L. G. P. D. Entenda o impacto na sua atividade!
Você sabe qual o impacto da Lei Geral de Proteção de Dados na sua atividade empresarial?
1 – A tecnologia impacta em nosso cotidiano há muito tempo. Uma das grandes questões da atualidade está centrada no uso de dados e informações pessoais. Isso em razão de que a tecnologia e a internet propiciam e facilitam demais não apenas a coleta como o tratamento e consequentemente o uso dos dados pessoais. A questão que atualmente está na mira da legislação mundial é estabelecer regras para o tratamento dos dados pessoais, evitando que sejam efetivamente mal utilizados, utilizados de forma abusiva ou discriminatória, etc. Por isso que o Brasil na mesma linha jurídica das nações mais desenvolvidas criou uma legislação específica que regulamenta esse cenário, qual seja a Lei Geral de Proteção de Dados (n. 13.709 de 2018 que entra em vigor em agosto de 2020).
Falta muito tempo? Não. Como veremos existe muito por fazer e organizar na atividade empresarial em razão dessa lei. Por isso, é preciso tocar no assunto agora e compreender o impacto das regras no seu ambiente de negócios!
A adoção de medidas de proteção de dados será opcional, como é com a adoção de um programa de “Compliance”? Não. Como veremos a criação de um programa de integridade é uma obrigação legal, pois que a referida legislação penaliza as empresas que de certo modo forem causadoras do uso indevido dos dados pessoais de seus funcionários, consumidores ou clientes.
As mudanças são apenas nas ferramentas de tecnologia da minha empresa, envolvendo a área de T.I.? Não. Sua empresa precisará de apoio administrativo para a análise do cenário e dos riscos que envolvem o uso de dados na sua empresa, bem como de apoio jurídico para a criação de um programa de integridade e, sobretudo para alterar conteúdos de contratos, cláusulas, memorandos, avisos legais, política de uso de sites e plataformas, etc.
Mas, qual é o problema? Vamos a um exemplo. Já imaginou a “riqueza” das informações que um laboratório de análises clínicas possui? Já imaginou que “planos e seguros de saúde” podem de certa forma “obter” tais informações e até mesmo utilizá-las contra o interesse da pessoa, negando ou encarecendo um tratamento médico por conta de históricos clínicos a que teve acesso? Pois é, isso é apenas um exemplo do que se pretende evitar. O problema realmente não é apenas a fraude de dados bancários, nem tampouco o excesso de ligações telefônicas ou de emails marketing que a pessoa receba! A questão pode ser mais “perigosa” e complexa!
Nesta pequena cartilha vamos avaliar juntos os seguintes parâmetros: (A) O que é a LGPD? (B) Qual o impacto da LGPD na sua empresa? (C) Como criar um programa de integridade? (D) Como podemos ajudar!
(A) O QUE É A LGPD?
Referida lei cria regras para toda empresa que coleta, utiliza, armazena, compartilha ou de qualquer maneira se utiliza, ou seja, realiza o tratamento de dados pessoais. Se dados pessoais passam pelos registros e arquivos, físicos ou eletrônicos da sua empresa, tenham ou não sido coletados diretamente pela mesma, surge a obrigação de seguir os parâmetros da nova legislação. O objetivo geral é a proteção dos dados pessoais com a criação de regras que detalham a forma de seu tratamento para que não ocorram abusos ou usos indevidos ou ilícitos.
A legislação em comento está dividida basicamente nos seguintes tópicos: - disposições preliminares acerca de conceitos aplicáveis ao cenário; - definições sobre o que seria o tratamento de dados pessoais; - os direitos do titular de tais dados; - dos responsáveis na empresa pelo tratamento dos dados (controlador, operador e encarregado); - das responsabilidades por danos causados; das medidas de segurança e boas práticas no ambiente empresarial; das medidas de governança dos dados pessoais no ambiente da empresa; das sanções administrativas aplicáveis aos infratores; das disposições sobre a Agência Nacional de Proteção de Dados, etc.
O que são os dados pessoais? É todo dado relacionado à pessoa física que seja identificada ou identificável a partir de tal informação. A lei classifica os dados como não sensíveis e sensíveis, trazendo para este maior proteção e maior responsabilidade para quem os utilizar. Os dados não sensíveis são, por exemplo, nome, filiação, naturalidade, nascimento, documentos pessoais, etc. Dados sensíveis são aqueles referentes a saúde em geral, informação sexual, raça, opção política, religiosa ou associativa, etc.
Consentimento é um dos direitos do titular. O uso dos dados pessoais dependerá de consentimento inequívoco do titular dos mesmos em grande parte dos casos. Só não será necessário em casos excepcionais, como por exemplo, para o cumprimento de obrigação legal ou regulamentar, para o exercício de legítimo interesse do usuário dos dados, para celebrar contratos, etc.
A lei é mais rigorosa quando os dados são de crianças ou adolescentes! O consentimento deverá ser expresso e destacado. E a empresa deverá tornar pública a informação sobre a coleta desse tipo de informação! Existem artigos específicos na lei sobre esse assunto!
Faça agora as seguintes reflexões! Quais dados pessoais sua empresa trata? São sensíveis ou não sensíveis? Como o titular dá o consentimento para o uso de tais dados? De que maneira estão protegidos tais dados? Quem e como tem acesso? É compartilhado com terceiros, fornecedores ou parceiros? Se alguém questionar um uso indevido de dados sua empresa conseguirá demonstrar que os protegeu? Caso exista uso indevido que atitudes sua empresa está preparada para adotar imediatamente para proteger referida informação? Será preciso responder estas perguntas.
(B) QUAL O IMPACTO NA SUA EMPRESA?
Sua empresa deverá criar um programa de integridade. Se sua empresa de qualquer modo coleta, armazena ou utiliza dados pessoais de clientes, consumidores ou funcionários deverá criar uma política de tratamento de dados pessoais ligada a um "programa de integridade". Esse programa indicará que tipos de dados você coleta, como coleta, ou seja, o tipo de tratamento que os destina, bem como indicará todas as ferramentas necessárias à proteção dos dados, correção de eventuais problemas, etc.
E se sua empresa não cumprir a lei e com isso permitir que dados pessoais sejam utilizados indevidamente? As consequências para quem não cumprir a lei e ou permitir o uso indevido de dados pessoais são administrativas e judiciais.
SANÇÕES ADMINISTRATIVAS: advertência ou multa pela violação que pode chegar a 2% do faturamento bruto, prazo para corrigir o problema, multa diária enquanto o problema persistir e ainda a obrigação de tornar público que houve a violação dos dados pessoais.
SANÇÕES JUDICIAIS: de forma independente o titular poderá ingressar com ação judicial por danos morais e materiais, bem como o responsável direto poderá ser processado criminalmente caso ocorra algum ilícito relacionado aos crimes contra a honra.
Podemos dizer que a responsabilidade é alta! A responsabilidade pelo uso indevido dos dados é objetiva, ou seja, não depende de culpa. A empresa será responsabilizada mesmo que não tenha agido culposamente! Então, suponha que sua empresa permitiu a venda de dados pessoais para uma empresa de telemarketing ou permitiu o vazamento de fotos de usuários. Não será possível utilizar como defesa em eventual ação judicial de indenização que a culpa foi de terceiros, pois a empresa será de qualquer modo responsabilizada, independente de sua culpa.
Por isso mesmo a lei determina que toda empresa deva ter pessoas responsáveis pelo gerenciamento, pelo tratamento e pelo controle do uso dos dados pessoais! Essas pessoas, físicas ou jurídicas, que podem ser até mesmo contratadas para tal finalidade, serão responsáveis pelos seguintes cenários: controlador, operador e encarregado do tratamento de dados pessoais. Operador é quem recebe ou de qualquer forma utiliza os dados em nome da empresa. Controlador é o responsável pelo gerenciamento das atividades da empresa no que tange ao assunto e pela gestão do programa de integridade. O encarregado é o canal de comunicação oficial entre o titular dos dados ou o poder público (Ministério Público, Procon, Poder Judiciário, Autoridade Nacional de Proteção de Dados, etc.).
Além do direito de não consentir com o uso dos dados e do direito de ser indenizado pelo uso indevido dos dados, o titular poderá mediante simples e facilitado requerimento solicitar com relação a seus dados pessoais as seguintes informações ou medidas: - a confirmação do uso de seus dados; - acesso, correção e revisão de seus dados pessoais; - anonimização, bloqueio e eliminação das informações; - portabilidade e uso compartilhado; - revogação de seu consentimento.
Temos mais reflexões para fazer! Já pensou em quem vai nomear para exercer aquelas funções na sua empresa? Imaginou que será preciso criar procedimentos internos alinhados ao programa de integridade? Percebeu que as penas administrativas podem ser consideravelmente drásticas, inclusive, para a imagem da empresa perante o mercado consumidor? Imaginou que um titular pode requerer informações e isso precisará estar organizado na sua empresa? Por isso é mesmo preciso começar a organizar tudo isso o quanto antes!
(C) COMO CRIAR UM PROGRAMA DE INTEGRIDADE?
Bom, não é motivo de desespero, mas não é possível ficar parado!
A dificuldade ou a facilidade na criação de uma política de proteção de dados vai depender do tamanho da sua empresa, do volume e da complexidade do fluxo de dados pessoais que sua empresa produz, bem como da qualidade destes, se mais ou menos sensíveis. A complexidade da criação dependerá também da realidade dos procedimentos internos, dos processos da empresa, do envolvimento e da aplicação de tecnologia nesses processos. Ou seja, o tempo para a criação e sua complexidade depende de fatores específicos da sua empresa que deverão ser analisados inicialmente.
Porém, grosso modo, podemos assim organizar o passo a passo de criação de um “programa de integridade”!
1ª fase: DIAGNÓSTICO INICIAL
- crie uma equipe de trabalho ou alguém responsável pelo assunto na sua empresa, sendo que você poderá contar com o apoio de auditores externos ou escritórios de advocacia nessa formação inicial;
- elabore um diagnóstico do uso de dados a partir do que exige a legislação e de acordo com a estrutura e o fluxo de dados na sua empresa, com o que se classificarão os dados entre sensíveis e não sensíveis, bem como, por exemplo, se são necessários para fins legais ou contratuais a sua coleta.
- verifique as ferramentas de proteção e consentimento, ou seja, após compreender o fluxo de dados e sua classificação verifique se já existem ferramentas de proteção suficientes, sobretudo, tecnológicas, bem como verifique em quais cenários são exigíveis consentimentos e como isso está estruturado nos seus contratos, nos avisos legais do site da empresa, etc.
- verifique a relação com os parceiros e terceiros que contratam com sua empresa para ter certeza se recebem algum dado de seus clientes e funcionários, pois a responsabilidade continua sendo da sua empresa, tudo isso para que se possam estabelecer mecanismos jurídicos e tecnológicos de proteção neste caso.
2ª fase: CRIE O PROGRAMA
- defina a política de tratamento de dados pessoais, definindo desde o compromisso da alta direção até efetivamente instrumentos, manuais e outros conteúdos escritos que possam orientar todo o trabalho dentro de sua empresa;
- escolha o time de trabalho, ou seja, agora é preciso escolher quem exercerá as funções especificadas na lei (controlador, operador e encarregado dos dados) com fixação de suas nomeações e atribuições;
- crie um canal de comunicação, de resposta e saneamento de problemas, permitindo que exista controle, checagem e solução de problemas que possam surgir, igualmente estabelecendo aqui regras escritas que fixem as funções de cada setor e a metodologia que será utilizada pelo responsável pelo canal de comunicação;
- elabore um projeto de treinamento interno de modo a garantir que todos os funcionários e também as empresas terceirizadas ou parceiras estejam alinhadas com a política que será adotada pela empresa, tire fotos, faça lista de presença e garanta que todos estão informados sobre o assunto, de forma suficiente e documentada;
- elabore um projeto de mecanismos de publicidade que garantam que não somente os funcionários e parceiros, mas toda a comunidade, principalmente, clientes e usuários, poderão conhecer e ter acesso à sua política de uso de dados pessoais, sendo que para isso utilize do site da empresa, as redes sociais e até mesmo cartazes físicos;
- elabore um projeto de padronização de relatório anual de impacto de uso de dados, conforme exige a lei, para documentar toda a aplicação e execução da política que foi criada.
3ª fase: IMPLANTE O PROGRAMA
- aprove o programa com todos os envolvidos, garanta que a equipe de trabalho esteja de acordo e ciente de tudo o que foi criado e como foi criado;
- treine a equipe conforme o programa e documente isso;
- envolva terceiros e parceiros, convidando-os para os treinamentos quando possível, ou mesmo encaminhando informativos ou memorandos e arquive o comprovante de envio por email ou físicos;
- monitore o funcionamento de todo o programa, faça reuniões mensais com ata e declinem como está funcionando e determine aprimoramento e correções se necessário;
(D) CONCLUSÃO
É preciso se organizar a partir de agora, pois nem tudo é tão rápido ou simples, sobretudo, a depender da estrutura organizacional da sua empresa e do volume e qualidade de dados pessoais que se utilizam!
Sua empresa pode contratar um serviço que atenda integralmente toda a necessidade de planejar, criar e instalar o referido programa. Sua empresa pode realizar uma contratação híbrida em que uma equipe externa lhe ajudará com tudo isso.
Nosso escritório conta com tudo o que é necessário para lhe ajudar na estruturação desse projeto e na análise e confecção de instrumentos e documentos jurídicos e contratuais que farão parte do programa a ser criado.
Nosso escritório conta com parceiros especializados na auditoria, análise de utilização de tecnologia e criação de programas de integridade, que poderão analisar os riscos e propor os alinhamentos internos que sua empresa precisar.
Caso seja necessário nos envie um email ou entre em contato para agendarmos uma reunião presencial!
CMO ADVOGADOS
Cartilha: Lgpd - Cmo Advogados
Publicado por Luis Fernando Rabelo Chacon
julho de 2019 / Direito Empresarial
Gostou? Então compartilhe com seus amigos!
TweetSobre o autor
Luis Fernando Rabelo Chacon
Advogado Sócio desde 2000.Advogado (1999). Mestre em Direito (2005). MBA em Gestão (2010). Pós-Graduado em Advocacia em Direito Digital e Proteção de Dados (2023)
MBA em Gestão Universitária com experiência internacional na Espanha (2007), México (2008), EUA (2009), França e Inglaterra (2010) e China (2011).
Professor Universitário do Centro Universitário Salesiano de São Paulo em cursos de Graduação, Pós-Graduação e MBA (desde 2001). Professor convidado em curso de Pós-Graduação da Universidade de Santa Cruz do Sul – UNISC) (desde 2022)
Palestrante convidado da Comissão de Cultura e Eventos da OAB SP (desde 2009). Membro da Comissão Estadual do Jovem Advogado da OAB SP (entre 2013/2015).
Autor com 12 livros jurídicos publicados entre 2006/2023 nas áreas do Direito Privado, Direito Processual Civil e Gestão. Autor da Editora Saraiva desde 2006 tendo como principal obra o “Manual de Prática Forense Civil” (10ª ed. 2023).
Leia também
Para que serve e como funciona uma empresa do tipo S P E.
31/05/2023 | Direito EmpresarialNo Brasil, os empreendedores possuem diversas formas de colocar em prática as ideias comerciais que possuem.
Continue...Meus dados pessoais foram divulgados sem autorização, posso ser indenizado?
15/12/2021 | Direito EmpresarialDepende! A resposta para esta pergunta requer uma análise pormenorizada das circunstâncias em que ocorreu o uso indevido ou o vazamento dos dados.
Continue...