LEI GERAL DE PROTEÇÃO DE DADOS

LEI GERAL DE PROTEÇÃO DE DADOS LGPD

Você já está preparado?

Outubro/2019 Em agosto/2018 foi sancionada a Lei Federal nº 13.709/2018, que instituiu a LEI GERAL DE PROTEÇÃO DE DADOS, conhecida como LGPD. Esta lei atribuiu diversas obrigações às empresas, que têm até 13/08/2020 para realizar as adequações internas necessárias. A pouco menos de dez meses do início da vigência da lei, eis a indagação: Você já está preparado? Elaboramos este informativo com base nos questionamentos mais frequentes que temos recebidos:

• Qual é o objetivo desta Lei?

A LGPD tem por objetivo a proteção de dados (informações) relacionadas às pessoas físicas (pessoas naturais), visando garantir que estas não tenham violados os direitos à privacidade, intimidade, imagem e honra. Estão protegidos todos os dados que direta ou indiretamente possam identificar uma pessoa e, para isto, a lei assim conceituou os dados objeto de proteção: o Dado pessoal: informação relacionada a pessoa natural identificada ou identificável; o Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. Importante entender que a proteção aos dados não ocorre apenas em relação às informações digitais/eletrônicas, mas também àquelas que estão armazenadas em papel (meio físico). Para demonstrar como esta lei impacta diretamente no dia-a-dia da empresa, citamos os seguintes exemplos: se a empresa firmar um contrato de prestação de serviços que contenha o nome de uma pessoa física (representante legal

da empresa, por exemplo), endereço, RG, CPF, estado civil, condições de saúde, religião, nome social, entre tantas outras, estará praticando uma operação que envolve tratamento de dados e, portanto, está sujeita ao cumprimento da LGPD. Outro exemplo: uma empresa que possui cartão ponto eletrônico e SESMT tem acesso à dados pessoais sensíveis de seus colaboradores, ou seja, à biometria (cartão ponto) e ao prontuário com informações médicas (SESMT).

• Quem está obrigado a cumprir esta Lei?

As microempresas e empresas de pequeno porte também estão obrigadas? Todo aquele que realiza TRATAMENTO DE DADOS está obrigado a cumprir a lei, não importa se é pessoa física ou jurídica, de grande ou pequeno porte. Por isso conhecer esta Lei é muito importante, já que abrange a todos: escritórios de advocacia, contadores, escolas, hospitais, igrejas, indústrias, comércio, clubes de recreação, condomínios, enfim, qualquer pessoa que tenha acesso a dados de pessoas físicas (pessoas naturais). Também os órgãos do Poder Público estarão obrigados ao cumprimento da lei. Apesar disto, recomendamos às empresas que tiverem que prestar informações a respeito de pessoas físicas, ainda que seja em resposta à requisições feitas pelo Judiciário, Ministério Público e/ou Delegacias, que consignem nas respostas a informação de que se tratam de dados confidenciais e, portanto, sua divulgação ou utilização indevida responsabiliza a autoridade pública e isenta a empresa de responsabilidade. A utilização destes dados somente poderá ser feita mediante AUTORIZAÇÃO ESPECÍFICA do seu titular, inclusive mencionando a finalidade para a qual será utilizada. Também existe possibilidade de utilização em situações especiais previstas em lei.

• Mas o que é TRATAMENTO DE DADOS:

O tratamento de dados consiste em qualquer operação que envolva dados de pessoas físicas, tais como a coleta, a classificação, a utilização, o processamento, o armazenamento, o compartilhamento, a transferência e a eliminação.

Atenção à eliminação:

você costuma fazer rascunho dos papeis que não utiliza mais ou da impressão que saiu errada? CUIDADO, pois este papel poderá conter informação relacionada a dados pessoais.

• O que a empresa deve fazer para atender esta lei?

Todas as empresas deverão adotar políticas internas de prevenção de riscos de utilização ou exposição indevida de dados pessoais (compliance digital), adotando medidas de segurança e de boas práticas; dentre os passos a serem seguidos, estarão: • Criação de um grupo de trabalho para levantamento das fragilidades; • Identificação de pontos críticos, com apontamento de medidas de segurança e proteção dos dados; • Definição de Políticas Internas de prevenção, metas e planos de gerenciamento de dados, inclusive com delimitação das competências de cada colaborador em relação ao acesso de dados pessoais e dados pessoais sensíveis; estes planos conterão, inclusive, políticas de gerenciamento de crises decorrentes da violação de dados pessoais; • Capacitação/treinamento dos colaboradores em relação à LGPD; • Aditamento dos contratos de trabalho, para delimitação de competências e de responsabilidades; • Revisão dos contratos firmados com terceiros (advogados, contadores, médicos do trabalho, provedores de internet, entre outros prestadores de serviços) visando estabelecer cláusulas de proteção de dados. • Obtenção do consentimento informado específico do titular dos dados pessoais, para os casos em que se pretende a divulgação dos dados.

São muitos os passos a serem adotados pelas empresas, por isso, quanto mais cedo a empresa iniciar o diagnóstico de suas vulnerabilidades, menores serão os riscos de problemas futuros.

• Perante a lei, quem são os agentes responsáveis pelo cumprimento interno da proteção de dados?

Toda empresa deverá ter muito claro e identificado em suas políticas internas de prevenção de dados a indicação de três figuras: controlador, operador e encarregado:

Controlador: pessoa física ou jurídica, a quem competem as decisões referentes ao tratamento de dados pessoais. Via de regra, a figura do controlador acabará se confundindo com o Administrador da empresa, no entanto, é possível que esta função seja atribuída – pelo administrador – à algum responsável pela área de TI.

Operador: toda pessoa física ou jurídica que realiza o tratamento de dados pessoais em nome do controlador; como exemplo de operador poderemos citar: colaboradores em geral que tenham acesso a dados; advogados e contadores contratados; médicos do trabalho, entre outros prestadores de serviços. Importante é que a lei estabelece que o operador responderá EM CONJUNTO com o controlador, se descumprir as regras que forem estabelecidas por este. Encarregado ou Data Protection Officer (DPO): pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Esta é a pessoa, por exemplo, que manterá contato com o titular dos dados para obter um consentimento esclarecimento para divulgação de uma imagem, para receber alguma reclamação, denúncia ou autuação. O controlador e o operador, juntos, são denominados de AGENTES DE TRATAMENTO DE DADOS.

• E se a empresa não cumprir a Lei existe penalidade? Quem realizará a fiscalização?

Sim, existem penalidades e estas não são pequenas. A fiscalização quanto ao cumprimento da LGPD será realizada por um órgão denominado de AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD), que tem poderes de fiscalizar, autuar e até mesmo de determinar o bloqueio de uso dos dados pessoais até que exista sua regularização, o que poderá gerar até temporariamente a suspensão da atividade da empresa. A LGPD estabelece penalidades que podem variar de advertências a multas de até 2% (dois por cento) do faturamento POR INFRAÇÃO, com valor máximo de R$ 50.000.000,00 (cinquenta milhões). Mas as penalidades aqui previstas não afastam outras passíveis de aplicação, como aquela prevista no Código de Defesa do Consumidor.

Com o advento das mídias sociais, especialmente facebook e WhatsApp, mais fácil ficou a divulgação de fake news ou de matérias com conteúdo agressivo ou desrespeitoso. Por isso, acreditamos que a LGPD veio para ficar e dificilmente existirá prorrogação do prazo para adequação. Por isso, não deixe para adotar as medidas de segurança e de boas práticas para a última hora.

OLIVEIRA DAMAS & GRAÇA ADVOGADOS

Dra. Deborah Alessandra de Oliveira Damas Advogada