Sua empresa é obrigada a criar um programa de proteção de dados?

Sua empresa é obrigada a criar um programa de proteção de dados?

08/04/2019 | Direito Empresarial | Luis Fernando Rabelo Chacon

A LGPD – Lei Geral de Proteção de Dados – 13.709/2018 – estabelece que todas as empresas que recebem e ou processam dados pessoais de seus clientes, funcionários ou usuários, bem como que toda empresa que coleta, armazena, trata e ou compartilha dados pessoais terá que respeitar as regras da referida lei, sendo certo que há penalidades pesadas, incluindo multas, para o seu não cumprimento.

Além das sanções previstas na lei, de caráter administrativo, o titular dos dados pessoais que se sinta prejudicado poderá também solicitar uma reparação por danos morais, pois os dados pessoais fazem parte dos direitos da personalidade, protegidos pela nossa Constituição Federal e pelo Código Civil.

Segundo o artigo 5º da referida lei “dado pessoal” é toda informação relacionada a pessoa natural identificada ou identificável. No mesmo sentido, considera “dado pessoal sensível” aquele que diga respeito a “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.

A lei considera que é importante regulamentar o tratamento que a empresa ou a entidade dará aos dados pessoais, principalmente, os sensíveis. O tratamento é permitido conforme as hipóteses indicadas no artigo 7º da lei: - por consentimento do titular; - para se cumprir obrigação legal ou regulatória pelo controlador; - pela administração pública para a execução de políticas públicas; - para a realização de estudos por órgão de pesquisa, garantido o anonimato; - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados ao contrato e quando assim solicitado pelo titular; - para o exercício regular de direitos em processo judicial, administrativo ou arbitral; - para a proteção da vida ou da incolumidade física do titular ou de terceiro; - para a tutela da saúde em procedimentos com esse fim; quando necessário para que o controlador exerça seus interesses, salvo se houver ofensa a direitos ou liberdades fundamentais do titular; - para a proteção de crédito quando o caso.

O artigo 14 revela os cuidados mais específicos aplicáveis aos menores de idade. Deverá ser observado em todos os casos o “melhor interesse da criança e do adolescente”, inclusive, exigindo-se o consentimento específico e em destaque dado por pelo menos um dos pais ou responsável (por exemplo, previsto em cláusula contratual existente em contrato assinado por estes). Aqueles que gerenciam dados pessoais de menores de idade, sejam escolas, sejam clínicas médicas, por exemplo, deverão manter pública a informação sobre os tipos de dados que coleta, a sua forma de utilização e os procedimentos existentes para a proteção dos direitos do titular.

O artigo 52 define as sanções administrativas a que estão submetidas as empresas obrigadas ao gerenciamento dos dados pessoais que vai da advertência e indicação de prazo para adotar as medidas corretivas até mesmo a aplicação de multa que pode chegar a 2% do faturamento da empresa e ainda multa diária para corrigir as falhas encontradas, entre outras medidas, inclusive, não impedindo que o prejudicado possa buscar medidas judiciais cíveis ou criminais de forma independente. Além de outros, a existência de um programa de proteção de dados, a boa fé, a busca pela solução do problema, etc., será utilizado como fonte de redução das penalidades previstas na lei.

Uma escola coleta informações pessoais no requerimento de matrícula, na ficha médica e no contrato de prestação de serviços, bem como no eventual cadastro do aluno no âmbito da assistência social, por exemplo. O clube recreativo coleta dados pessoais no cadastro dos sócios e dependentes. Ambos, clube e escola, coletam, armazenam e podem usar essas informações em diversos cenários. Precisam então criar um “plano de proteção de dados pessoais”. Uma associação, ao cadastrar seus associados, igualmente coleta dados pessoais, armazena e pode utilizá-los. Uma loja efetua a coleta de dados pessoais no cadastro de seu crediário. Um condomínio coleta informações de seus usuários e até mesmo dos frequentadores esporádicos. Escritórios de contabilidade ou o próprio setor do “departamento pessoal” das empresas também coletam dados. Ou seja, muitas empresas estão, com maior ou menor complexidade, envolvidas neste cenário e a partir de 2020 podem ser cobradas das exigências que a lei mencionada traz.

Em síntese as empresas obrigadas pela lei poderão seguir o seguinte roteiro para a criação da sua política de controle e gerenciamento de dados:

1 – Criar uma estrutura de “Governança de Dados” na instituição ou na empresa, que criará e gerenciará o “plano de proteção de dados” e quem são os responsáveis na empresa para implantar e monitorar o seu funcionamento, podendo inclusive delegar essa atividade para prestadores de serviços terceirizados, como os advogados que possuam a expertise e a estrutura necessária.

2 – Criar e preservar, conforme o “plano de proteção de dados”, um inventário completo da localização, do armazenamento e do fluxo de dados pessoais, inclusive, classificando tais informações conforme os padrões previstos na legislação, sobretudo, acerca da sensibilidade dos dados.

3 – Implantar uma “política de privacidade de dados” conforme os requisitos legais e adaptada à realidade da empresa ou instituição, sobretudo para mitigar os riscos operacionais de danos aos indivíduos.

4 – Criar e sustentar “procedimentos operacionais” internos que garantam a privacidade de dados às suas operações e o gerenciamento dos riscos de exposição indevida.

5 – Criar e fazer cumprir um “cronograma de treinamento e comunicação contínua” para promover o respeito e a conformidade com as regras internas e externa aplicáveis à proteção dos dados pessoais e a mitigação de riscos operacionais.

6 – Criar procedimentos para garantir que as “contratações com terceiros ou parceiros” respeitará as regras existentes e dentro dos limites aceitáveis na legislação;

7 – Preparar “mecanismos de avisos” para seus clientes ou usuários apontando a sua política de privacidade de dados, inclusive, garantindo que isso esteja previsto em seus contratos, termos de uso ou documentos afins;

8 – Atender as “reclamações, solicitações e requerimentos” feitos por seus clientes e usuários, inclusive, com facilitação de contato via canais de comunicação com a empresa;

9 – Monitorar a inserção da política de controle de dados em todas as “novas atividades”, novos procedimentos ou mudanças na organização garantindo que em todas elas a proteção seja respeitada de forma adequada;

10 – Apurar e corrigir violações, mantendo um “sistema de denúncia, de controle e de investigação” em relação a incidentes relacionados à privacidade de dados;

11- Acompanhar, monitorar e “medir” cotidianamente a efetividade dos procedimentos e controles internos, demonstrando-se com isso que as práticas operacionais estão em conformidade com a política de privacidade de dados.

A lei obriga a empresa a manter uma equipe responsável pelo programa (controlador, operador e encarregado), seja ou não funcionário, tenha ou não vínculo direto com a empresa.

Enfim, é preciso antecipar esse passo! 2020: está ali! Nosso escritório pode ajuda-lo a compreender melhor esse cenário, a analisar como isso reflete na sua atividade e com isso ajuda-lo na construção e no controle deste programa!

CMO Advogados

Luis Fernando Rabelo Chacon