Lei Geral de Proteção de Dados (LGPD) – “Minha empresa precisa se adequar?” – Sim!

Fizemos um roteiro simples e objetivo sobre a LGPD e sua implementação, para que conheçam e saibam mais sobre essa nova lei, abarcando os seguintes tópicos:
 
1. A LGPD
2. Principais Conceitos e Definições
3. Definição dos responsáveis pelo tratamento de dados pessoais
4. Penalidades
5. Aspectos Práticos: o que fazer para se adaptar à LGPD?
 
1. A LGPD
 
A Lei Geral de Proteção de Dados, Lei n. 13.709/2018, publicada em 14/08/2018, programada para entrar em vigor a partir de 16 de agosto de 2020 (está atualmente em período de “vacatio legis”, para que as empresas se adaptem às suas alterações e exigências), traz para a ordem jurídica brasileira uma nova visão sobre o tratamento de dados pessoais e os direitos dos seus titulares. Trata-se de uma legislação que entra no arcabouço do Programa de Compliance, buscando organizar e sistematizar o tratamento de dados pessoais de titularidade de pessoas físicas, por todo tipo de empresa que esteja em operação no território brasileiro.
 
Isso porque, ainda que uma empresa, seja ela de pequeno, médio ou grande porte, não tenha, por exemplo, contato direto com consumidores, ela tem certamente, dados pessoais de funcionários, clientes, fornecedores, parceiros, etc.
 
O principal objetivo da LGPD é prover segurança e cuidado para todo e qualquer tipo de dado que identifique ou torne uma pessoa identificável, tais como dados cadastrais, genéticos, físicos, de localização, endereço, econômicos, dentre outros, introduzindo regras específicas para a recepção, tratamento, utilização e sigilo destas informações, ainda que esses dados tenham sido coletados antes da publicação da LGPD.
 
Desta forma, a lei exige que todas as empresas que fazem “tratamento” de dados pessoais devem se adequar à ela, e, em linhas gerais, implementar medidas de segurança para preservação desses dados, garantir consentimento do titular ao tratamento e uso de seus dados, bem como prover fácil acesso aos dados e de revogação do consentimento já dado pelo titular (dono dos dados pessoais).
 
2. Principais Conceitos e Definições
 
Afinal, o que são dados pessoais? E “tratamento de dados pessoais”? Será que minha empresa faz isso?
 
A LGPD define dados pessoais como “toda informação relacionada a pessoa natural identificada ou identificável”, ou seja, é toda e qualquer informação que possibilite a identificação de uma pessoa natural, em meio físico ou digital.
 
A Lei ainda prevê um rol de dados pessoais que demandam maior proteção, e que devem ser tutelados com maior cautela e de maneira mais restritiva, tais como:
 
a. Dados sensíveis: origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico; e
 
b. Dados pessoais de crianças e adolescentes.
 
Além desse rol, a lei traz a possibilidade dos dados anonimizados, que consistem em dados sobre um titular que não possa ser identificado sem que se utilize de meios técnicos razoáveis quando de seu tratamento.
 
tratamento, nos termos da lei, é “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.
 
Desta forma, a mera coleta de dados pessoais em um cadastro, por exemplo, configura “tratamento” para os fins da legislação.
 
A grande preocupação da LGPD, como já dito, é a salvaguarda dos dados pessoais, protegendo, assim, direitos fundamentais de liberdade e privacidade das pessoas. Sendo assim, a lei traz ao longo do seu texto diversos direitos inerentes dos titulares, tais como:
 
a. Acesso fácil e simples à informação sobre o tratamento dos seus dados pessoais;
 
b. Direito de exigir a correção de dados que contenham informações incompletas, inexatas ou desatualizadas;
 
c. Possibilidade do titular solicitar a anonimização de seus dados pessoais, ou, ainda, o bloqueio ou eliminação de dados que considere excessivo ou desnecessário, ou em desacordo com o padrão e finalidades de tratamento de dados permitidos pela LGPD;
 
d. Direito de solicitar a transferência de seus dados pessoais para outras empresas;
 
e. Possibilidade de revogação do consentimento dado anteriormente para o tratamento de seus dados pessoais, a qualquer momento, e de forma fácil e simples;
 
f. Direito de obter a confirmação da existência de tratamento e acesso aos seus dados pessoais.
É fundamental, portanto, que as empresas adotem medidas técnicas e administrativas para proteger os dados pessoais que estejam em sua guarda. É preciso garantir tanto a segurança da informação por meio de protocolos de segurança, servidores, sistemas e recursos de TI, como também limitar internamente quem terá acesso aos dados pessoais e como a empresa irá controlar a gestão do seu banco de dados pessoais.
 
Além disso, as empresas precisam elaborar termos de uso de seus sites, aplicativos e plataformas, bem como atualizar (ou fazer) suas políticas de privacidade, definindo quais dados serão solicitados, para quais finalidades, de acordo com qual base legal, se haverá compartilhamento com terceiros e informando quem terá acesso a essas informações. Frise-se que esses documentos precisam ser apresentados de forma clara e simples.
 
3. Definição dos responsáveis pelo tratamento de dados pessoais
 
A LGPD também define e institui alguns cargos e papéis no tocante ao tratamento dos dados pessoais, de forma que todas as empresas terão que se ajustar e definir quem, em suas estruturas organizacionais, assumirá cada uma das funções trazidas pela lei.
 
(i) Controlador: é a pessoa física ou jurídica, de direito público ou privado, responsável pelas decisões referentes aos tratamentos de dados. Cabe ao controlador manter registros das operações envolvendo o tratamento de dados pessoais, garantir a observância e o atendimento aos requisitos da LGPD.
 
(ii) Operador: é a pessoa física ou jurídica responsável pelo tratamento de dados pessoais.
 
(iii) Encarregado ou “DPO” (Data Protection Officer): é o responsável pela proteção desses dados, bem como por orientar os membros da organização quanto às práticas que estão de acordo com a proteção e o tratamento dos dados coletados, além de prestar esclarecimentos aos titulares de dados e tomar as providências que sejam necessárias, através de um canal de comunicação direto entre os titulares dos dados pessoais e o “DPO”.
 
Frisamos que, com exceção de algumas excludentes previstas na lei, o Controlador e o Operador respondem solidariamente por quaisquer danos causados ao titular de dados pessoais em decorrência de violação da LGDP, sejam de cunho patrimonial, moral, individual ou coletivo.
 
4. Penalidades
 
A violação aos termos da LGPD sujeita o infrator à penalidades que vão desde a advertência até a imposição de sanções de natureza pecuniária que podem chegar ao montante de R$ 50 milhões por infração.
 
É importante destacar, ainda, que o descumprimento não acarreta só multas e advertências, há um risco reputacional envolvido. Isso porque a lei exige que se tornem públicos as infrações cometidas, a identificação dos infratores, além de determinação de bloqueio do acesso aos bancos de dados dos próprios infratores, ou, até mesmo, a eliminação total dos dados.
 
Isso pode ser extremamente danoso para a empresa em razão da quebra de confiança e segurança com seus consumidores e usuários.
 
Por fim , a não adequação até a entrada em vigor da lei poderá levar à perda de negócios e oportunidades, uma vez que o compliance à LGPD será exigido como item de auditoria e como requisito para celebração de contratos de prestação de serviço, de compra e venda, de parceria, de colaboração, etc.
 
5. Aspectos Práticos – o que fazer para se adaptar à LGPD?
 
Em razão de todo o exposto, é necessário que, primeiramente, as empresas contem com profissionais da área jurídica para auxiliar na identificação dos seus riscos e necessidades, bem como para um levantamento e entendimento do seu banco de dados pessoais. Isso é feito através de um “Data Mapping”, que mostrará uma “foto” do quadro atual da empresa no que se refere à coleta, guarda, proteção, fontes, uso e tratamento de dados pessoais.
 
Além disso, ato contínuo, ainda com o apoio jurídico, deve-se implementar uma cultura interna acerca dos cuidados necessários com os dados pessoais, revisando políticas internas, termos de uso, e promovendo treinamentos para conscientização a respeito dessa temática, com funcionários, parceiros e colaboradores.
 
Serão necessários, ainda, revisão dos contratos das empresas, sejam eles contratos de trabalho de funcionários, com clientes, parceiros, fornecedores, etc.
 
É fato que os ajustes e garantias propostos pela LGPD são grandiosos e bastante desafiadores, para qualquer empresa. O trabalho para atingir a total conformidade à referida lei é um trabalho de longo prazo, cuja longitude e complexidade variam a depender do tamanho da empresa, da sua atividade e do nível em que a empresa se encontra em relação à lei. Portanto, como dissemos no início desse texto: quanto antes as empresas derem início às atividades para se adequarem e estarem conforme à ela, melhor!
 
Camila Peixoto Olivetti Regina