Lei garante a proteção de dados pessoais e vale para todas as empresas, sem exceções
Agora, no mês de agosto, entram em vigor as sanções previstas na Lei Geral de Proteção de Dados Pessoais, a LGPD. Empresas ou pessoas físicas que coletam e tratam dados com o objetivo de fornecer bens e serviços precisam se adequar. Não estando em dia, podem sofrer punições como advertências e multas que chegam a até 2% de seus faturamentos (limitadas a R$ 50 milhões). A fiscalização e aplicação das penalidades cabem à Autoridade Nacional de Proteção de Dados, a ANPD. Vale para organizações de qualquer setor ou porte. Mesmo uma lojinha com cadastro de clientes para envio de promoções por WhatsApp precisa se adequar.
“Tem se dito muito que os dados são o novo petróleo. As empresas querem ter acesso aos teus dados pra fazer propagandas ou pra direcionar conteúdos conforme os teus hábitos. Isso vale uma fortuna”, contextualiza o advogado Leandro Kern de Souza, da Griebeler Advogados Associados. É nesse contexto que a LGPD nasceu, em 2018, e está valendo – até então, sem as sanções administrativas – desde setembro do ano passado.
A legislação impõe que o detentor dos dados, de CPF e telefone à raça, orientação sexual e até comportamento em redes sociais, tenha poder sobre eles; e que organizações que os coletem sejam responsáveis e claras sobre a sua aplicação. É forma de burlar, especialmente, o vazamento ou a venda de dados pessoais para, por exemplo, empresas de crédito consignado que querem vender empréstimos.
“A Autoridade Nacional vai exigir que as empresas tenham todo um plano onde se comprove a segurança dos dados”, explica Leandro. “Vai ser uma espécie de manual de boas práticas onde ela vai apresentar um mapeamento de como os dados circulam na empresa, de que forma eles entram, em quais computadores. Tudo mapeado.” Passa por este processo, a formatação da política de privacidade, a segurança dos equipamentos de informática para evitar vazamentos; e o treinamento dos colaboradores. A lei também cria a figura de um DPO (Data Protection Officer), designação do responsável pelo tratamento dos dados.
“Eles já deram dois anos para a lei entrar em vigor; e mais um ano para as multas porque, em média, uma empresa leva seis meses para implantar este sistema”, aponta o advogado Marcos Griebeler. Ele avalia que muitas organizações, porém, ainda não estão preparadas para a etapa de penalidades. A fiscalização deve ser baseada em denúncias e também em visitas aos estabelecimentos para verificar a regularidade. “A partir de agosto, a ANPD vai notificar as empresas e, a medida em que ela for constantemente desrespeitando a legislação, vão sendo aplicadas as sanções”, explica.
Entenda melhor
– Os advogados da Griebeler Advogados Associados explicam que são pontos chave da LGPD o consentimento e a finalidade do uso dos dados. A pessoa, voluntariamente, dá seus dados pessoais a uma empresa, seja ela loja, prestadora de serviço ou site; mas precisa, nesse momento, saber expressamente com que fim esses dados serão usados. O consentimento para esse uso precisa ser dado, usualmente por escrito ou mediante assinatura digital.
– A uma empresa que pega os dados do cliente para um crediário, por exemplo, finda a finalidade da informação dos dados quando a conta é paga integralmente. Feito isso, a empresa já não pode usar os dados com outro fim, seja para envio de publicidade ou até para saber a data do aniversário da pessoa e enviar os parabéns. Isso, se não houver essa previsão no acordo do consentimento.
– Outro exemplo é o envio de ofertas por e-mail. A empresa só pode fazer o envio, usando o endereço de e-mail da pessoa, se houver um acordo quanto a possibilidade de compartilhamento da publicidade em cima do dado pessoal (no caso, o endereço de e-mail).
– Entre empresas e seus funcionários é a mesma lógica. O envio de um currículo com os dados pessoais é feito com a finalidade de realizar o processo seletivo; e apenas isso. A empresa não pode usar os dados da pessoa para outro fim.
– A pessoa também é livre para procurar a empresa – qualquer que for – e pedir para que os seus dados sejam excluídos de sua base, se findada a finalidade para a qual foram fornecidas as informações. A LGPD prevê exceções apenas quando, por outras obrigações da legislação, o arquivamento dos dados é necessário. Hospitais, por exemplo, precisam manter os prontuários dos pacientes por vinte anos. Empresas também precisam guardar informações sobre seus funcionários para envio de declarações e até para atender a possíveis ações trabalhistas. São exceções, porém, onde também não pode ser desviada a finalidade de informação do dado.
– Dados sensíveis como origem racial, convicção religiosa e opinião política são classificados como restritos e não podem ser utilizados para fins que os exponham a situações discriminatórias.
– Além de recorrer a Justiça, pessoas prejudicadas no âmbito da LGPD podem protocolar denúncias à Autoridade Nacional de Proteção de Dados através do site da entidade.
Justiça já age para garantir a lei
Apesar de as sanções administrativas passarem a valer em agosto, desde o ano passado a LGPD está em vigor; e processos na Justiça já têm tratado do tema e da sua aplicabilidade. A Cooperativa Ecocitrus, de Montenegro, está entre as primeiras empresas do País a ser condenada pelo Poder Judiciário a implementar dispositivos da LGPD. A ação foi movida pelo Sindicato dos Trabalhadores nas Indústrias da Alimentação, que denunciou a falta de adequações diante do previsto na nova lei. A organização recebeu prazo para implementar e comprovar a implementação da LGPD, sob pena de multa diária de R$ 1 mil se não o fizer.
Em nota ao Ibiá, a Ecocitrus declarou que “sempre teve medidas de segurança da informação e está trabalhando na construção de evidências de governança em proteção de dados para auxiliar a comprovação perante a justiça, parceiros e titulares. A cooperativa conta com uma assessoria jurídica especializada em proteção de dados e está acompanhando o processo referido pela reportagem. Na decisão da juíza da Vara de Montenegro, a Ecocitrus obteve êxito em mais de 30 pedidos, inclusive não sendo condenada em pagamentos de pedidos indenizatórios.”
O sindicato da Alimentação também ingressou com ações contra a JBS Aves e a Biocitrus, mas ambas conseguiram comprovar que já tinham as devidas adequações; como manual de privacidade, política de proteção de dados e o uso dos recursos tecnológicos que utilizam para tratamentos dos dados. Há, ainda, outras ações tramitando.