Informativos
LGPD na prática aplicada à sua empresa.
Provavelmente você deve ter ouvido falar muito em LGPD nos últimos tempos.
Afinal, a Lei Geral de Proteção de Dados, desde que foi sancionada, causou diversos impactos sociais, jurídicos e econômicos não só no cotidiano empresarial, como também na vida de todos os brasileiros.
Desde a Constituição do Império de 1.824, o Ordenamento Jurídico brasileiro já se dedicava a tutelar o direito à privacidade, obviamente com as limitações afetas à época, mas demonstrando desde os primórdios certa atenção à necessidade de resguardar a intimidade dos indivíduos.
No entanto, a evolução da sociedade e a ascensão de novas formas de se relacionar e de se comunicar elevaram a proteção da privacidade e dos dados pessoais a um novo patamar.
Tamanha foi a necessidade de atualizar a tutela de bens jurídicos dessa relevância que no final de 2018 foi sancionada a Lei Geral de Proteção de Dados (Lei nº 13.709/18), se consagrando como um marco histórico no que diz respeito à segurança aplicada ao tratamento dos dados pessoais.
A LGDP é a lei que dispõe sobre o tratamento de dados pessoais, inclusive no âmbito digital, por pessoa natural ou pessoa jurídica, com a finalidade de dispensar proteção aos direitos fundamentais da liberdade, privacidade e livre desenvolvimento da personalidade da pessoa natural.
No decorrer deste artigo, iremos demonstrar como funciona a LGDP na prática, elucidando os pontos mais importantes dessa novidade normativa, especialmente no âmbito dos contratos empresariais. Acompanhe!
LGPD na prática para agentes de tratamento de pequeno porte
A Autoridade Nacional de Proteção de Dados (ANPD) disponibilizou um checklist de medidas de segurança de observância altamente recomendada em termos de adequação à LGPD na prática da atividade empresarial, especialmente aos agentes de tratamento de pequeno porte.
-
Considera-se agente de tratamento de pequeno porte: sociedades empresárias, sociedades simples e empresário individual com receita bruta anual de até R$4,8 milhões, microempreendedor individual com receita bruta anual até R$81 mil e startups autodeclaradas ou empresas de inovação com receita bruta anual de até R$16 milhões.
Importante destacar que os agentes de tratamento de pequeno porte mereceram especial atenção pela ANPD em razão do tamanho, quesito financeiro e consequentes limitações para efetiva colocação da LGPD em prática.
Isso porque, nem sempre tais empresas possuem no quadro de funcionários profissionais especializados em segurança da informação, sendo preciso aprimorar seus procedimentos e seu pessoal no que toca ao tratamento dos dados pessoais.
Você pode ter acesso ao checklist completo aqui.
Confira também o Guia Orientativo de Segurança da Informação para Agentes de Tratamento de Pequeno Porte aqui.
Nesta oportunidade, optamos por dar destaque às principais medidas de segurança que devem ser adotadas pelos agentes de tratamento de pequeno porte para colocar a LGPD na prática, confira:
-
Adoção de política de segurança da informação simplificada, porém, eficiente, para controle de tratamento dos dados pessoais, como por exemplo cópias de segurança, uso de senhas, limitação ao acesso à informação e ao compartilhamento de dados, uso de antivírus, etc.;
-
Coletar apenas informações que sejam estritamente necessárias para a finalidade pretendida pela empresa (por exemplo, se não for necessária a informação do nº do RG do cliente, não coletar esse dado quando do atendimento);
-
Realizar revisão periódica na política de segurança da informação da empresa;
-
Revisar os contratos vigentes com observância à LGPD e inserir cláusulas de segurança da informação nesses instrumentos (adiante iremos discorrer mais detalhadamente sobre isso!);
-
Treinar e conscientizar os colaboradores sobre o tratamento de dados pessoais em consonância com a LGPD e normas da ANPD;
-
Exigir que os colaboradores da empresa assinem termos de confidencialidade;
-
Implementar soluções de pseudonimização, como a criptografia, para cifrar dados pessoais;
-
Proteger e-mails com AntiSpam e Antivírus, mantendo-os sempre atualizados;
-
Implementar sistema de controle de acesso para todos os usuários, de acordo com a necessidade de acesso aos dados pessoais armazenados (Obs.: Nesse ponto, uma medida interessante é adotar o princípio do menor privilégio e proibir o compartilhamento de contas e senhas entre os funcionários);
-
Fazer varreduras antivírus constantes nos dispositivos e sistemas utilizados, bem como atualizar os softwares de proteção constantemente.
Bom, como dito, essas foram apenas algumas das medidas que devem ser implementadas pelos agentes de tratamento de pequeno porte.
Existem tantas outras que podem ser encontradas no checklist da ANPD. Não deixe de conferir!
A importância da revisão dos contratos da empresa
Ante a premente necessidade de adequação empresarial frente às exigências da LGPD, não basta que as instituições se atualizem em termos de estrutura, sistema de informação e treinamento de pessoal.
É primordial que as empresas se dediquem a revisar e atualizar seus contratos, sejam os já vigentes, sejam os futuros.
Isso mesmo, os contratos já vigentes também precisam ser adequados à LGPD.
Por meio da revisão contratual, é possível que as empresas revisem e ajustem seus instrumentos em consonância com a LGPD. Apesar de parecer simples, essa providência é tão necessária, quanto urgente, podendo evitar muita dor de cabeça para os empreendedores, tais como: rescisões contratuais, sanções administrativas (advertência, multa simples, entre outras), processos judiciais, indenizações, aborrecimentos com clientes, prejuízo à imagem, credibilidade e reputação no mercado, etc.
Para colocar em prática essas adequações no âmbito contratual, o primeiro passo é contar com o auxílio de um profissional qualificado e atualizado em termos de LGPD. O advogado irá auxiliar a empresa a compreender se exerce o papel de controladora ou operadora no tratamento de dados (fique tranquilo, sobre isso falaremos mais adiante!)
Siga os seguintes passos: 1º) Consulte e contrate um bom advogado; 2º) Tenha em mãos os contratos da empresa e, finalmente; 3º) Mãos à obra.
-
Conheça os contratos vigentes e realize os aditivos necessários naqueles que envolvem a coleta e tratamento de dados pessoais (ex: contrato de trabalho, de compra e venda, de franquia, de prestação de serviços, etc.);
-
Informe os contratantes acerca das alterações realizadas, bem como solicite a assinatura dos termos aditivos a fim de que demonstrem ciência e aquiescência com as políticas implementadas;
-
Antes de realizar novas transações, revise os modelos de contratos utilizados pela empresa a fim de inserir, excluir ou modificar cláusulas, deixando todos os instrumentos em conformidade com a lei.
Entenda os principais conceitos abordados pela LGPD
O contexto normativo em torno da privacidade e dados pessoais perpassa pelos três principais conceitos sobre os quais discorreremos adiante: dados pessoais + tratamento + operadores e controladores.
Dados pessoais
Esse é um conceito de suma importância quanto o assunto é LGPD. Afinal, a atuação normativa foi justamente no sentido de conferir proteção aos dados pessoais.
Considera-se dado pessoal toda aquela informação atrelada à projeção, extensão ou dimensão de uma pessoa, seja em seu âmbito pessoal, seja em sua esfera relacional. Seus titulares são as pessoas naturais identificadas ou identificáveis, a quem os dados se referem.
O art. 5º da LGPD ratifica tal conceituação no sentido que dado pessoal é “informação relacionada a pessoa natural identificada ou identificável” e, vai além ao definir que dado pessoal sensível é “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.
Exemplos de dados pessoais: nome, CPF, RG, e-mail, telefone, número da CTPS, estado civil, etc.
Tratamento
Tem-se por tratamento qualquer operação realizada com dados pessoais, como por exemplo as que se referem a coleta, acesso, reprodução, classificação, transmissão, distribuição, armazenamento, avaliação, eliminação, comunicação, etc.
Para tornar mais factível, imagine que instituições comerciais, industriais, entidades públicas ou privadas, utilizam e lidam diariamente com informações pessoais alheias no âmbito de suas atividades.
Portanto, quaisquer operações realizadas com essas informações, ou seja, com dados pessoais dos indivíduos, enquadram-se no conceito de tratamento trazido pela LGPD.
Os agentes de tratamentos de dados são os operadores e os controladores, sujeitos importantíssimos sobre os quais falaremos a seguir.
Operadores e controladores
Operadores e controladores, como visto, são os agentes responsáveis pelo tratamento dos dados pessoais.
Importante chamar a atenção para o fato que operadores e controladores são sujeitos diversos e o papel de cada um deve ficar muito bem definido na relação entre ambos, especialmente quanto às respectivas responsabilidades e atividades desempenhadas.
-
Segundo a LGPD, o operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. O operador sempre irá agir processando e gerenciando as informações em total conformidade com as regras estabelecidas pelo controlador.
-
Por sua vez, o controlador é pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. Portanto, o controlador tem o papel importantíssimo de definir e zelar pelo gerenciamento adequado – especialmente através do operador - das informações coletadas, acessadas, arquivadas, distribuídas, reproduzidas, eliminadas, etc. pela instituição.
Uma instituição, seja ela qual for, pode desempenhar o papel de controladora ou de operadora, variando a depender do contexto das atividades exercidas.
Para ficar mais claro, vamos ao exemplo.
Imagine que um indivíduo, ao realizar um pedido de refeição através do aplicativo “iFood”, fornece seus dados pessoais (nome, endereço, telefone, e-mail) àquela empresa na hora de preencher o seu cadastro. Realizado o cadastro e o pedido, o “iFood” precisa repassar tais informações ao restaurante responsável por preparar e enviar o alimento ao consumidor.
Nesse caso, o “iFood” figura como controlador, enquanto que o restaurante desempenha o papel de operador.
A título de curiosidade, o art. 52, da LGPD, dispõe que os agentes de tratamento de dados (ou seja, operador e controlador), podem sofrer sanções administrativas em caso de infrações cometidas às normas previstas na lei. Citamos 4 delas, deixando registrado, contudo, que existem diversas outras:
-
advertência, com indicação de prazo para adoção de medidas corretivas;
-
multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
-
multa diária, observado o limite total a que se refere o item anterior;
-
publicização da infração após devidamente apurada e confirmada a sua ocorrência;
Isso sem mencionar eventuais condenações na esfera judicial em razão de processos movidos por consumidores. Ficou claro? Então vamos adiante...
Como atualizar os contratos à LGPD com base no Guia Orientativo da ANPD.
Ao falarmos sobre LGPD na prática, é indispensável ter como base o Guia Orientativo emitido pela Autoridade Nacional de Proteção de Dados (ANPD). Confira aqui.
Se sua empresa ainda não se adequou à LGPD, confira abaixo os principais pilares que devem ser observados no gerenciamento de contratos, especialmente quando ocorre a terceirização dos serviços de tecnologia da informação.
Um ponto importante a ser observado é a indispensabilidade de contar com uma assessoria jurídica competente e atualizada em termos de LGPD. O advogado é o profissional qualificado para implementar as adequações contratuais necessárias e para atualizar a estrutura jurídica interna da instituição.
Cuidam-se de cláusulas de segurança da informação no intuito de assegurar a proteção dos dados pessoais no gerenciamento de contratos, sendo elas:
Regras para fornecedores e parceiros;
Para os agentes de tratamento de dados de pequeno porte que realizam a terceirização dos serviços de TI, uma medida relevante é estabelecer com os fornecedores e parceiros contratos que incluam cláusula de segurança da informação, assegurando, com isso, uma adequada proteção dos dados pessoais envolvidos.
Outra medida interessante é condicionar a contratação de sub operadores somente mediante expressa autorização do controlador e delimitar as suas atuações e responsabilidades.
Regras sobre compartilhamentos;
Recomenda-se que os funcionários da empresa assinem termos de confidencialidade se comprometendo a não compartilhar informações confidenciais envolvendo dados pessoais, colhidas no âmbito da atividade profissional.
Do mesmo modo, é importante orientar os colaboradores ao não compartilhamento de contas e senhas para evitar que terceiros tenham acesso a informações internas.
Enfim, essas e outras medidas devem ser colocadas em prática para evitar abusos de privilégio.
Relações entre controlador-operador;
Em 1º lugar, é preciso ter bem definido se a empresa exerce o papel de controladora ou de operadora.
? Aspectos contratuais sob a ótica do controlador: destaque à definição clara do objeto do contrato; cláusula de confidencialidade; verificação da real necessidade de captar as informações do cliente (colher apenas os dados estritamente necessários); prazo para informar incidentes de segurança (ex: vazamento de dados, indisponibilidade do sistema, etc.); previsão de possibilidade ou não de subcontratação ou terceirização dos serviços.
? Aspectos contratuais sob a ótica do operador: destaque à definição do objeto do contrato, de modo que o operador atue estritamente dentro dos limites ajustados e contratados, sob pena de responsabilização; prazo para informar eventuais incidentes ao controlador; prazo de manutenção/eliminação dos dados colhidos.
Orientações sobre o tratamento a ser realizado com vedação a tratamentos incompatíveis com as orientações do controlador
Como citamos anteriormente, o controlador é quem efetivamente dita as regras, já que pelos termos da própria LGPD é a ele quem compete as decisões referentes ao tratamento de dados pessoais.
Por sua vez, é o operador quem age cumprindo as ordens do controlador e os dispositivos legais.
Com isso, é indispensável haver previsão contratual delimitando a atuação do operador em estrita consonância com as ordens do controlador, vedando qualquer tipo de tratamento incompatível com as decisões deste, inclusive sob pena de responsabilização, a qual também deve ficar clara no instrumento.
Cumpre destacar que o operador responde por danos patrimoniais, morais, individuais e coletivos, tal como pelas violações à legislação (dever de reparação), do mesmo modo em que se aplica ao controlador.
Chegando ao fim do presente artigo, propomos uma breve reflexão...
A sociedade moderna – informacional, digital e tecnológica – exigiu do ordenamento jurídico uma disciplina atual e efetiva quanto ao tratamento dos dados pessoais e da privacidade dos indivíduos, sem, contudo, deixar de lado os interesses para o desenvolvimento econômico e tecnológico do país.
Surgiu, enfim, a LGPD com essa finalidade.
Cabe agora a todas as instituições, públicas e privadas, arregaçarem as mangas para promover todas as adequações e atualizações necessárias, seja em termos jurídicos e contratuais, recursos humanos, segurança da informação, cultura organizacional, dentre outros.
Desde agosto de 2021 a LGPD está integralmente em vigor, de modo que sua aplicação já pode ser exigida de toda e qualquer instituição.
Sua empresa está 100% adequada e atualizada em termos de LGDP? Está atuando de forma segura e em conformidade com os protocolos de segurança da informação? Faça tal reflexão e, caso a resposta seja negativa para essas questões, procure o quanto antes um profissional qualificado para auxiliá-lo nessa importante missão!
Esse conteúdo foi útil para você? Compartilhe com alguém que possa se interessar pelo assunto.
Se ficou alguma dúvida, estamos à disposição para ajudá-lo(a). Entre em contato com nossa equipe!