A Lei Geral de Proteção de Dados (LGPD – Lei No 13.709) representa um novo passo do Brasil no sentido de estabelecer normas e regras para o uso e armazenamento de dados pessoais. Desta forma, nos unimos a um conjunto de mais de 100 países que também possuem definições jurídicas nesta área. A LGPD define categorias de dados, circunscreve para quem valem seus ditames, fixa as hipóteses de coleta e tratamento de dados, traz os direitos dos titulares de dados, detalha condições especiais para dados sensíveis e segmentos (como crianças), estabelece obrigações às empresas, institui um regime diferenciado para o Poder Público, coloca sanções em caso de violações e prevê a criação de uma autoridade nacional.
A LGPD está em vigor desde 18/9/2020, entretanto, as multas e sanções decorrentes do não cumprimento das suas determinações passam a valer apenas a partir de 1º de agosto de 2021. Junto com a LGPD, foi criada também a Autoridade Nacional de Proteção de Dados (ANPD), conforme estabelecido no Decreto nº 10.474, de 26 de agosto de 2020, para proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Com a lei, as informações de cunho pessoal foram categorizadas como “dado sensível” e passam a ter uma série de restrições em seu uso, que tem por objetivo preservar a identidade e a integridade das pessoas. A lei não se aplica a coletas para fins exclusivamente particulares e não econômicos, jornalísticos, artísticos e acadêmicos. As penalidades pelo descumprimento da LGPD podem ocasionar multa de 2% do faturamento anual e chegar até R$ 50 milhões.
A utilização dos dados pode se dar de diversas formas e a lei prevê que a principal forma de obtenção dessas informações é por meio do consentimento do titular, entretanto, ela não é a única. A ação é autorizada na lei para cumprimento de obrigação legal, estudos por órgão de pesquisa, proteção da vida do titular ou de terceiros, tutela da saúde por profissionais ou autoridades da área. A administração pública pode coletar e tratar dados para a consecução de políticas públicas previstas em leis e regulamentos ou respaldadas em convênios. Também fica desobrigado do consentimento a prática de “proteção do crédito”, como o cadastro positivo.
Obrigações das empresas em relação à Lei Geral de Proteção de Dados
Toda vez que a empresa precisar coletar algum dado, ela deve informar a sua finalidade. Além de manter um registro sobre as atividades de tratamento dessas informações, de modo que possam ser conhecidas mediante requerimento pelos titulares ou analisadas em caso de indício de irregularidade pela Autoridade Nacional, essas empresas precisam responder em até 15 dias, quando receberem um requerimento do titular dos dados acerca desse uso.
Cabe aos controladores da empresa indicar um encarregado pelo tratamento das informações coletadas. As informações sobre este controlador deverão ser disponibilizadas de forma transparente nos canais de comunicação da empresa, como em seu site. Caso a Autoridade Nacional de Proteção de Dados determine, a controladora deve elaborar um relatório de impacto à proteção de dados pessoais das suas atividades de tratamento. Esses entes devem adotar medidas para assegurar a segurança das informações e a notificação do titular em caso de um incidente de segurança, como um vazamentos e dados ou um ataque hacker. Tal exigência vale para todos os agentes da cadeia de tratamento, como a própria empresa e seus fornecedores. Se um controlador causar dano a alguém por causa de uma atividade de tratamento, ele poderá ser responsabilizado e deverá reparar o prejuízo.
Quem é quem na cadeia de tratamento?
O titular é aquele a quem o dado está relacionado, o controlador é o agente a quem competem as decisões sobre o tratamento, e o operador, o que realiza o tratamento. Por exemplo, uma loja de calçados pode coletar e analisar os dados de seus clientes (controladora), entretanto, ela também pode contratar outra empresa que faça essa coleta e tratamento dos dados (operadora).
Confira abaixo, algumas obrigações das empresas em relação aos dados de seus funcionários, fornecedores e clientes:
Funcionários – Os departamentos de Recursos Humanos ou Departamento Pessoal das empresas contam com um amplo banco de dados sobre os funcionários, sendo assim, estas informações devem ser protegidas. Essa proteção se estende desde o sistema de fechamento de folha, intranet, e demais sistemas de armazenamento de dados sobre os profissionais contratados pela empresa, até a forma como as informações são repassadas e recebidas da contabilidade.
Fornecedores – Além de um serviço de contabilidade, como citamos anteriormente, muitas empresas também possuem fornecedores que utilizam dados importantes, como agências de publicidade (que podem utilizar dados de funcionários para desenvolver a comunicação da empresa), empresas de TI (que também podem ter acesso a dados de funcionários e clientes), e fornecedores de outros serviços e produtos, que também têm seus dados armazenados pela empresa. Neste sentido, as empresas precisam cobrar que seus fornecedores estejam preparados e em acordo com a LGPD, bem como, devem proteger estas informações internamente criando mecanismos de controle e registro do tratamento dos dados, seja na comunicação entre os sistemas, seja na utilização dessas informações em alguma ação específica.
Clientes – Os times de Marketing, Vendas, financeiro e Jurídico costumam ter informações de clientes. Nesse sentido, a empresa também deve atuar em todas as áreas, de modo a mapear a obtenção e utilização desses dados, construindo processos que busquem combater o vazamento de informações, com restrições por senhas individuais e com diferentes níveis de acesso, realizando backups sistemáticos das informações e a exclusão de informações que não forem mais de interesse da empresa, utilizando sistemas criptografados, identificando o fluxo de envio e recebimento dessas informações, educando a sua força de trabalho para a importância da privacidade e do respeito à lei e, principalmente, promovendo testes de segurança em que os sistemas e processos são avaliados no sentido de combater falhas que comprometam a integridade dessas informações.