Notícias

A LGPD – Lei Geral de Proteção de Dados – Lei nº 13.709/2018 está em vigor desde 18 de setembro deste ano. Com isso trouxe vários desafios, e entre eles, a falta de recursos financeiros e técnicos por parte das pequenas empresas e profissionais autônomos para fazer as adequações necessárias e que já deviam ter sido implementadas.

Por outro lado, a lei trouxe também pontos positivos. Inspirada na lei em vigor nos países da união europeia, a LGPD veio para exigir transparência desde a captura até o tratamento e uso das informações coletadas pelas empresas nos processos de interação com seus clientes, colaboradores e parceiros.

Isso quer dizer que, a partir da Lei Geral de Proteção de Dados – em vigor em mais de 120 países – há normas que definem limites e condições para a coleta, uso, tratamento e armazenamento de dados pessoais de terceiros.

Para entender melhor o que isso significa, lembre-se que até a LGPD entrar em vigor no Brasil, as empresas podiam solicitar informações aos potenciais e atuais clientes por meio de preenchimento de formulários e fichas cadastrais quando faziam compras e em várias outras situações.

Os dados, porém, não ficavam limitados apenas aos sistemas dessas empresas. Em muitos casos, acabavam comercializados sem qualquer autorização, trazendo aborrecimentos diversos como e-mails não solicitados e ligações telefônicas inoportunas que não correspondiam aos interesses reais. Esse é só um exemplo.

Além disso, as informações ficavam expostas à ação de cibercriminosos que as utilizavam para as mais diversas finalidades, muitas vezes trazendo sérias complicações para a vida das pessoas.

É claro que ainda existem muitas dúvidas. Faltam regulamentações específicas sobre muitas disposições da Lei que ainda serão emitidas pela Autoridade Nacional de Proteção de Dados (ANPD), ainda não constituída.

Mas o fato é que essa é mais uma corrida contra o tempo e as empresas – de qualquer área e porte ainda tem muito trabalho a ser feito.

Trazemos a seguir algumas orientações de especialistas, informações da Agência Brasil e das leis já em vigor na União Europeia que serviram de inspiração para a Lei Brasileira.

Dados pessoais
De acordo com a lei, são considerados dados pessoais as informações contidas em documentos de identificação como RG, CPF, certidões de nascimento, casamento, óbito etc., assim como endereço e localização, preferências (sexuais, musicais etc.), hábitos de consumo e informações de cartão de crédito.

A lei exige tratamento sobre os dados pessoais com maior segurança aos titulares, cujo uso fica restrito aos limites da finalidade e da base legal que legitimam o tratamento de cada informação. As obrigações das empresas variam de acordo com a sua posição como agente de tratamento (controlador ou operador).

Com a Lei Geral de Proteção de Dados, qualquer possibilidade de tratamento de dados de um indivíduo é validada por meio de um “consentimento”. Juridicamente, o consentimento representa uma “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”.

Os usuários precisam obrigatoriamente ter à sua disposição todas as informações sobre o tratamento que seus dados terão.

Isso deve acontecer de forma expressa e clara e informar, por exemplo, para qual finalidade os dados estão sendo coletados, o meio de captura, o período de tempo em que ficarão armazenados, a identificação do controlador com o respectivo contato, se os dados serão compartilhados com terceiros, quais as responsabilidades dos agentes que realizarão o tratamento, dentre outras.

Quem precisa se adequar
A LGPD aplica-se a todas as pessoas físicas e jurídicas, de direito público ou privado, que tratem dados pessoais para fornecer bens ou serviços, incluindo os profissionais autônomos.

E atenção: do conceito de “tratamento de dados pessoais” faz parte também a proteção de informações relacionadas com dados de colaboradores, candidatos às vagas, fornecedores e clientes.

LGPD na prática
É certo que a partir de agora as empresas devem adotar procedimentos que tenham a privacidade como padrão. Mas como fazer isso na prática?

Os especialistas recomendam algumas medidas básicas, para serem implantadas em fases:

1 – Diagnóstico (mapeamento do tratamento dos dados pessoais e identificação das inconformidades face à LGPD) e elaboração de um inventário de dados atualizado evidenciando o tratamento de dados pessoais limitado à finalidade informada aos titulares e amparado por uma base legal adequada;

2 – Levantamento e verificação dos dados pessoais que a empresa já detém, além de estabelecer regras rígidas para todo e qualquer fluxo de informação que percorra o ambiente organizacional;

3 – Adoção de processos e políticas internas que garantam o cumprimento das disposições da LGPD;

4 – Criação e implementação de políticas de proteção de dados (ajustes em processos, modificações em contratos, controles, modificações em TI, etc.);

5 – Fornecimento de informações aos titulares de dados pessoais de forma transparente e eficiente;

6 – Monitoramento (auditorias regulares para manutenção e atualizações do programa e relatório de impacto à proteção de dados).

Agora, com a lei já em vigor, o maior erro que se pode cometer é não investir imediatamente em um programa de adequação, ainda que de menor abrangência. Os especialistas alertam para o fato de ser um processo de melhoria contínua e que adiar a implantação significa enfrentar sérios problemas e situações traumatizantes.

A recomendação é buscar o suporte necessário para cumprir, ao menos, as obrigações mais urgentes. Essa medida pode ser apoiada por tecnologias que facilitem a gestão do processo e o monitoramento das operações de tratamento.

Entretanto, é bom ter em mente que não é imperativa a contratação de softwares e recursos tecnológicos complexos e caros, se a empresa tiver um orçamento enxuto, para isso, há outras opções.

Nesse momento é importante adotar as providências que estão ao alcance de cada empresa, evitando a burocratização e encarecimento dos projetos.

Penalidades previstas na Lei Geral de Proteção de Dados
As penalidades previstas na LGPD são aplicáveis a todos, em âmbito público e privado, independentemente se a pessoa jurídica (e física, em casos específicos) atua no meio físico ou digital e se seus produtos ou serviços destinam-se ou não ao varejo (B2B ou B2C).

Vão desde advertências, com indicação de prazo para adoção de medidas corretivas até multa de até 2% do faturamento no último exercício da empresa, limitadas a R$50 milhões.

Além disso, a lei prevê a divulgação e publicidade sobre os infratores, o bloqueio dos dados pessoais envolvidos na infração até a devida regularização; a suspensão parcial do funcionamento do banco de dados envolvido na infração por até seis meses, prorrogável por mais seis e até mesmo a suspensão do exercício da atividade.

Direitos dos cidadãos
A partir de agora, o usuário ou cliente precisa dar seu consentimento expresso, por exemplo, marcando uma caixa de diálogo (check box).

Portanto, induzir as pessoas ao “clique aqui para finalizar o seu cadastro” e, em seguida, “clicando aqui você concorda com os termos de uso e política de privacidade” – estão totalmente fora de questão.

A LGPD diz também que é direito do titular dos dados a retirada ou revogação do consentimento, bem como se houver mudança na finalidade dos dados coletados originalmente, efetuar novo consentimento.

O cidadão pode ainda corrigir ou alterar seus dados. E todas essas opções devem estar à disposição do usuário ou cliente de forma gratuita.

Quem fiscaliza a Lei Geral de Proteção de Dados?
A fiscalização da implantação e cumprimento da Lei será feita pela Autoridade Nacional de Proteção de Dados (ANPD).

ANPD funcionará como um órgão da Presidência da República, porém dotado de autonomia técnica e decisória e com jurisdição em todo território nacional. O principal objetivo será proteger os direitos fundamentais de liberdade e privacidade.

A ANPD ainda está sendo criada pelo governo. As sanções administrativas começarão a valer a partir de agosto/2021, mas isso não significa que não haverá punição. Até lá, caso a norma seja descumprida, outros órgãos poderão responsabilizar as empresas pelo uso inadequado dos dados.