LGPD – O que muda para minha empresa?
Com a entrada da LGPD (Lei Geral de Proteção de Dados) em vigor, houve diversas mudanças tanto para empresa quanto ao usuário, de modo em que precisaram se adaptar as novas regras.
Como já explicamos aqui, a LGPD tem o objetivo de proteção de dados, sejam eles digitais ou físicos (papel, ficha de cadastro, etc). Portanto, se sua empresa coleta dados de uma pessoa como por exemplo nome completo, endereço ou telefone, deve se atentar para estas mudanças.
Aliás, mesmo que sua empresa já trabalhe e possua dados em mãos, também é necessário dividi-los e classificar de acordo com a LGPD: pessoal, sensível, anônimo e os das crianças e adolescentes.
Parece complexo né? Por isso, no texto de hoje trouxemos as principais mudanças para sua empresa com a LGPD em vigor e explicaremos por onde começar.
Afinal, quais mudanças minha empresa deve se atentar com a LGPD?
Se sua empresa trabalha com qualquer tipo de dado pessoal, desde a ficha de atendimento até o preenchimento de formulário por site, já deve se atentar as regras da LGPD.
Isto porque, a Lei Geral de Proteção de Dados protege absolutamente tudo que envolve dados de uma pessoa, inclusive criou classificação para cada um deles, conforme explicaremos a seguir.
Portanto, com os novos titulares, ou seja, pessoas que possuem os dados coletados pela sua empresa, é necessário deixar claro por escrito o motivo pelo qual está solicitando as informações, qual finalidade, o que fará com os dados e sempre de forma explicativa e clara, para que não exista vício de consentimento.
Antes, bastava a pessoa informar os dados e a empresa realizar o cadastro, com a LGPD é necessária autorização expressa para a empresa armazenar estas informações.
Outra mudança importante é a criação de um “novo cargo na empresa” que é o DPO (data protection officer) no Brasil chamado de encarregado de dados, que terá suas informações de contato divulgadas, de forma clara e objetiva, de preferência no site da empresa.
Isto porque, a função do encarregado é intermediar as relações com os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Aqui, importante salientar, o encarregado de dados pode ser terceirizado, de modo em que não é necessário um funcionário apenas para exercer a função.
Assim, o armazenamento e organização dos dados tornou-se fundamental, uma vez que tanto o responsável dos dados quanto a ANPD podem solicitá-los, incluindo eventuais fiscalizações.
Por fim, é indicado que a empresa crie um plano de segurança para os titulares, ou seja, caso os dados sejam vazados, já sabe como irá se redimir com os titulares dos dados vazados.
Já sei as mudanças com a LGPD, por onde minha empresa deve começar?
O ideal é que a empresa adeque tanto os dados que já possuem quanto os que passe a coletar, a fim de estar totalmente dentro das regras da LGPD.
Para isso, é necessário fazer um due diligence de dados. Dividindo os dados de acordo com a Lei: pessoal, sensível, anônimo e os das crianças e adolescentes.
- Dado pessoal: são todas as informações relaciona a pessoa natural, sendo possível identificá-la, por exemplo, nome completo, RG, CPF;
- Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
- Dado anônimo: dado que inicialmente era pessoal, mas que passou por diversas etapas para desvincular a essa pessoa e não é possível vincular mais;
- Dado da criança e do adolescente: todas informações de crianças e adolescentes até 18 anos.
É extremamente importante a separação desses dados, pois por exemplo, se sua empresa possuir dados anônimos, não serão considerados dados pessoais, portanto não se aplica a LGPD.
Já os dados pessoais e sensíveis poderão ser coletados ou tratados mediante o consentimento do titular, diferente dos dados das crianças e adolescentes, que precisa de autorização de um dos pais para tratamento.
Assim, após a revisão de todos os contratos, termos e documentos, bem como a divisão dos dados, sua empresa poderá reenviar aos titulares a nova política de proteção enquadrada à LGPD, solicitando nova autorização e até permissão de um dos pais, caso tenha dados de crianças e adolescentes.
Quem será o responsável por cuidar dos dados na minha empresa?
Na LGPD encontramos as seguintes figuras responsáveis por dados:
- Controlador: Pessoa física ou jurídica, de direito público ou privado, quem compete as decisões sobre o tratamento de dados pessoais, a própria em presa, seu sócio, gerente, enfim, pessoa responsável pelo controle dos dados;
- Operador: Pessoa física ou jurídica, de direito público ou privado, que faz o tratamento de dados pessoais em nome do controlador, pode ser um funcionário da empresa ou o próprio controlador, em caso de negócios de pequeno porte;
- Encarregado: Pessoa indicada pelo controlador e operador para atuar no canal de comunicação, entre o controlador, titulares dos dados e da Autoridade Nacional de Proteção de Dados, tem que ser certificado para isso, obrigatório pela Lei e toda empresa deve possuir, todavia, pode ser contratação terceirizada;
- Agentes de tratamento: Controlador e operador.
Observamos, portanto, que a Lei Geral de Proteção de Dados traz diversos cargos para o controle dos dados, no entanto, todos podem ser realizados por funcionários que a empresa já possui.
É importante frisar que o Controlador e o Operador serão responsáveis pelos danos morais, patrimoniais, individuais ou coletivos, em violação à legislação de proteção de dados.
O Encarregado, como falamos um pouco, é também chamado de DPO (data protection officer). Esta pessoa terá sua identidade e informações de contato amplamente divulgadas, de preferência pelo website da empresa.
A criação do Encarregado é obrigatória, foi realizada para dar transparência. Ele irá aceitar as reclamações e comunicações dos titulares, prestar e adotar providências, receber comunicações da autoridade nacional, orientar os funcionários e contratados da empresa sobre práticas quando a proteção de dados.
Quais punições minha empresa pode sofrer, se não atender às regras da LGPD?
A LGPD prevê diversas sanções para empresa, por isso a criação de dois importantes órgãos, a Autoridade Nacional de Proteção de Dados e o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade.
Caso a empresa ignore as regras, poderá sofrer sanções administrativas, por exemplo:
- advertência, com indicação de prazo para adoção de medidas corretivas;
- multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
- multa diária, observado o limite total de R$ 50.000.000,00 (cinquenta milhões de reais);
- dar publicidade a infração após devidamente apurada e confirmada sua ocorrência;
- bloqueio dos dados pessoais coletados pela empresa, até sua regularização;
- eliminação dos dados pessoais que se refere a infração;
- suspensão parcial ou total do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
- proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Na LGPD está previsto que as sanções serão aplicadas após procedimento administrativo, ou seja, a punição não será 100% impositiva, antes dela ser aplicada, sua empresa terá chance de apresentar defesa.
A ANPD, ao aplicar uma das sanções, levará em consideração diversos aspectos, como a gravidade e a natureza das infrações, direitos pessoais afetados, a boa-fé do infrator, se houve vantagem auferida, reincidência, grau de dano, cooperação do infrator, entre outros.
Assim, observamos diversas mudanças para sua empresa se atentar com a LGPD e sabemos que é um assunto complexo. Portanto, se existirem dúvidas ou precisa de ajuda com a implementação da LGPD, entre em contato conosco.
- Publicado em Direito Empresarial