LGPD – Impacto para as empresas
A LGPD (Lei Geral de Proteção de Dados) entrou em vigor em agosto de 2020, mas trouxe dor de cabeça para as empresas desde sua publicação.
Isso porque, a LGPD traz muitas mudanças para as empresas, alterando totalmente a forma de tratamento de dados, de modo em que todos precisam se adaptar às novas regras.
Porém não é só no Brasil que estão acontecendo estas inovações, diversos países criaram novas leis direcionadas para a proteção de dados, atualizando as normas para a realidade atual.
O exemplo que vocês mais vão ler, em qualquer lugar, é da União Europeia, que possui o GDPR (General Data Protection Regular), que serviu de inspiração para nossa LGPD.
Agora a pergunta que não quer calar: o por quê de repente começaram a falar em proteção de dados e o que isso pode afetar sua empresa? Vamos juntos destrinchar essa lei e demonstrar as principais mudanças.
O que a LGPD traz de mudança para minha empresa?
A LGPD tem o objetivo de proteção de dados pessoais digitais e de meios físicos (papel, ficha de cadastro, etc). Assim, absolutamente tudo que envolve dados de uma pessoa, como por exemplo nome completo, endereço, telefone são abrangidos pela LGPD.
Então, sempre que você for coletar dados pessoais precisa se atentar as regras da LGPD para que não sofra qualquer punição, assunto que vamos tratar um pouco mais abaixo.
Em síntese, quando sua empresa for coletar qualquer dado pessoal, deve deixar claro para o titular (pessoa que está passando as informações pessoais) o motivo pelo qual está solicitando os dados, qual finalidade, o que fará com os dados e sempre de forma explicativa e clara, para que não exista vício de consentimento.
Outro ponto importante, é que o titular do dado pessoal precisa autorizar a empresa a guardar em seu banco de dados as informações de forma expressa.
Portanto, muitas mudanças vieram, antes bastava a pessoa informar os dados e a empresa realizaria o cadastro.
Com advento da LGPD, será necessária a autorização expressa para a empresa guardar os dados e terá direito a informação, por exemplo, se você repassa os dados dela à um terceiro. Isso também terá que ser explícito!
O que a empresa precisa fazer para atender às regras de LGPD?
O ideal é que a empresa adeque tanto os dados que já possuem quanto os que passa a coletar, de modo a estar totalmente adequado às regras da LGPD.
No entanto, sabemos que muitas empresas não possuem tais condições, de modo em que ao menos os dados que vierem a receber daqui pra frente devem ser completamente tratados, evitando retrabalho.
Após isso, deve iniciar o tratamento dos dados que já possuem em sua base, lembrando que é necessário adaptação total do banco de dados antes que a LGPD entre em vigor.
Para isso, é necessário fazer um due diligence de dados. Dividindo os dados de acordo com a Lei: pessoal, sensível, anônimo e os das crianças e adolescentes.
Calma, que nos tópicos abaixo vamos explicar qual a diferença de cada um desses dados, mas antes, voltamos ao próximo passo.
É necessário que a empresa tenha em mente que qualquer dado que coletar de uma pessoa será aplicado as regras de LGPD. Então pra isso, vamos ver o que a própria Lei considera como tratamento de dados:
“Artigo 5º (…)
X – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;”
Bom, então já deixamos claro que até se sua empresa utilizar ficha física pra pessoa preencher com seus dados, já se aplica a LGPD, e é por isso que ela causa tanto alvoroço. Porque se aplica para QUASE todos, inclusive o Poder Público!
Minha empresa já fez a divisão de dados, e agora?
Agora ela precisa rever todos contratos, termos, fichas de coletar dados, para enquadrar em todos os princípios da LGPD.
Portanto, uma empresa que possuí qualquer dado pessoal, desde e-mail, nome pessoal e endereço de seu “cliente”, que é chamado de titular, precisa respeitar os princípios abaixo:
- Princípio da finalidade, necessidade e adequação: deve ter um propósito para guardar os dados do titular, demonstrar a necessidade de ter os dados dele e sempre adequar se estiver errado;
- Princípio da qualidade: deixar claro que se as informações estiverem erradas, o titular pode mudar;
- Princípio da transparência: demonstrar quais benefícios o titular pode ter entregando os dados dele à sua empresa;
- Princípio da segurança e da prevenção: demonstrar que os dados do titular estão seguros com sua empresa e mostrar qual política de prevenção possuí para que os dados não sejam vazados;
- Princípio do livre acesso: deve ter uma parte no site de sua empresa, constando os dados do titular, pra poder acessar a qualquer momento;
- Princípio da não discriminação: não pode discriminar alguém pelos dados;
- Princípio da responsabilização: alguém com nome, endereço e e-mail precisa ser responsável pelos dados, caso seja vazado.
Feito as alterações necessárias nos contratos, termos e documentos respeitando os princípios previstos na LGPD, o próximo passo é criar um banco de dados.
O banco de dados é de extrema importância para sua empresa, uma vez que além do titular dos dados, a Autoridade Nacional de Proteção de Dados (ANPD) também poderá solicitá-los a qualquer momento, para investigação, de modo em que a empresa precisa ter tudo muito organizado.
Outro ponto importante, é que a empresa deve criar um plano de segurança, ou seja, caso os dados sejam vazados, como poderá se redimir com essas pessoas.
A melhor forma é sempre ter uma boa conduta quanto a isso, não simplesmente ignorar o vazamento.
A LGPD também dispõe que caso haja vazamento de dados, o controlador, que é o responsável pelos dados coletados da empresa, deverá comunicar a Autoridade Nacional de Proteção de Dados a ocorrência do incidente imediatamente.
Por isso, é importante que a empresa tenha um plano de segurança e de boas condutas para caso tenha um vazamento, inclusive poderia inclui-lo em regras de Compliace. Não sabe o que é Compliance, você pode entender melhor aqui, ou verificar a nossa Política de Compliance.
A empresa deverá ter um encarregado de dados, também chamado de DPO (data protection officer), que terá suas informações de contato divulgadas, de forma clara e objetiva, de preferência no site da empresa.
Qual a necessidade de “criar um novo cargo”? Bom, será o encarregado que vai intermediar as relações com os titulares dos dados e com a Autoridade Nacional de Proteção de Dados (ANPD), vamos falar mais abaixo um pouco dele. Mas já salientamos, o cargo é obrigatório para as empresas de todos os portes, podendo, no entanto, ser terceirizado.
Na LGPD também está previsto que a empresa poderá criar regras de boas práticas e de governança, ou seja, para treinar seus funcionários através de ações educativas, sobre a coleta de dados, bem como criar mecanismos internos de supervisão e de mitigação de riscos. Outro ponto que se aplicaria em regras de Compliance.
Percebemos que muita coisa já mudou com a LGPD né? Por mais que ela não esteja em vigor ainda, as empresas precisam se adaptar às novas regulamentações, à fim de evitar futuros prejuízos.
Quais punições minha empresa pode sofrer, se não atender às regras da LGPD?
A LGPD prevê diversas sanções para os agentes de tratamento de dados, por isso a criação de dois importantes órgãos: Autoridade Nacional de Proteção de Dados e o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade.
Como já ressaltamos, todas empresas que realizam o tratamento de dados precisam se adequar as regras da LGPD e poderão sofrer fiscalizações da ANPD.
Caso e empresa ignore as regras, poderá sofrer diversas sanções administrativas, por exemplo:
- advertência, com indicação de prazo para adoção de medidas corretivas;
- multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
- multa diária, observado o limite total de R$ 50.000.000,00 (cinquenta milhões de reais);
- dar publicidade a infração após devidamente apurada e confirmada sua ocorrência;
- bloqueio dos dados pessoais coletados pela empresa, até sua regularização;
- eliminação dos dados pessoais que se refere a infração;
- suspensão parcial ou total do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
- proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados;
Existem bastante sanções né? Mas calma, que elas não serão aplicadas sem o direito do contraditório da empresa.
Na própria Lei está previsto que as sanções serão aplicadas após procedimento administrativo, ou seja, a sanção não será 100% impositiva, antes dela ser aplicada, sua empresa terá chance de apresentar defesa.
A ANPD, ao aplicar uma das sanções, levará em consideração diversos aspectos, por exemplo: a gravidade e a natureza das infrações, direitos pessoais afetados, a boa-fé do infrator, se houve vantagem auferida, reincidência, grau de dano, cooperação do infrator, entrei outros.
Portanto, por mais que a LGPD seja “severa” quanto as sanções, a empresa também possuí o direito de defesa, inclusive, por isso é tão importante adotar plano de segurança e de boas condutas, pois caso tenha algum vazamento de dados, o controlador poderá entrar em contato com o titular, a fim de fazer um acordo e diminuir a sanção aplicada!
Quem será o responsável por cuidar dos dados na minha empresa?
Antes de chegarmos nos responsáveis, precisamos deixar claro que na própria Lei, existe uma “legenda” para cada integrante relacionado aos dados. Está previsto no artigo 5º.
Como já tratamos acima, o titular é a pessoa natural que está passando os dados. Superado o titular, encontramos as seguintes figuras:
- Controlador: Pessoa física ou jurídica, de direito público ou privado, quem compete as decisões sobre o tratamento de dados pessoais, a própria em presa, seu sócio, gerente, enfim, pessoa responsável pelo controle dos dados;
- Operador: Pessoa física ou jurídica, de direito público ou privado, que faz o tratamento de dados pessoais em nome do controlador, pode ser um funcionário da empresa ou o próprio controlador, em caso de negócios de pequeno porte;
- Encarregado: Pessoa indicada pelo controlador e operador para atuar no canal de comunicação, entre o controlador, titulares dos dados e da Autoridade Nacional de Proteção de Dados, tem que ser certificado para isso, obrigatório pela Lei e toda empresa deve possuir, todavia, pode ser contratação terceirizada;
- Agentes de tratamento: Controlador e operador.
Observamos, portanto, que a LGPD traz diversos cargos para o controle dos dados, no entanto, todos podem ser realizados por funcionários que a empresa já possui, com exceção do Encarregado.
É importante frisar que o Controlador e o Operador serão responsáveis pelos danos morais, patrimoniais, individuais ou coletivos, em violação à legislação de proteção de dados.
De modo em que o Controlador, que estiver diretamente envolvido ao tratamento dos dados, que decorreu em danos ao titular, responde solidariamente com a empresa.
Já o Operador, responde solidariamente pelos danos causados pelo tratamento dos dados, quando descumprir as obrigações da lei, caso não tenha seguido as instruções do Controlador.
O Encarregado, como falamos um pouco, é também chamado de DPO (data protection officer). Ele terá sua identidade e informações de contato amplamente divulgadas, de preferência pelo website da empresa.
A criação do Encarregado é obrigatória, foi realizada para dar transparência. Ele irá aceitar as reclamações e comunicações dos titulares, prestar e adotar providências, receber comunicações da autoridade nacional, orientar os funcionários e contratados da empresa sobre práticas quando a proteção de dados.
Portanto, com a LGPD encontramos diversas figuras novas que a empresa precisa se adequar, visando sempre a proteção de dados do titular.
Qual a divisão dos dados?
Falamos que é importante a empresa realizar o due diligence sobre os dados, dividindo-os de acordo com a Lei: pessoal, sensível, anonimos e os das crianças e adolescentes.
Dessa forma, vamos explicar um pouco o que significa cada classificação e o que muda com isso:
- Dado pessoal: são todas as informações relaciona a pessoa natural, sendo possível identifica-la, por exemplo, nome completo, RG, CPF;
- Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
- Dado anônimo: dado que inicialmente era pessoal, mas que passou por diversas etapas para desvincular a essa pessoa e não é possível vincular mais;
- Dado da criança e do adolescente: todas informações de crianças e adolescentes até 18 anos.
É extremamente importante a separação desses dados, pois por exemplo, se sua empresa tiver dados anônimos, não serão considerados dados pessoais, portanto não se aplica a LGPD.
Já os dados pessoais e sensíveis poderão ser coletados ou tratados mediante o consentimento do titular, diferente dos dados das crianças e adolescentes que precisa de autorização de um dos pais para tratamento.
Assim, após a revisão de todos os contratos, termos e documentos, bem como a divisão dos dados, sua empresa poderá reenviar aos titulares a nova política de proteção enquadrada à LGPD, solicitando nova autorização e até permissão de um dos pais, caso tenha dados de crianças e adolescentes.
Fica claro, portanto, que muitas regras foram criadas e se aplicam para todas as empresas que coletem dados pessoais, que faça tratamento desses dados, conforme já falamos no tópico acima.
Desta forma, é momento de se perguntar, sua empresa está adaptada para a LGPD?
Caso tenha dúvidas ou precise de ajuda, entre em contato conosco por aqui ou nos chamo pelo WhatsApp no botão ao lado, iremos auxiliar a sua empresa nesta preparação e adaptação para a LGPD.
- Publicado em Direito Empresarial