A Associação Empresarial de Concórdia, através da diretoria de Assuntos Jurídicos, elaborou uma cartilha orientativa, que está sendo enviada aos associados, sobre os impactos da Lei Geral de Proteção de Dados (LGPD). A legislação regulamenta a política de proteção de dados pessoais e privacidade, que irá impactar na maneira como empresas e órgãos públicos tratam a privacidade e a segurança das informações de usuários e clientes. 

A cartilha será uma importante ferramenta para auxiliar os empresários. O material é bem prático, com informações básicas, estabelecendo de forma clara e objetiva um passo a passo sobre a aplicabilidade da Lei Geral de Proteção de Dados. Confira o conteúdo da cartilha que se constitui em mais um importante serviço prestado pela Associação Empresarial de Concórdia.

A Lei nº 13.709/18 - Lei Geral de Proteção de Dados (LGPD) instituiu as regras para a Proteção de Dados no País e está em vigor desde o dia 16 de setembro de 2020.

Para melhor compreensão desta nova Lei aplicável a atividade empresarial elencamos as principais orientações:

Por que uma Lei Geral de Proteção de Dados?

São muitas as informações que circulam nas atividades empresariais. Essas informações podem ser de ordem econômica, financeira e também se referem a pessoas físicas, como funcionários, clientes, terceiros etc.

Tais informações de pessoas físicas são DADOS PESSOAIS como nome, CPF, número da carteira de identidade, telefone, e-mail, endereço, etc. Toda informação que identifique uma pessoa ou possa levar a sua identificação é classificada como DADO PESSOAL ou, ainda, podem ser DADOS SENSÍVEIS quando digam respeito a raça, religião, opinião política, filiação a sindicato, organização de caráter religioso, filosófico ou político, à saúde ou à vida sexual, dado genético ou biométrico.

Nesses casos, a mudança da cultura no uso destes dados é uma exigência da sociedade moderna que elencou a privacidade como um patrimônio e, por isso, a norma passa a regular de forma protetiva os dados. A lógica é que os dados pertencem ao titular, e não às empresas, evitando-se abusos no uso, bem como vazamento de dados.

Minha empresa precisa se adequar?

A nova Lei é aplicável a todas as pessoas jurídicas de direito público e privado quando ocorrer o tratamento de dados pessoais por pessoa natural com fins econômicos. Por “tratamento de dados pessoais” entende-se segundo o art. 5, X da LGPD como “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.

Dessa forma, todas as pessoas jurídicas, independentemente se constituídas sob a forma foi de MEI, Microempresa, Empresa de Pequeno Porte ou limitada, etc., e ainda os profissionais liberais devem se adequar aos termos desta nova lei.

É importante fixar duas definições, ou seja, controladores e operadores de dados, conforme abaixo: 

Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

Meus arquivos são físicos, mesmo assim a Lei é aplicável ao meu negócio?

Sim, a lei visa proteger os dados pessoais, tanto no formato físico como eletrônico. Portanto, mesmo que os documentos estejam todos no papel é imprescindível estabelecer os critérios de tratamento, descarte seguro, enfim, segurança da informação.

Quais os principais pontos de adequação aos termos da Lei de Proteção de Dados?

Como já referido acima, toda atividade empresarial possui os dados dos seus funcionários, sócios e de terceiros (representante comercial, sócios da empresa fornecedora, clientes e outros). Então, serão necessárias adequações internas e para o público externo. Empresas que já possuem uma boa governança corporativa e compliance (em interpretação livre que estão em conformidade com as leis vigentes e com princípios de ética e integridade) terão facilidade na adequação da LGPD.

Para tanto, é necessário ter claro quais são os dados pessoais e sensíveis realmente necessários para a atividade, e ainda, de forma exemplificativa, analisar os seguintes aspectos: 

a) A empresa garante a segurança dos dados para que não ocorra uma perda acidental ou vazamento intencional, ou mesmo um ataque cibernético? 

b) Por quanto tempo é preciso manter os dados coletados para a atividade?

c) A empresa está comunicando através do seu site e de suas redes sociais, de forma transparente, que há a coleta de dados através de cookies? 

d) A empresa possui um plano de ação para garantir segurança dos dados em todo o ciclo de vida: coleta, tratamento, transferência, exclusão?

Sou obrigado a contratar um encarregado de dados?

Sim. A Lei Geral de Proteção de Dados estabelece a figura do encarregado de dados que nada mais é a pessoa física ou jurídica indicada pela empresa para atuar como canal de comunicação entre a empresa, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

A Autoridade Nacional de Proteção de Dados (ANPD) será o órgão que regulará e fiscalizará a correta aplicação da Lei e somente ela estabelecerá as exceções à regra da nomeação.

É importante que este profissional, por força de suas responsabilidades, tenha formação e certificação específica para atuar como encarregado, permitindo-se, inclusive, a contratação de empresas prestadoras deste serviço. 

Os dados dos meus clientes estão anonimizados. Devo me adequar à Lei?

Não. Dado anonimizado é aquele que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento e por isso não necessita de proteção, nem alcançado pela LGPD.

Sou fornecedor para o Poder Público também preciso me adequar?

Sem dúvida! O Poder Público será obrigado a contratar apenas com empresas que respeitem a LGPD e as empresas que demonstrarem a implementação da LGPD e proteção aos dados pessoais estarão aptas à continuidade da contratação com o Poder Público. 

É bem possível que, dentro em breve, empresas maiores também comecem a exigir adaptação à LGPD de todos os seus fornecedores.

Quais as implicações para meu negócio na hipótese de não adequação?

Os riscos que a empresa corre no caso de não adequação ou implementação incluem:

Riscos reputacionais (possíveis danos à imagem da empresa)

Danos morais coletivos.

Dados morais e materiais individuais.

Sanções Administrativas.

Riscos à reputação da empresa: o próprio mercado selecionará àquelas empresas que possuem controle dos dados pessoais e uma resposta adequada à Lei. Isto pressupõe o respeito aos direitos dos titulares dos dados, tais como saber para que os dados serão usados, por onde passarão, com quem serão compartilhados, qual a política de segurança, até quando serão usados. A falta de observância das regras gerará abalos na imagem empresarial.

Dados morais e materiais: eventos como perda dos dados, destruição indevida, vazamento, dentre outras desconformidades e ensejará o direito de titulares de dados à indenizações, além de sanções pelos órgãos de proteção ao consumidor como o Procon e ainda pela própria ANPD.

Sanções administrativas: aplicadas pela autoridade Nacional de Proteção de Dados: de acordo com os critérios legais, poderão ser aplicadas desde advertências até multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.

Além de multa diária, publicização da infração após devidamente apurada e confirmada a sua ocorrência; bloqueio dos dados pessoais a regularização; eliminação dos dados pessoais; suspensão parcial do funcionamento do banco de dados pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; suspensão do exercício da atividade de tratamento dos dados pessoais pelo período máximo de 6 (seis) meses, prorrogável por igual período;  proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.  

Boas práticas

As regras de boas práticas e de governança serão imprescindíveis para o cumprimento da LGPD.

O art. 50 da Lei faz exigências para assegurar as boas práticas:

a) demonstrar o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;

b) ser aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;

c) ser adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;

d) estabelecer políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;

e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;

f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;

g) conte com planos de resposta a incidentes e remediação; e

h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;

Qual a providência que devo adotar para adequar minha atividade empresarial as novas regras de proteção de dados?

É recomendável que, antes de qualquer ação seja consultado um profissional da área jurídica e da Tecnologia da Informação (TI) para orientações específicas.

Esse material é meramente informativo e por certo não tem a pretensão de esgotar as medidas necessárias para a adequação, apenas demonstrar os conceitos e cuidados básicos a fim de contribuir com o conhecimento do assunto.

Ter conhecimento, organização e controle do fluxo de dados pessoais representará um diferencial estratégico para o empresário concordiense.

CARTILHA LGPD versão para baixar.