabelece ainda que não importa se a sede
de uma organização ou o centro de dados dela estão localizados no Brasil ou no
exterior: se há o processamento de conteúdo de pessoas, brasileiras ou não, que
estão no território nacional, a LGPD deve ser cumprida.
III - A
QUEM SE APLICA A LTPD
A LGPD se aplica a todos os setores, mas
basicamente em nossa região podemos listar:
- Hospitais
- Escolas
- Condomínios
- Farmácias
- Escritórios de contabilidade
- Varejos físicos ou virtuais
- Imobiliárias
- Psicólogos
- Laboratórios de Análises Clínicas
- Agências de Marketing e Publicidade
- Provedores de Telefonia e Internet
- Assistência técnica de celulares
- Hotéis; Bares e Restaurantes
- Financeiras
Ainda todas as empresas/empregadoras que tenham dados dos empregados
também precisam se adequar na guarda das informações e são obrigadas a ter um
programa de proteção aos dados pessoais.
IV - O QUE SÃO DADOS PESSOAIS?
São aquelas informações que possam, de alguma
forma, identificar ou tornar identificável uma pessoa natural.
Dado pessoal:
informação relacionada a pessoa natural identificada ou identificável, tais
como nome, foto, endereço, localização, documentos, e-mail, características
pessoais, entre outros;
Dado pessoal sensível: dados sobre origem racial ou étnica, convicção religiosa, opinião
política, filiação a sindicato ou religião, filosófico ou político, dado
referente à saúde ou à vida sexual, dado genético ou biométrico, quando
vinculado a uma pessoa natural;
Dado anonimizado: dado que não possa ser identificado, considerando a utilização de
meios técnicos razoáveis e disponíveis;
Banco de dados:
conjunto estruturado ou não de dados pessoais, estabelecido em um ou em vários
locais, em suporte eletrônico ou físico;
Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de
tratamento de dados pessoais que podem gerar riscos aos direitos fundamentais,
bem como medidas e salvaguardas de mitigação de risco.
V - NOMENCLATURA
Nomenclatura utilizada nos principais envolvidos
na operação de utilização de dados:
a) Titular: pessoa natural a quem se
referem os dados pessoais que são objeto de tratamento;
b) Controlador: pessoa natural ou
jurídica, de direito público ou privado, a quem compete decidir sobre a
utilização e o tratamento de dados pessoais;
c) Operador: pessoa natural ou jurídica,
de direito público ou privado, que realiza o tratamento de dados pessoais em
nome do controlador;
d) Encarregado: pessoa indicada pelo
controlador e operador para atuar como canal de comunicação entre o
controlador, os titulares dos dados e a Autoridade Nacional de Proteção de
Dados (ANPD);
e) Agentes de Tratamento: o controlador e
o operador;
f) Autoridade Nacional: órgão da
administração pública responsável por zelar, implementar e fiscalizar o
cumprimento da lei em todo o território nacional.
VI - DIREITO DOS TITULARES DOS DADOS
Para estar em conformidade com a LGPD, as
empresas precisam atender às necessidades dos titulares dos dados, tais como:
ü Conhecimento do processo de tratamento de dados
pessoais;
ü Acesso total aos seus dados sob custódia da
empresa;
ü Correção ou atualização de seus dados;
ü Anonimização;
ü Possibilidade de solicitação de portabilidade dos
dados para outras empresas;
ü Exclusão dos dados a qualquer tempo;
ü Informação sobre compartilhamento de dados;
ü Revogação do consentimento;
ü Consentimento
Importante
dizer que o consentimento do cidadão é a base para que dados pessoais possam
ser tratados. Mas há algumas exceções a isso. É possível tratar dados sem
consentimento se isso for indispensável para:
ü Cumprir uma obrigação legal;
ü Executar política pública prevista em lei;
ü Realizar estudos via órgão de pesquisa;
ü Executar contratos;
ü Defender direitos em processo;
ü Preservar a vida e a integridade física de uma
pessoa;
ü Tutelar ações feitas por profissionais das áreas
da saúde ou sanitária;
ü Prevenir fraudes contra o titular;
ü Proteger o crédito; ou atender a um interesse
legítimo, que não fira direitos fundamentais do cidadão.
VII - PRINCÍPIOS DA LGPD
A LGPD especifica 10 princípios que toda empresa
ou órgão público deverá seguir ao obter, ou lidar com dados pessoais, vejamos:
I – Finalidade: Segundo o texto: “realização do tratamento para propósitos legítimos,
específicos, explícitos e informados ao titular, sem possibilidade de tratamento
posterior de forma incompatível com essas finalidades.” Isso significa que os
dados obtidos devem ter uma finalidade específica. Além disso, o titular dos
dados deve estar ciente sobre quais são os motivos da necessidade de oferecer a
informação.
II – Adequação: A lei especifica:
“compatibilidade do tratamento com as finalidades informadas ao titular, de
acordo com o contexto do tratamento.” Da mesma forma, coletar um
dado por um motivo e utilizá-lo para outros fins também é passível de
penalização. Exemplo: coletar um número de telefone prometendo avisar sobre a
disponibilidade de um serviço e utilizar o contato para fins de telemarketing.
III – Necessidade: O LGPD traz: “limitação
do tratamento ao mínimo necessário para a realização de suas finalidades, com
abrangência dos dados pertinentes, proporcionais e não excessivos em relação às
finalidades do tratamento de dados.” Ou seja, empresas que coletam dados em
excesso ou que não precisam, estritamente, para realizar seus serviços, podem
ser penalizadas.
IV – Livre Acesso: Segundo o texto:
“garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a
duração do tratamento, bem como sobre a integralidade de seus dados pessoais”.
Assim, fica especificado que o titular deve ter acesso completo às suas
informações. Isso inclui quais dados estão guardados, como estão sendo
protegidos e utilizados.
V – Qualidade dos Dados: Quanto a
qualidade das informações, fica definido: “garantia, aos titulares, de
exatidão, clareza, relevância e atualização dos dados, de acordo com a
necessidade e para o cumprimento da finalidade de seu tratamento”. Dessa forma,
é de responsabilidade da empresa garantir que os dados obtidos estão
atualizados e permanecem atuaizados para a prestação de serviço.
VI – Transparência: No texto: “garantia,
aos titulares, de informações claras, precisas e facilmente acessíveis sobre a
realização do tratamento e os respectivos agentes de tratamento, observados os
segredos comercial e industrial.” Isso é, o titular dos dados deve ter
conhecimento de como seus dados são utilizados na empresa. Isso pode incluir os
processos utilizados, bem como pessoas que possuem acesso às informações.
VII – Segurança: Quanto à proteção das informações, a lei diz
que a empresa deve fazer a “utilização de medidas técnicas e administrativas
aptas a proteger os dados pessoais de acessos não autorizados e de situações
acidentais ou ilícitas de destruição, perda, alteração, comunicação ou
difusão”. Ou seja, é de responsabilidade da empresa tomar as devidas medidas
para proteger os dados de seus clientes. Isso inclui situações como ataques
hackers, venda ou perda de informações.
VIII – Prevenção: Ainda no assunto da
segurança da informação, fica especificado que a empresa deve visar a “adoção
de medidas para prevenir a ocorrência de danos em virtude do tratamento de
dados pessoais.” Assim, é parte da responsabilidade da empresa ou órgão público
tomar todas as medidas de segurança preventivas.
IX – Não Discriminação: A empresa deve,
ainda, garantir a “impossibilidade de realização do tratamento para fins
discriminatórios ilícitos ou abusivos.” É especialmente importante atentar-se a
essa regra se sua empresa lida com os chamados dados pessoais sensíveis. É
imprescindível que a organização tome providências para que o vazamento dos
dados não possa ocasionar situações discriminatórias contra o titular.
X – Responsabilização e Prestação de Contas: identifica a “demonstração, pelo agente, da
adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento
das normas de proteção de dados pessoais e, inclusive, da eficácia dessas
medidas.” Dessa maneira, fica à cargo da empresa demonstrar e comprovar o
cumprimento dos princípios especificados no texto.
VIII - O QUE MUDA COM A LEI GERAL DE PROTEÇÃO DE
DADOS?
a - Para empresas: Será necessário,
principalmente, rever os processos que envolvem a coleta e armazenamento de
dados pessoais na empresa. Por exemplo, a utilização de informações no cadastro
de clientes, para começar de maneira simples. A grande maioria das empresas
precisará passar por um processo completo de auditoria e replanejamento. Dessa
forma, a terceirização acaba sendo uma opção viável.
b - Para usuários: O que muda para
usuários é que os seus direitos à privacidade estão melhor protegidos. Agora, o
titular dos dados tem direito a total transparência sobre o uso dos seus dados.
Além disso, também tem o direito de ser informado sobre os processos que
utilizam a informação e quais são as medidas de segurança tomadas pela empresa
para protegê-los.
c - Para o setor da tecnologia: No setor da tecnologia, a LGPD representa
novos desafios. Isso porque profissionais especializados em adequação dos
processos à legislação serão extremamente valiosos. As empresas precisarão
adequar a infraestrutura a essas novas exigências, da mesma forma que precisam
contratar servidores e softwares de gestão.
IX - INVISTA NA CONSCIENTIZAÇÃO DA EQUIPE
De nada adianta apenas a diretoria de uma empresa
conhecer e aplicar as novas normas elencadas na lei. A cultura de atendimento
aos processos deve ser espalhada por todos os colaboradores.
Isso é importante para que ninguém cometa
infrações ao novo dispositivo legal. Para a justiça, não importa quem foi a
pessoa física que cometeu o erro. A pessoa eventualmente acionada judicialmente
será sempre a jurídica, pois os funcionários são seus prepostos.
Uma reestruturação dos processos da empresa pode
assustar bastante. No entanto, com organização, é possível implementar
adequações de maneira sistemática e barata.
Conhecer todos os dados pessoais e como eles são
tratados na sua empresa, em todas as jornadas de todas as áreas, é fundamental
para se adequar a LGPD. Muitas vezes é necessário mudar estruturas e processos
internos para uma maior organização e visibilidade dessas informações.
Numa relação de contrato com um cliente ou
fornecedor, numa simples contratação de um colaborador, você provavelmente está
tratando dados pessoais. Por isso é de suma importância conhecer onde esses
dados estão armazenados, qual sua finalidade e por quanto tempo você deverá
armazená-lo.
Toda empresa deve definir um encarregado de dados
que será responsável por receber reclamações e comunicações dos titulares dos
dados, prestar esclarecimentos e adotar providências, além de orientar os
colaboradores a respeito das práticas adotadas em relação à LGPD.
A identidade e as informações de contato do
encarregado de proteção de dados deverão ser publicadas publicamente, de forma
clara e objetiva.
X - COMO A EMPRESA PODE SE ADEQUAR À NOVA LEGISLAÇÃO?
A Lei Geral de Proteção de Dados atinge todos os
setores da economia independente do porte das empresas. Estas devem adotar
práticas semelhante às de uma estrutura de compliance (boas práticas de
gestão empresarial) para evitar riscos que eventualmente possam trazer
prejuízos financeiros e impactos às suas atividades.
Os controladores e operadores poderão formular
regras de boas práticas e de governança que estabeleçam as condições de
organização, o regime de funcionamento, os procedimentos, incluindo reclamações
e petições de titulares, as normas de segurança, os padrões técnicos, as
obrigações específicas para os diversos envolvidos no tratamento, as ações
educativas, os mecanismos internos de supervisão e de mitigação de riscos e
outros aspectos relacionados ao tratamento de dados pessoais.
Os principais pontos a serem observados são:
1.
A
devida compreensão da lei e como ela irá afetar as atividades da empresa;
2.
O
comprometimento da estrutura de gestão da empresa em destinar recursos
necessários para as adaptações à LGPD;
3.
A
nomeação de um encarregado (pessoa física ou jurídica) que será responsável
pela estruturação, monitoramento e aprimora mento das boas práticas de gestão
empresarial;
4.
A
integração das áreas da empresa, para garantir uma visão global das
necessidades de se apoiarem e aprimorarem os projetos de proteção de dados;
5.
Realizar
a devida análise de riscos, com a apresentação de relatório de impacto à
proteção de dados pessoais, apontando eventuais inconformidades que possam
ocasionar prejuízos às empresas durante o tratamento de dados, com o devido
mapeamento das informações em cada uma das etapas – coleta, tratamento,
compartilhamento e até mesmo o descarte;
6.
Fazer
ajustes por meio da estruturação de regras que garantam uma política de governança,
com normas internas voltadas para a proteção dos dados pessoais, por meio de
adequação dos contratos firmados, dos sistemas utilizados, dos processos e
procedimentos internos e externos, da limitação dos acessos aos dados
protegidos e da criação de um plano de gestão de crise (por meio de manual)
para o caso de algum incidente acarretado pelo descumprimento da lei ou até
mesmo vazamento de dados, criando com isso não apenas uma capacidade de
gerenciamento constante, mas, principalmente, a capacidade de resposta
imediata, incluindo notificações à Agencia Nacional de Proteção de Dados, nos
termos exigidos pela Lei;
7.
Realização
de treinamentos/capacitações acerca da necessidade de atender aos requisitos da
LGPD;
8.
Obtenção
de consentimento do titular para tratamento dos dados pessoais existentes na
empresa, bem como os que serão coletados.
9.
Reavaliação
dos dados já coletados, de forma a definir a necessidade de sua manutenção e a
eventualidade de seu descarte, primando, desde logo, pela transparência nesses
procedimentos;
10.
Trabalhar
com fornecedores que estejam adequados com a LGPD, de forma a evitar riscos
indiretos com relação à utilização indevida de dados;
11.
Criar
Políticas de Privacidade para os serviços que realizem tratamento de dados
pessoais onde fiquem claros os motivos, com finalidade legítima, pelos quais os
dados estão sendo coletados e por quanto tempo permanecerão armazenados;
12.
Implementar
medidas técnicas e administrativas para garantir, por meio de evidências, a
segurança de dados pessoais, com a utilização de normas e procedimentos de
Gestão de Segurança da Informação e Processos.
XI - CONCLUSÃO
Assim, toda a empresa que gere base de dados
pessoais terá que redigir normas de governança; adotar medidas preventivas de
segurança; replicar boas práticas e certificações existentes no mercado.
Terá ainda que elaborar planos de contingência;
fazer auditorias; resolver incidentes com agilidade. Se ocorrer, por exemplo,
um vazamento de dados, a ANPD e os indivíduos afetados devem ser imediatamente
avisados.
Vale lembrar que todos os agentes de tratamento
se sujeitam à lei. Isso significa que as organizações e as subcontratadas para
tratar dados respondem em conjunto pelos danos causados.
Sendo as falhas de segurança podem gerar multas
de até 2% do faturamento anual da organização no Brasil – e no limite de R$ 50
milhões por infração.
A autoridade nacional fixará níveis de penalidade
segundo a gravidade da falha.
Fique atento, elabore o plano de contingência da
LGPD na sua empresa/organização pois é melhor prevenir do que indenizar ou
pagar multa por falta de execução.
Cartilha elaborada, com excetos, por:
João Ricardo Monteiro Sabino
Advogado e Consultor Trabalhista
E-mail: joao@saza.adv.br
Fone/Whatsapp: 47 99914-1144
Fontes de pesquisa:
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
https://www.lgpdbrasil.com.br/
https://www.sebrae.com.br/sites/PortalSebrae/canais_adicionais/conheca_lgpd
https://www.serpro.gov.br/lgpd
https://www.conjur.com.br/2020-mar-14/leandro-araujo-impactos-lgpd-relacoes-trabalho
https://blog.smartconsulting.com.br/lgpd/
Nenhum comentário:
Postar um comentário