Guia da LGPD para Empresas

Em 8 de setembro de 2020

A LGPD:

Com a vigência da Lei 13.709/2018 – Lei Geral de Proteção de Dados, ou simplesmente LGPD, as empresas passaram a se preocupar mais com a gestão de dados de usuários. O que antes era considerado como boa prática no Brasil (e obrigação em grande parte do mundo, principalmente na Europa e EUA), agora passou a ser obrigatório, também aqui no Brasil.

A LGPD foi criada (utilizando como base a GDPR – General Data Protection Regulation, lei de proteção de dados europeia) com o objetivo de proteger os dados pessoais (informações relacionadas apenas às pessoas físicas), a liberdade e a privacidade das pessoas que submetem ou tem seus dados coletados por terceiros, garantindo, assim, a inviolabilidade da intimidade, da honra e da imagem, o desenvolvimento econômico e tecnológico e a inovação.

Os Dados:

É importante esclarecer que a LGPD utiliza o termo “dados pessoais”, definindo-o simplesmente como informação relacionada a pessoa natural identificada ou identificável.

Tais informações que a lei cita podem ser interpretadas, por exemplo, como o nome, número de documentos, e-mail, endereço de IP, dados de funcionários coletados pelo RH, dados de clientes para o envio de produtos, dados fiscais de compradores, referências bancárias para fins de venda à crédito, dados de pagamento, dados de clientes coletados de bancos de dados públicos, imagem/fotografia, dentre tantos outros.

Pela generalidade utilizada é importante que o cuidado adotado pelas empresas seja o mais amplo possível, já que muitos dados podem ser enquadrados como “dados pessoais”.

A nova lei cria obrigações de proteção de dados tanto para as pessoas jurídicas quanto para as pessoas físicas que coletam ou manejam os dados pessoais com fins econômicos, bem como cria obrigações, também, para o Poder Público.

A LGPD não se aplica ao tratamento de dados pessoais com fins jornalísticos, acadêmicos, de segurança pública e afins.

A proteção de dados aplica-se a qualquer forma de coleta, ou seja, tanto para coleta por meios digitais, quanto para a coleta por meios físicos (por exemplo no preenchimento de ficha cadastral de clientes ou colaboradores).

Ou seja, a LGPD não é aplicável apenas às empresas de tecnologia e de coleta de dados (como muitas pessoas imaginam), devendo ser observada por todas as companhias, independente do ramo de atividade, porte ou forma de atuação e de como os dados são coletados (se digitalmente ou se por meios físicos). O legislador não fez nenhuma exclusão. Sendo assim a lei é aplicável a todos, já que todas as empresas coletam dados pessoais.

A LGPD menciona diversas obrigações da empresa durante o tratamento dos dados pessoais. Por “tratamento de dados pessoais” entende-se, segundo o que o próprio legislador especificou: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Obrigações Impostas pela LGPD:

Como dito, a LGPD criou diversos processos que devem ser observados durante o tratamento de dados pessoais. Abaixo citamos os principais:

  1. Realizar o tratamento dos dados (por exemplo a coleta) especificando e informando de forma clara e precisa ao titular (cliente, colaborador e etc) a finalidade e forma da coleta;
  2. Obtenção de consentimento do titular dos dados, salvo nos casos de tratamento de dados tornados públicos pelo próprio titular, sendo necessário, mesmo nestes casos a adoção de medidas que visem a resguardar a segurança desses dados;
  3. No ato da obtenção do consentimento a empresa precisará disponibilizar um contato ao titular (inclusive com identificação do Encarregado de Tratamento de Dados – Data Protection Officer – DPO) preferencialmente no site da empresa, bem como especificar que seus colaboradores e pessoas que terão acesso aos dados obtidos estão sob responsabilidade (e treinamento);
  4. Se os dados forem obtidos como condição necessária para o fornecimento de um produto ou serviço o titular dos dados deverá ser informado sobre este fato, de forma destacada;
  5. A empresa precisará, no ato do consentimento, especificar todos os direitos do titular dos dados (vide próximo capítulo deste material);
  6. Em caso de compartilhamento dos dados coletados com terceiros é necessária a obtenção de consentimento específico para referido fim;
  7. Não utilizar posteriormente os dados coletados para fins que não sejam os que foram previamente informados ao titular, o qual aceitou os termos na ocasião da coleta;
  8. Limitar o tratamento utilizando o mínimo de dados possíveis (somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados), não excedendo o necessário para o fim desejável e cujo consentimento o titular concedeu previamente;
  9. Proporcionar livre acesso, inclusive gratuito e facilitado, aos dados coletados exclusivamente aos respectivos titulares, inclusive com a possibilidade de revogação do consentimento concedido;
  10. Implementar sistemas de segurança aptos a proteger os dados coletados contra terceiros não autorizados, como por exemplo, instalar sistemas contra invasão de hackers;
  11. Adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse (somente dados necessários à empresa podem ser obtidos);
  12. Adotar medidas para prevenir a ocorrência de danos em virtude do tratamento dos dados, como por exemplo, orientar e treinar os funcionários e os contratados a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
  13. Não utilizar os dados coletados para fins ilícitos ou abusivos;
  14. Demonstrar a adoção das medidas acima e comprovar a eficácia das mesmas, como por exemplo, expor de forma detalhada a gestão dos dados em política de privacidade do site;
  15. Manter registro das operações de tratamento de dados pessoais que realizar.

Consentimento do Titular:

Apesar de a LGPD autorizar a empresa a coletar dados quando necessário para a execução de contrato do qual seja parte o titular destes dados (por exemplo, no caso de um contrato de compra e venda não é necessário termo de consentimento, já que os dados coletados decorrem da própria dinâmica do contrato), é importante, como medida de governança e transparência, inclusive para fins de proteção futura, que a empresa obtenha o consentimento do titular dos dados em todas as hipóteses, ou na grande maioria delas.

A LGPD diz que o consentimento do titular deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.

É possível que o consentimento seja obtido em meios eletrônicos por meio de opção na qual o usuário seleciona que leu e concorda com as políticas da empresa de gestão de dados pessoais. Porém, neste caso é importante que os registros da opção sejam também armazenados de forma eficaz a demonstrar este consentimento.

Outra possibilidade é o consentimento ocorrer por meio de termo escrito e assinado por um colaborador que compartilha informações pessoais com a empresa, por exemplo.

É essencial que a cláusula ou a política de consentimento esteja com seu texto em destaque, sendo recomendável que a empresa providencie um termo específico para os fins da LGPD ou então que no sistema de cadastro eletrônico da empresa conste separadamente a opção de que o usuário concorda em compartilhar seus dados para os fins especificados.

É recomendável, ainda, que a empresa providencie diversos consentimentos para cada conjunto de dados, evitando, assim, que deixe de adquirir o consentimento, caso o usuário não queira compartilhar alguns dados, mas esteja disposto a compartilhar outros.

A preocupação da empresa no tocante a estes termos deve ser a de maior grau, já que segundo a LGPD é ônus da empresa provar que obteve o consentimento exatamente na forma acima descrita.

O consentimento deverá referir-se a finalidades determinadas. As autorizações genéricas para o tratamento de dados pessoais serão NULAS!

No ato da obtenção do consentimento a empresa precisará especificar de forma clara a finalidade da obtenção dos dados, a forma e período que utilizará os dados, apontar se compartilhará os dados coletados com terceiros e para qual finalidade.

No caso de mudanças da finalidade sob a qual os dados foram obtidos, a empresa deverá informar previamente o titular sobre as mudanças, podendo o titular revogar o consentimento, caso discorde das alterações e da destinação de seus dados.

A empresa tem a obrigação, ainda, de implementar procedimento gratuito e facilitado para que o titular dos dados possa, a qualquer momento, revogar o consentimento concedido anteriormente, se assim optar.

Compete à empresa, ainda, no ato da obtenção do consentimento disponibilizar seus contatos ao titular (inclusive com identificação do Encarregado de Tratamento de Dados – Data Protection Officer – DPO) preferencialmente no site da empresa, bem como especificar que seus colaboradores e pessoas que terão acesso aos dados obtidos estão sob responsabilidade (e treinamento) durante o tratamento dos dados.

Se os dados forem obtidos como condição necessária para o fornecimento de produtos ou de serviços o titular dos dados deverá ser informado sobre este fato, de forma destacada.

A empresa precisará, também, fazer menção expressa sobre os direitos do titular dos dados, os quais poderão ser exercidos a qualquer momento, especificando a forma como poderá exerce-los.

Direitos dos Usuários:

  1. confirmação da existência de tratamento de dados (devendo o pedido ser atendido pela empresa em até 15 dias);
  2. acesso aos dados pessoais (devendo o pedido ser atendido pela empresa em até 15 dias);
  3. correção de dados incompletos, inexatos ou desatualizados;
  4. anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
  5. portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
  6. eliminação dos dados pessoais tratados;
  7. informação sobre quais entidades a empresa compartilhou os dados coeltados;
  8. informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
  9. possibilidade de revogação do consentimento.

Dados Pessoais Sensíveis:

A LGPD define como “Dados Pessoais Sensíveis” aqueles dados pessoais que se referem à: origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual e dado genético ou biométrico.

Referidos dados possuem maior proteção e, por isso, exigem maiores cuidados por parte da empresa.

Término do Tratamento dos Dados:

Uma vez finalizada a finalidade para a qual os dados foram coletados ou deixando, os dados, de serem necessários à empresa, ou ainda verificadas outras hipóteses, como por exemplo no caso de revogação do consentimento, compete à empresa eliminar os dados do titular, autorizada a conservação de dados para fins de cumprimento de obrigações legais futuras.

Responsabilidade da Empresa em Caso de Danos:

Se a empresa, em razão do exercício de atividade de tratamento de dados pessoais, causar dano material ou moral, individual ou coletivo será obrigada a repará-lo.

Para a empresa não ser responsabilizada precisará provar que não realizou o tratamento de dados pessoais que lhe é atribuído, ou que embora tenham realizado o tratamento de dados pessoais, que não houve violação à legislação de proteção de dados, ou, ainda, que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiros.

É importante mencionar que, no caso de a empresa não adotar as medidas de segurança e boas práticas que a lei prevê (inclusive como obrigatórias), poderá ser responsabilizada pelos danos decorrentes da violação da segurança dos dados.

Segurança, Boas Práticas no Tratamento de Dados Pessoais e Governança:

A LGPD é enfática ao determinar como obrigação das empresas a adoção de medidas de segurança para proteção dos dados pessoais de ataques e demais situações acidentais ou ilícitas.

A preocupação é evitar perda, destruição, alteração, roubo ou qualquer tratamento inadequado a dados, como por exemplo no caso de ataques hacker ou ainda no caso de simples desvio de dados por colaboradores internos da companhia.

A Lei sugere, a título de Boas Práticas por parte da empresa e Governança, que as companhias formulem políticas internas para regulamentar os procedimentos de reclamação das pessoas cujos dados são coletados, contendo normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento dos dados, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

Tais regras deverão ser publicadas pelas empresas (inclusive em seu site) e atualizadas periodicamente.

Penalidades Administrativas:

No caso de não cumprimento das obrigações previstas na LGPD as empresas poderão ser penalizadas nas hipóteses mais brandas com uma advertência indicando prazo para adotar medidas corretivas. Já nos casos mais graves a pena poderá chegar a uma multa de 2% do faturamento da empresa (limitada ao valor de R$50.000.000,00), por infração.

Dentre os aspectos que influenciam na gradação da pena está o porte da empresa, se é reincidente ou não, se houve cooperação, se a empresa adotou mecanismos e procedimentos internos para minorar o dano (como por exemplo, a contratação de sistema de segurança no tratamento de dados), se a empresa adotou política interna de boas práticas e governança, se a empresa adotou medidas corretivas rapidamente após a infração e etc.

Um aspecto interessante mencionado pela lei é de que, no caso de vazamento de dados de uma pessoa, se a empresa que detinha os dados conseguir conciliar-se com o prejudicado (por meio de um acordo), não serão aplicadas as penalidades da LGPD a este vazamento.

Como se adequar à LGPD?

Conhecidos os principais aspectos da LGPD é necessário que a empresa identifique seus aspectos e adeque seus processos internos seguindo o fluxograma proposto:

1-) Conhecer os aspectos jurídicos da LGPD;

2-) Identificar quais são as etapas operacionais da companhia onde são coletados dados;

3-) Identificar, dentre os dados coletados, quais destes são enquadrados como dados pessoais e se há, dentre eles, os chamados dados sensíveis;

4-) Analisar a real finalidade e necessidade de coleta dos dados, já que a lei apenas permite a coleta de dados pessoais essenciais;

5-) Verificar qual o caminho percorrido pelos dados e onde os mesmos são armazenados;

6-) Verificar se os dados coletados são compartilhados, com quem são compartilhados e quais dados são compartilhados;

7-) Verificar quais são as ferramentas de segurança necessárias à empresa, garantir que tais ferramentas protejam todas as etapas percorridas pelos dados, desde o momento da coleta, armazenamento e eventual compartilhamento;

8 -) Identificar quais colaboradores da empresa tem acesso aos dados coletados e limitar o acesso (inclusive protegendo fisicamente servidores, por exemplo), bem como proporcionar adequado treinamento contínuo, em relação aos aspectos da LGPD e às práticas de segurança cibernética aos colaboradores (por exemplo, evitando que sejam baixados e instalados programas que possam comprometer a segurança interna da empresa);

9-) Identificar se as empresas com quem os dados são compartilhados também implementaram programa de adequação à LGPD, se há cláusula de confidencialidade com tais empresas, bem como se elas detêm meios eficazes de segurança;

10-) Elaborar política de privacidade eficaz na gestão dos dados, nos termos exigidos pela LGPD;

11-) Elaborar termos de obtenção do consentimento dos titulares dos dados, condizentes com o que a lei determina e com os processos da empresa;

12-) Criar um canal de comunicação para os titulares dos dados contatarem a empresa sempre que necessário;

13-) Instaurar programa de boas práticas e governança, proporcionando, juridicamente, prévia proteção em caso de vazamento de dados;

14-) Fazer análise jurídica e conjuntamente de tudo o que foi implementado para garantir que as medidas sejam conexas entre si e que supram as exigências legais;

15-) Acompanhar continuamente, por meio de equipe multidisciplinar (ao menos Jurídico, TI e RH), a coleta de dados e aprimorar os processos relacionados à LGPD e à própria evolução da interpretação da lei.

Conclusão:

Como visto a LGPD trouxe uma série de obrigações para a empresa, sendo extremamente importante a adoção de medidas visando minorar os danos que possam advir do tratamento de dados pessoais de pessoas físicas.

A adoção de medidas de segurança, controle dos dados coletados e geridos, bem como a instituição de uma eficaz política de Segurança, Boas Práticas no Tratamento de Dados Pessoais e Governança mostram-se ainda mais importantes já que tais fatores serão considerados na fixação de eventual pena e multa no caso, por exemplo, de uso indevido ou vazamento de dados coletados.

Ou seja, se a empresa demonstrar que adotou as medidas para zelar pelos dados, certamente se beneficiará no caso de dano. Mas para isso é primordial a preservação das provas que poderão ser úteis em eventual processo investigativo no caso de vazamento de dados. O contínuo acompanhamento jurídico é primordial, para esta demonstração.

Cada empresa precisará adotar um plano direcionado e criado para a sua realidade e considerando as suas possibilidades operacionais, técnicas e financeiras. O cumprimento da lei é um trabalho contínuo e acontecerá diariamente, dado o dinamismo das relações e a novidade da lei.

É importante que o advogado acompanhe o dia-a-dia da empresa, já que a gestão de dados e informações é uma atividade dinâmica e passou a fazer parte da rotina empresarial, sendo que qualquer alteração nos processos da empresa impactam a forma de gestão destes dados pessoais.

Conte com a nossa equipe!

Obtenha gratuitamente o nosso Ebook “Guia da LGPD para Empresas”.

https://www.martinezminto.com/wp-content/uploads/2020/09/Ebook-Guia-da-LGPD-para-Empresas.pdf