Direito Digital e Negócios Digitais

A Lei Geral de Proteção de Dados Pessoais, sancionada em agosto de 2018, vai entrar em vigor em 01 de Janeiro de 2021. Esse prazo entre a aprovação e o seu cumprimento foi dado para que as empresas tenham tempo para se estruturarem e conseguirem colocar em prática as novas exigências.

O objetivo da nova lei é regulamentar o tratamento de dados pessoais de clientes e usuários por parte de empresas públicas e privadas em território nacional. Por “tratamento” podemos entender qualquer procedimento que envolva o uso de dados pessoais, como a coleta, a classificação, a utilização, o processamento, o armazenamento, o compartilhamento, a transferência e a exclusão.

Diante disso, a partir do momento em que a LGPD entrar em vigor, qualquer empresa que tiver em sua base informações de pessoas físicas, por mais básicas que sejam, como nome e e-mail, deverão seguir os procedimentos previstos na nova lei. Quem não cumprir o que está estabelecido pode ser multado em até R$ 50 milhões.

Para cumprir as exigências da lei, as empresas terão que fazer investimentos para a implementação de uma política e de uma estrutura interna de adequação para o tratamento de dados de pessoas físicas. Isso vale tanto para o setor privado quanto para o público. Para começar, o ideal é solicitar à equipe de TI, que pode ser interna ou externa, que faça um pente fino no que a organização tem armazenado, analisando os riscos e os impactos das novas exigências.

Com esses diagnósticos em mãos, é possível verificar em qual estágio o negócio se encontra quando o assunto são os dados de pessoas físicas, quais são os pontos mais vulneráveis dos sistemas e quais são os maiores fatores de risco.

A LGPD estabelece três figuras distintas relacionadas ao tratamento de dados. São os chamados Agentes de Tratamento:

• O controlador: é quem toma as decisões sobre o tratamento dos dados.
• O operador: é quem coloca em prática as orientações dadas pelo controlador.
• O encarregado de dados: é quem tem a missão de fazer a ponte entre o controlador, o titular dos dados e a agência governamental responsável pela fiscalização da lei, que neste caso é a Agência Nacional de Proteção de Dados (ANPD).

O controlador e o operador são aqueles que têm responsabilidades diante da lei. Normalmente, essas duas figuras são pessoas jurídicas, raramente aparecerão como pessoa física. Já o encarregado de dados, também conhecido como DPO (Data Protection Officer) é a figura que todo negócio terá que ter, podendo ser interno ou terceirizado, pessoa física ou jurídica. É ele quem tem a responsabilidade final dentro da empresa sobre qualquer dado pessoal que for processado.

Depois dessa primeira etapa de verificação da situação e estruturação de colaboradores, é interessante que se crie uma cartilha com as diretrizes da empresa sobre a proteção de dados e se coloque toda a empresa a par da nova Lei.

Segundo o texto da lei, os cidadãos terão mais controle sobre como será feito o tratamento de seus dados e para qual finalidade específica eles serão usados. Quer dizer, as empresas deverão deixar claro ao proprietário do dado para o quê ele será utilizado. Isso deve ser feito por meio de uma base legal (contrato, legítimo interesse, consentimento, entre outros).

A intenção é impedir o uso indiscriminado de dados pessoais dos cidadãos, informados por meio de cadastros e formulários, e garantir um tratamento diferenciado aos dados considerados sensíveis.

De acordo com a lei, são consideradas sensíveis as informações sobre:

• origem racial ou étnica; convicção religiosa; opinião política; filiação a sindicato ou à organização de caráter religioso, filosófico ou político; referente à saúde ou à vida sexual; e material genético ou biométrico.

A LGPD também exigirá atenção especial ao relacionamento das empresas com seus clientes e usuários, pois as pessoas terão o direito de solicitar a devida proteção e privacidade de seus dados. Elas poderão, inclusive, questionar se uma empresa possui informações suas armazenadas e, em alguns casos, até mesmo requisitar que elas sejam apagadas.

Claro que não estamos falando, por exemplo, do cadastro de alunos em escolas e universidades ou dos dados entregues à Receita Federal. O maior problema que a nova legislação quer combater é o uso indevido das informações pessoais por multinacionais e grandes empresas de tecnologia − utilização dos dados que foram adquiridos para um propósito em outro sem a devida permissão − que são as que podem gerar mais danos.

No entanto, é preciso que fique claro que a lei é para todos, não havendo exceções quanto a tamanho ou segmento de negócio.

Junto com a nova lei também foi criado um órgão federal: a Autoridade Nacional de Proteção de Dados (ANPD). Entre suas competências estão zelar pela proteção dos dados pessoais, elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade e aplicar penalidades em caso de tratamento de dados feito de maneira irregular.

As penalidades previstas na Lei são as seguintes:

• Advertência com indicação de prazo para adotar as medidas corretivas;
• Multa simples de até 2% do faturamento da empresa, limitada ao teto de R$ 50 milhões por infração;
• Multa diária, limitada ao teto de R$ 50 milhões;
• Comunicação pública da infração após devidamente apurada e confirmada sua ocorrência;
• Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
• Eliminação dos dados pessoais a que se refere a infração.

A LGPD vai trazer alguns desafios para as empresas, especialmente no que diz respeito à mudança de hábitos. Há anos os processos são feitos de um modo padronizado, seguindo sempre os mesmos passos. Agora será necessário mudá-los ou adaptá-los para seguirem os princípios da nova lei. E, não estamos falando de alterações em um setor ou em um grupo de pessoas. O impacto será geral.

A forma de lidar com os clientes será diferente, os contratos precisarão ser revisados, o modo de tratar os dados dos colaboradores passará por aprimoramento e daí por diante. Tudo isso vai chegar, obrigatoriamente, à área de TI, que terá que fazer uma revisão geral de tudo o que a empresa possui, desde a quantidade e qualidade das informações já armazenadas (dados estruturados e não estruturados) até sua infraestrutura de hardware e software.

Começamos pela mudança cultural, que possivelmente é a que vai causar mais repercussões dentro das empresas, pois mexe com o comportamento das pessoas. Um bom início de trabalho aqui é apresentar e explicar do que trata a nova lei para todos os colaboradores, do alto ao baixo escalão. Eles precisam entender sua importância e como a atenção de cada um é essencial para que ela seja cumprida.

Depois, é preciso relembrar que determinados comportamentos devem ser abolidos, como fazer uma lista de senhas e deixar exposta, manipular documentos estratégicos na frente de todos e deixá-los em exposição e, até mesmo, falar sobre alguns assuntos mais sensíveis em público, revelando dados pessoais. É claro que tudo isso tem relação direta com a segurança, mas também está ligado ao modo de fazer das pessoas — e é isso que tem que mudar.

As empresas vão precisar fazer toda uma conscientização sobre as exigências da LGPD e mostrar que erros bobos podem trazer consequências graves, como multas capazes de comprometer o funcionamento do negócio.

Além do trabalho com o público interno, é necessário também dedicar um tempo ao público externo, independentemente se ele é formado por outras empresas ou pelo consumidor final. Ao lidar com outros negócios, o ponto principal é conseguir estabelecer um diálogo para encontrarem a melhor forma de juntos, adequarem-se à Lei Geral de Proteção de Dados Pessoais, especialmente se há um compartilhamento de informações, pois todos serão responsabilizados se ocorrer algum problema.

Não é porque a sua empresa vai precisar deixar mais explícitos os tratamentos que serão feitos com as informações dos clientes que eles devem ser vistos como inimigos. Pelo contrário, quanto mais confiança eles tiverem em você, mais fácil será conseguir os dados e manuseá-los. Além disso, há casos em que ter um usuário consciente de seus direitos é fundamental. Digamos que você tem um e-commerce de roupas e uma das principais ferramentas de divulgação são os e-mails marketing enviados aos clientes que compram e se cadastram no site. Eles já confiam em você, então pode ser o momento de aproveitar e indicar que existe uma nova lei de proteção de dados, explicar como ela funciona e mostrar como sua loja online está se adequando. Isso é respeito ao consumidor e sempre será lembrado na hora em que ele for escolher onde comprar.

Especialmente na relação empresa-empresa, uma boa maneira de esclarecer como será feito o tratamento dos dados é por meio do contrato. Se já há um contrato em vigência, é possível fazer um adendo. E se estiver no momento da renovação, o ideal é incluir um tópico específico sobre a LGPD.

A cláusula que tratar desse assunto deve estar destacada das demais e conter todas as especificações necessárias, de forma direta e objetiva, a fim de eliminar qualquer dúvida ou possibilidade de dupla interpretação. No entanto, não é somente com os parceiros comerciais que a sua empresa deve se preocupar. Os contratos dos empregados também precisam ser revistos para contemplar as exigências da lei.

Tudo isso gera segurança jurídica e aumenta a credibilidade do negócio perante o mercado, que enxergará sua integridade e capacidade de adequação.

Sabemos que, à primeira vista, a Lei Geral de Proteção de Dados Pessoais pode parecer algo grande e complexo, que vai demandar tempo e recursos que a maioria das empresas não tem. Mas não precisa ficar preocupado.

Ainda há tempo para deixar tudo dentro das exigências da lei e, em muitos casos, as adaptações serão pequenas, necessitando de poucos investimentos.

O que você não pode é deixar tudo para a última hora. Se a sua empresa não tem uma equipe de TI interna, procure por profissionais que estão familiarizados com a nova lei, assim como por fornecedores cujas soluções já estejam adaptadas.

Nesse momento, poder contar com nosso escritório de advocacia.