Informativos
O que muda com a LGPD em vigor
Com a facilidade para o acesso aos dados pessoais de diferentes pessoas promovida pela tecnologia, tornou-se essencial a regulamentação para proteger os cidadãos contra o uso indevido de informações, não é mesmo? Para isso, em 2020, a LGPD entrou em vigor.
Especialmente durante o período de calamidade pública no país, é fácil perceber como o mercado mudou e a oferta de produtos e serviços passaram a ser não somente físicas, mas também digitais.
Muito mais que isso, contratos estão sofrendo alterações, especialmente aqueles relativos a financiamentos, empréstimos, investimentos, aberturas de contas bancárias, tornando-se digitais, gerando o risco de uso por hackers e invasões em variados tipos de softwares.
Não são poucos os casos publicados nas mídias sociais acerca de golpes frequentemente realizados no WhatsApp ou por ligações telefônicas, em que estelionatários utilizam-se de forma fraudulenta dos dados dos titulares e se beneficiam financeiramente de forma ilegal.
A LGPD entrou em vigor justamente para proteger os dados pessoais dos titulares e a segurança de suas informações, uma vez que estamos em uma era digital onde para realizar qualquer processo online é preciso fornecer um dado pessoal.
Considerando a importância da nova legislação às empresas, confira algumas questões peculiares sobre o tema, a fim de aplicar no dia a dia do seu negócio.
Quando a LGPD entrou em vigor?
A LGPD - Lei Geral de Proteção de Dados (nº 13.709/2018), apesar de disponibilizada ao público no ano de 2018, entrou em vigor em setembro de 2020.
Nela, estão previstas penalidades graves às empresas que estiverem descumprindo as normas, como aplicação de multa em 2% do faturamento até o limite de R$ 50 milhões de reais.
Além disso, não se pode ignorar o fato de que os operadores e controladores de dados (ou seja, aqueles que fazem a captação e utilização) podem ser responsabilizados ao pagamento de indenização pelos danos suportados por titulares (aquele que fornece os seus dados, em muitas das vezes o consumidor/cliente) que tem seus dados violados, que podem comprometer o financeiro da organização.
Lembrando que:
Controlador é a “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”;
Operador é a “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”;
Daí a extrema importância da regularização da empresa, conforme prevê a LGPD.
Vale destacar que as penalidades poderão ser aplicadas pela Autoridade Nacional de Proteção de Dados - ANPD, a partir de 1º de agosto de 2021, conforme estabelecido na Lei nº 14.010/2020, viabilizando um fôlego aos empresários para regularização empresarial.
No entanto, a legislação já está valendo e, se feita uma denúncia, é possível que a empresa seja multada por outros órgãos como o Procon, o Ministério Público ou até mesmo o Poder Judiciário, dependendo da gravidade de sua ação. Assim aconteceu com uma grande construtora e incorporadora de atuação destacada no Estado de São Paulo que estava compartilhando dados de clientes com outros parceiros comerciais, sem a autorização dos clientes. Por essa conduta, a construtora foi multada pela justiça com base na Constituição Federal e no Código de Defesa do Consumidor.
A seguir veremos como funciona a LGPD no Brasil para evitar essas penalidades.
Como funciona a LGPD no Brasil
A LGPD irá funcionar como uma normativa para criar mecanismos de segurança interna das empresas de natureza pública ou privada, sugerindo uma padronização de condutas e práticas para a proteção dos titulares e dos dados pessoais utilizados, físicos ou digitais.
As normas serão aplicáveis para qualquer empresa nacional ou internacional que trate dos dados de brasileiros ou não, que estejam em território nacional, ou seja, vale para o Brasil e para o mundo, por isso é importante entender quem deve se adequar a LGPD.
Quem deve se adequar à LGPD?
Todo tipo de negócio deve se adequar à LGPD. A diferença da aplicação ou não das regras diz respeito aos tipos de dados que são utilizados por cada empreendimento.
Negócios mais afetados pela LGPD
Os negócios mais afetados pela LGPD certamente são os digitais, como startups e e-commerces.
As empresas que atuam parcial ou totalmente por meio de canais digitais serão as mais impactadas, haja vista que dependem da coleta, utilização, armazenamento, transmissão e outras condutas, de dados para prestação de serviços ou oferta de produtos.
Como adaptar contratos para a LGPD?
Os principais elementos da LGPD são: finalidade e consentimento.
Isso porque a LGPD passou a regular a necessidade dos titulares de dados conhecerem o motivo das empresas utilizarem seus dados e para qual finalidade, sendo possível, inclusive, a revogação da autorização a qualquer tempo. Daí a transparência entre empresa e consumidor é extremamente importante.
Mas não é só isso.
As empresas captam informações específicas de funcionários, gestores, fornecedores, parceiros etc, que também entram nas regras da LGPD. E qual a importância para o interno da empresa em relação a isso?
Qualquer vazamento de dados ou utilização indevida poderá ser responsabilidade da empresa que controla e administra tais informações, existindo o risco de demandas judiciais com pedidos de reparação de danos pelos titulares também.
Então, como fazer a regularização contratual?
Em um primeiro momento, deve-se mapear quais os contratos já existentes e em vigor, a fim de que sejam adaptados para o novo formato. Este deve ser elaborado em atenção à LGPD, com cláusulas expressas sobre a finalidade do uso dos dados, especificando-os, para que, ao final, seja assinado pelo titular, com a manifestação do consentimento por escrito.
Para os antigos e novos contratos, cria-se, também, Termos de Uso e Privacidade para coleta do aceite do titular, restando a transparência na relação do uso das informações e a possibilidade de revogação da autorização.
Não esqueça de verificar se existe alguma hipótese de dispensa de consentimento do titular para certos tipos de condutas, conforme prevê a LGPD. Lembrando:
quando os dados forem manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos na Lei;
quando os dados forem utilizados para uma das hipóteses abaixo indicadas:
a) cumprimento de obrigação legal ou regulatória pelo controlador;
b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;
e) proteção da vida ou da incolumidade física do titular ou de terceiro;
f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos previstos na Lei e exceto no caso de prevalecerem os direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
Posto isso, é importante adotar um sistema de controle dos contratos vigentes, a fim de que, ao término do prazo previsto, sejam adotadas as medidas de eliminação/destruição de informações.
Veja conteúdo completo com 20 dicas sobre como implantar a LGPD na sua empresa.
O que são dados pessoais?
Segundo a LGPD, a definição de dados se divide em sensíveis e não sensíveis.
É importante saber a diferença, pois a cada um será necessário um tratamento diferente.
- Dados sensíveis
Os dados sensíveis são aqueles relacionados às características físicas ou comportamentais, ou seja, à biologia ou escolhas da pessoa, como: religião, origem racial e étnica, opinião política, dados referentes à saúde e vida sexual. Podemos pensar, como uma forma de facilitar a memorização, que são aquelas informações que, se divulgadas, possuem uma probabilidade de gerar algum ato de preconceito ou até discriminação.
- Dados não sensíveis
Estes correspondem às informações pessoais de cada indivíduo, como RG, CPF, endereço, nome completo, telefone. A LGPD define as situações que essas informações podem ser tratadas pelas empresas.
A ideia é que, sempre que possível, o operador ou controlador dos dados busquem a anonimização ou pseudo anonimização de informações.
Dados anônimos são aqueles que passaram por técnicas, direta ou indiretamente, de remoção ou modificação, de modo a não permitir a identificação do titular.
Existindo a possibilidade de reversão do processo que alcançou a anonimização do dado, este processo deixa de ser considerado como anonimizado e passa a ser denominado “pseudonimização”, passando a ter técnicas específicas para o tratamento adequado.
Quando não é possível a anonimização, o tratamento dos dados não sensíveis e sensíveis seguem as normativas específicas da LGPD, a fim de proteger o titular contra o mau uso.
Qual o custo para se adequar à LGPD?
Você tem duas opções:
1) Não fazer nada e correr o risco de ser penalizado pelo descumprimento das normas com multas altíssimas de 2% do faturamento da empresa até R$ 50 milhões de reais, além de demandas judiciais e mesmo a proibição com o bloqueio parcial ou total do seu banco de dados. Além disso, não há como se desprezar o dano à imagem da empresa que muitas vezes torna-se intangível, ou;
2) investir na regularização interna da empresa, padronizando práticas e condutas de acordo com a LGPD.
Na segunda opção, será necessário um investimento que dependerá muito da assessoria jurídica escolhida ao seu caso, do porte da sua empresa e de outros fatores subjetivos.
De todo modo, os riscos pela não regularização da LGPD podem levar a sua empresa à falência se penalizada, haja vista a gravidade das consequências.
A propósito, a reestruturação interna da corporação não somente acarretará no cumprimento das normas da LGPD, mas também auxiliará na criação de processos que podem gerar a redução de custos e, consequentemente, a ampliação dos lucros.
Ou seja, o investimento só tem a agregar o seu negócio.
Quais as consequências e multas previstas pela LGPD?
Explicamos anteriormente que a multa pelo descumprimento das normas é altíssima, certo?
Para você entender melhor a gravidade, explicaremos um caso prático, que ocorreu no Brasil.
Uma grande construtora de São Paulo foi condenada judicialmente, em setembro de 2020, ao pagamento de indenização no valor de R$ 10.000,00 (dez mil reais) por infração à LGPD.
O caso foi o seguinte; um cliente havia sido assediado por diversas empresas pelo fato de ter celebrado contrato de aquisição de um imóvel com a referida construtora. Tais empresas entravam em contato com o consumidor, sem que houvesse consentimento, oferecendo serviços de arquitetura, bancários, mobiliários planejados, consórcios etc.
No entanto, consta no processo judicial que o contrato apenas constava a possibilidade de inserção dos dados do cliente em cadastro positivo de crédito, nada mais.
Assim, com fundamento no art. 2º, da LGPD, a empresa foi condenada ao pagamento de indenização, bem como proibida de repassar informações pessoais, financeiras ou sensíveis, do cliente a terceiros, sob pena de multa de R$300,00 por cada contato indevido. Essa hipótese se deu na perspectiva de um único cliente. Agora multipliquem esse exemplo pelo número de clientes da construtora para imaginar nos valores globais que as indenizações somente contra essa empresa podem gerar.
O que é a ANPD?
O órgão responsável pela fiscalização e aplicação das penalidades por infração às normas da LGPD é a Autoridade Nacional de Proteção de Dados - ANPD.
Segundo o art. 55, da lei, a ANPD é composta de:
I - Conselho Diretor, órgão máximo de direção;
II - Conselho Nacional de Proteção de Dados Pessoais e da Privacidade;
III - Corregedoria;
IV - Ouvidoria;
V - Órgão de assessoramento jurídico próprio; e
VI - Unidades administrativas e unidades especializadas necessárias à aplicação do disposto nesta Lei.
Algumas das funções deste órgão são:
- zelar pela proteção dos dados pessoais, nos termos da legislação;
- zelar pela observância dos segredos comercial e industrial, observada a proteção de dados pessoais e do sigilo das informações quando protegido por lei ou quando a quebra do sigilo violar os fundamentos do art. 2º desta Lei;
- elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
- fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
- apreciar petições de titular contra controlador após comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação;
- promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança;
- promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;
- estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis, e outras.
Vale lembrar que as penalidades serão aplicáveis a partir de 1º de agosto de 2021 tão somente em relação à ANPD, já estando a lei sendo aplicada pelos órgãos regulatórios existentes em nosso país.
O que deve ser feito em caso de incidente de dados pessoais?
A importância da regularização interna da empresa diz respeito especialmente aos casos de incidentes de dados pessoais.
Por isso, reforçamos que a instauração de uma auditoria por meio de programa de compliance é essencial a fim de averiguar rapidamente a existência de um incidente.
Um vazamento de dados pessoais, por exemplo, é um incidente que deve ser rapidamente resolvido.
Se isso ocorrer, é necessário avisar imediatamente a pessoa afetada e também a ANPD, conforme a gravidade, em especial, diante da análise dos dados que vieram a público. Essa circunstância poderá ser avaliada por um profissional especializado na proteção de dados, mais conhecido como Data Protection Officer (ou, Encarregado de Proteção de Dados, conforme tratado pela Lei Geral de Proteção de Dados).
Na sequência, devem ser tomadas as medidas necessárias para mitigar os danos ocorridos com o incidente e, o mais breve possível, colocar o sistema novamente em funcionamento, o que dependerá da análise da amplitude de cada situação.
Ficou com dúvidas? Deixe seu comentário, será um prazer lhe orientar.