Consultor Jurídico

Perguntas e respostas

Escritório orienta empresas a se adequarem à LGPD, que entra em vigor em agosto

Por 

A Lei Geral de Proteção de Dados Pessoais (LGPD — Lei 13.709/2018) entra em vigor em agosto. Para orientar empresas a se adequarem à nova norma, o escritório Alexandre Atheniense Advogados lançou um e-book com explicações, sugestões e respostas a perguntas freqüentes.

LGPD entra em vigor de agosto de 2020
Reprodução

Uma sugestão é usar a ferramenta PDCA: plan (planejar), do (fazer), check (verificar) e act (agir). Inicialmente, a companhia deve escolher uma pessoa para liderar o projeto de proteção de dados. A equipe encarregada disso deve ser multidisciplinar, com membros das áreas de tecnologia da informação, jurídico, marketing, recursos humanos, financeiro e compras.

Na primeira fase, de planejar, é recomendável identificar a oportunidade de melhoria (conhecendo a finalidade e os princípios da LGPD), analisar o fenômeno (identificando quais dados pessoais são coletados e tratados pela organização) e analisar o processo (mapeando os dados pessoais coletados e como isso ocorre, averiguando que funcionários têm acesso a eles, examinando os contratos vigentes, entre outras medidas). Em seguida, deve-se criar um plano de ação, documentado e estruturado, com as medidas a serem tomadas, responsável por elas e prazos bem definidos.

O passo seguinte é executar tal plano. A terceira fase é a de verificação dos resultados. Nesta etapa, é preciso conferir se a gestão de segurança da informação está em conformidade com a LGPD, assegurar que todos os empregados estejam treinados para que tenham ciência da importância do projeto de proteção de dados e inserir esse objetivo na cultura na organização.

A etapa quatro é a do “agir”. Nela, a empresa tem que padronizar normas e procedimentos e fiscalizar, mediante auditorias regulares, a aplicabilidade da LGPD e a eficácia do projeto. O escritório ressalta que, no decorrer do plano, pode ser necessário fazer mudanças a ele.

Perguntas e respostas
O e-book do Alexandre Atheniense Advogados tem uma seção com perguntas e respostas sobre o processo de adaptação à LGPD. Veja algumas abaixo:

Qual a urgência para começar a adequação da minha instituição à LGPD?
Urgência imediata. O prazo atual é de dois meses para adequação de todas as medidas legais. A princípio pode parecer muito, mas não é. O trabalho é complexo, pois apurar lacunas quanto ao tratamento de dados na empresa exige esforço e sensibilização de várias lideranças da empresa, alguns eventos presenciais para coleta, análise e revisão dos dados pessoais e das medidas corretivas.

Será necessário que o enfrentamento dessas lacunas seja conduzido por várias pessoas, lideradas por alguém que tenha poder decisório, de modo a cumprir um cronograma de atividades no prazo de um ano. Não é uma tarefa fácil. As mudanças são necessárias, e os empresários têm de estar envolvidos nesse assunto, pois, caso contrário, os prejuízos serão percebidos apenas quando acontecer incidentes futuros.

Quais os dados pessoais de pessoas físicas mais usuais nas empresas? Informações obtidas pelo RH e/ou outros setores, tanto em papel como online, tais como:

  • nome, dados de contato, e-mail, telefone, características físicas, pessoa física e jurídica ou outros.
  • Dados necessários para a emissão de documentos fiscais, tais como nota fiscal e cupom fiscal.
  • Referências comerciais para limite de crédito.
  • Consulta à Serasa, ao Serviço de Proteção ao Crédito (SPC) e a outros.
  • Vendas por meio de cheques, boletos bancários, cartão de débito e crédito.
  • Força de vendas: por intermédio de representante ou colaborador CLT. Trata-se, na maioria das vezes, de um aplicativo no celular, onde são feitos cadastros e pedidos de vendas, bem como verificada a situação financeira dos clientes, etc. Geralmente esses dados ficam na nuvem e são controlados por terceiros que prestam serviços.
  • E-commerce: vendas pela internet, onde são feitos cadastros de clientes, pedidos compras, pagamentos por meio de boletos, cartão de crédito e débito.
  • Dados pessoais tratados pelos aplicativos visando à fidelização de clientes e descontos promocionais.
  • Sistema de roteirização para logística e gestão de entrega, onde são tratados e compartilhados dados de clientes e colaboradores.
  • Frente de caixa – autosserviço: o comprador pega a mercadoria e passa diretamente no caixa para finalizar o processo de aquisição.
  • Campanhas de marketing. Tanto as empresas como suas parceiras operam com dados pessoais, por isso é importante ressaltar que a coleta se restringe aos dados necessários para atingir a finalidade.

Nenhum dado pessoal poderá ser compartilhado?
Os dados pessoais podem ser compartilhados. O que ocorre com a LGPD é que todo ato de compartilhamento de dados da instituição que receber o consentimento do titular dos dados pessoais e repassar a terceiros precisa ser cuidadosamente documentado e informado ao cedente. A lei não visa, de forma alguma, restringir a utilização de dados pessoais para fins econômicos e, em alguns casos, pode-se revelar até mais flexível do que outras legislações setoriais. O que a lei obriga é que a empresa garanta aos titulares que seus dados pessoais serão tratados com maior transparência, controle e segurança, sob pena de aplicação de sanções severas.

Quais operações corriqueiras ocorrem nas empresas que envolvem risco quanto ao tratamento de dados pessoais sujeitas às penalidades da LGPD?
A seguir, alguns exemplos onde os dados pessoais são tratados e merecem atenção redobrada quanto aos riscos envolvidos. .

  • Compartilhamento de dados de clientes com terceiros:
  • fornecedores e indústria;
  • representantes comerciais;
  • empresas de e-commerce;
  • fornecedores de serviços;
  • empresas de cobrança;
  • transportadoras;
  • dados de cobrança com sistema bancários;
  • dados de compra e situação financeira de clientes com os órgãos de proteção ao crédito;
  • prestadores de serviços de cobrança;
  • empresas que desenvolvem softwares;
  • empresas de segurança, como monitoramento por câmeras.
  • Compartilhamento de dados de colaboradores:
  • convênios médicos;
  • cartão de benefícios;
  • convênios com farmácias, postos de gasolina, supermercados, etc.;
  • empresas de transporte
  • Operação de logística:
  • compartilhar dados de clientes para entrega de produtos;
  • compartilhar dados de colaboradores;
  • rastreamento por geolocalização ou GPS dos colaboradores na entrega;
  • notificação online de clientes sobre a situação da entrega.

 

  • Operação de marketing:
  • envio de e-mail marketing para eleição;
  • envio de folders promocionais/eleitorais;
  • plataforma de envio de e-mails marketing.

 

  • Interação por Apps.

 

  • Informação por WhatsApp.

Qual é a forma correta de obter o consentimento para a coleta de dados pessoais?
De forma geral, o consentimento é uma exigência expressa da lei, que determina formalizar com o titular quais dados pessoais serão tratados, com quem serão compartilhados e, sobretudo, para qual a finalidade serão utilizados. A LGPD exige alguns requisitos extras, especialmente no que diz respeito a garantir que o titular dos dados estará devidamente informado acerca de como seu dado pessoal será tratado. Essa atividade prevista na lei é conhecida por “consentimento informado”.

Se eu precisar compartilhar as informações pessoais com outras empresas, a quais cuidados devo estar atento?
Muitas empresas compartilham dados pessoais de clientes, perfil de compra e dados de representantes comerciais entre parceiros e terceiros.

Esses dados são utilizados para a avaliação de mercado, produtos, de serviços prestados, dentre outras necessidades. Todavia, essas finalidades não estão expressamente formalizadas com o titular dos dados pessoais, e essa é uma lacuna que precisa ser suprida. Como tratamento de dados pessoais, segundo a LGPD, deve ocorrer lastreado ao consentimento do titular, será necessário, portanto, que a concessão seja específica para as finalidades necessárias.

O compartilhamento das informações pessoais não é limitado ao ato do titular em consentir que a empresa com quem transaciona efetue o tratamento, mas será mandatória a autorização expressa do compartilhamento para outras finalidades.

É necessário avaliar o risco envolvido no compartilhamento, sobretudo quanto à necessidade de repassar informações além daquelas necessárias para o negócio.

A partir de agora, é obrigação das entidades que o tratamento de dados pessoais sempre ocorra da forma mais segura possível – ou seja, usando normas procedimentais previstas na lei, como adequar contratos de prestação de serviços com fornecedores, revisar processos internos e externos para evitar os riscos de finalidade consentida pelo titular.

Para mitigar ou garantir o risco da privacidade dos clientes, um mecanismo que pode ser usado é a omissão de alguns dados pessoais ao compartilhar com terceiros, ou seja, a anonimização total ou parcial dos dados que identificam o titular. Outra opção é a pseudoanimização, que significa a substituição dos dados pessoais que revelam a identidade do titular por outra fictícia.

É importante ter cuidado para que, no ambiente de trabalho, somente tenham acesso aos dados pessoais aqueles que de fato precisam tê-los, respeitando a finalidade do tratamento consentido pelo titular. Essa medida visa evitar casos de negligência ou vazamento proposital que possam vir a ocorrer.

A segurança nos dados passa a ser uma obrigação expressa da lei, sujeita a penalidades. Por esse motivo, é mandatório que os gestores da organização exerçam a governança digital – ou seja, conheçam os riscos envolvidos, enxerguem as lacunas atuais e executem as medidas corretivas antes da vigência da LGPD, em agosto de 2020.

Se os dados forem vazados, posso ser considerado responsável por esse incidente de segurança?
Sim. Segundo a lei, os empresários serão os responsáveis no caso de vazamento de informações.

Na legislação brasileira, todos aqueles que exercem o tratamento dos dados pessoais de terceiros são considerados controladores. Daí, a responsabilidade e o risco de penalidades administrativas, judiciais e reputacionais podem se estender, também, a agentes externos terceirizados que tratam de dados pessoais, caso forem vazados.

A partir de agora, portanto, o vazamento de dados implicará a responsabilização do empresário ou de sua organização pelos danos causados, dadas as vulnerabilidades da segurança da informação.

Quais as medidas de enfrentamento devo tomar para reduzir os riscos?
No cenário atual, em que as atividades econômicas são movidas a dados, é necessária a adoção de estratégias de proteção e segurança de dados, assim como de qualquer outro ativo da empresa, para evitar o risco de perdas financeiras.

É importante perceber que a cada dia os dados, sobretudo aqueles sensíveis que revelam a esfera íntima das pessoas, adquirem valor próprio e se tornam um ativo ainda mais valioso, por isso merecem maior governança ante penalidades potenciais.

Além disso, será necessário colocar em prática um efetivo sistema de contingenciamento com apoio jurídico especializado em Direito Digital, para agir no tempo mais breve possível após o incidente. A potencialização do dano está ligada diretamente ao tempo de resposta para enfrentamento em conformidade legal.

Pela nossa experiência profissional, quando ocorre um vazamento de dados, normalmente a empresa demora, em média, 90 dias para identificar o incidente – ou seja, o golpista já vem operando sem ser notado em um período muito superior ao que se imagina.

Com a adoção efetiva de um plano de contingenciamento sistêmico, estratégico e jurídico, será possível abreviar tais medidas corretivas de forma a reduzir os riscos, evitando que um fato se transforme numa crise.

Caso não haja um plano de contingenciamento, o enfrentamento será tardio e desordenado, e o prejuízo pode ser incomensurável. Já que os dirigentes da organização serão os responsáveis, devem se sujeitar às penalidades, inclusive quanto à exposição pública negativa do incidente. A necessidade de indenizar, nesse caso, independe da culpa da empresa, pois ela exerce uma atividade de risco.

Para que o plano de contingenciamento seja efetivo, é fundamental que ocorra a capacitação dos responsáveis para que cada um saiba em que momento correto e o prazo limite para cumprir suas obrigações nesse processo.

A LGPD, embora ainda não esteja em vigor, também dispõe de forma específica sobre o direito de o titular dos dados pessoais ser indenizado em casos de prejuízos decorrentes do vazamento de seus dados pessoais.

Além disso, a legislação obriga que o encarregado da proteção de dados da empresa comunique o fato à Autoridade Nacional de Proteção de Dados (ANPD) e ao Conselho Nacional de e da Privacidade, órgãos que ainda precisam ser regulamentados, num prazo razoável a partir da data do incidente.

A referida comunicação, conforme exigência legal, deve conter, no mínimo, as seguintes informações: (i) natureza dos dados pessoais afetados; (ii) informações sobre os titulares envolvidos; (iii) indicação de medidas mitigadoras e de segurança utilizadas para a proteção dos dados; (iv) os riscos envolvidos no acidente; e, (v) caso a comunicação não seja imediata, as razões da demora.

Mesmo que sejam os colaboradores da empresa que coletam os dados pessoais de terceiros, a empresa será responsável e estará sujeita às penalidades?
Sim. A LGPD atinge qualquer um que colete dados, seja pela internet, seja por outro meio. Quando um colaborador coleta dados para serem usados durante a execução de outras atividades empresariais, ele está agindo em nome da empresa, como subordinado, e a responsabilidade legal será dos gestores.

Isso significa que se sua instituição coleta dados, ou seu atendente os coleta em nome da instituição, a instituição será a responsável pela preservação, tratamento e armazenamento correto desses dados e pode ser obrigada a indenizar em caso de vazamento que gere prejuízo ao titular do dado pessoal.

Ainda que o atendente do nosso exemplo aja sozinho, em nome próprio, gerando o dano, a responsabilidade por proteger os dados pessoais continuará sendo da empresa. Caso a empresa armazene os dados pessoais em locais inseguros e ocorra vazamento ou outro incidente, a responsabilidade também será a mesma.

Quais medidas minha empresa deve tomar para estar em conformidade com a LGPD?

  • Criar ou revisar a forma pelo qual o colaborador ou cliente vai consentir e tomar ciência da finalidade do tratamento de seus dados pessoais, assegurando a possibilidade da revogação desse consentimento futuramente.
  • Adotar medidas de proteção dos dados: contar com a consultoria de especialistas para montar um plano de contingenciamento de segurança digital e medidas legais para abreviar o tempo de resposta ao incidente, reduzindo o alcance dos riscos e prejuízos financeiros.
  • Criar um canal de comunicação que permita ao titular dos dados a ciência, a alteração ou a revogação do seu consentimento para tratamento de seus dados pessoais.
  • Tornar anônimos ou pseudônimos os dados pessoais compartilhados com terceiros, se possível, como medida de reduzir o risco.
  • Capacitar os colaboradores quanto à segurança da informação e proteção de dados, exemplificando os riscos legais e as medidas procedimentais que serão implantadas.
  • Manter-se atualizado quanto às melhores práticas operacionais para o tratamento dos dados pessoais de terceiros.

Clique aqui para ler o e-book




Topo da página

 é correspondente da revista Consultor Jurídico no Rio de Janeiro.

Revista Consultor Jurídico, 25 de julho de 2020, 18h17

Comentários de leitores

0 comentários

Comentários encerrados em 02/08/2020.
A seção de comentários de cada texto é encerrada 7 dias após a data da sua publicação.