Lei Geral de Proteção de Dados Pessoais:

Introdução

Este  material  tem  o   intuito de apresentar os principais aspectos da Lei Geral de Proteção de Dados Pessoais – Lei nº 13.709/2018 (LGPD) de forma didática, explicitar alguns pontos importantes  e apontar os maiores impactos e desafios para as empresas brasileiras.

O que é a LGPD?

Com o objetivo de garantir a proteção dos direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, evitar o uso ilícito de dados pessoais e padronizar as tratativas no uso de tais dados, a Lei Geral de Proteção de Dados Pessoais (LGPD) foi publicada no dia 14 de Agosto de 2018 e entrou em vigor em setembro de 2020.

A LGPD surgiu para melhorar a visibilidade do Brasil no cenário internacional, já que o país era um dos poucos países (com exceção dos EUA, que não possui uma legislação federal sobre o tema) com potencial econômico relevante que ainda não havia definido um marco legal para a proteção de dados pessoais, o que se traduzia em uma insegurança jurídica que incomodava investidores locais e estrangeiros.

A adequação das empresas à LGPD é bem mais complexa do que pode parecer em um primeiro momento, pois são afetadas várias áreas da organização, desde a de Tecnologia (e Segurança) de Informação até o Jurídico e Compliance, incluindo outros pontos de risco de operação. Assim, é importante um engajamento amplo da alta administração das empresas para implantação de políticas e procedimentos de proteção, gestão e governança dos dados pessoais e dados pessoais sensíveis. 

O papel do controlador e do operador

A LGPD, no seu artigo 5º, define os agentes de tratamento de dados e os denomina de Controlador e Operador.

De acordo com a Lei, o Controlador é pessoa natural ou jurídica a quem competem as decisões referentes ao tratamento de dados pessoais. 

Já o Operador é a pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do Controlador. Logo, cabe ao Operador recepcionar e tratar os dados de acordo com as instruções e políticas instituídas pelo Controlador. 

Em caso de danos aos titulares de dados e/ou violação à LGPD, o Operador também poderá ser responsabilizado pelos danos e o pagamento de indenizações.

Os principais elementos da LGPD

Quais os tipos de dados pessoais são cobertos?

A LGPD abrange dados pessoais relacionados a operações de tratamento realizadas em território nacional ou dados pessoais coletados por meio da oferta de bens ou serviços a indivíduos localizados em território nacional. Assim como o GDPR (e o California Consumer Protection Act - “CaCPA”), a lei brasileira define amplamente “dados pessoais” para incluir todas as informações relacionadas a uma pessoa natural identificada ou identificável.

A LGPD também inclui restrições especiais relacionadas ao tratamento de “dados pessoais sensíveis”, que são definidos como dados relativos à origem racial ou étnica de um indivíduo, crenças religiosas, opinião política, filiação a sindicatos ou organizações políticas, filosóficas ou religiosas, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos.

Direitos para os indivíduos

A LGPD introduziu  diversos direitos aos titulares de dados pessoais, incluindo o direito de portabilidade de dados, direito de acesso aos dados pessoais, direito de solicitar a correção de dados incompletos, inexatos ou desatualizados, dentre outros.

Bases legais para o tratamento de dados pessoais

Para o caso de dados pessoais comuns, existem 10 (dez) hipóteses previstas no art. 7º da LGPD que permitem aos controladores tratar legalmente os dados pessoais dos indivíduos. Já para o caso de dados pessoais sensíveis, são 8 (oito) hipóteses previstas no art. 11 da LGPD. 

Ao contrário do que muitos pensam, o consentimento não é a única hipótese que autoriza o tratamento de dados pessoais.

Uma organização pode fazer o tratamento de dados pessoais com base em diferentes motivações, a saber: cumprimento de uma obrigação legal ou regulatória, execução de um contrato do qual o titular seja parte, exercício de defesa em processo judicial, proteção ao crédito, entre outras. 

Notificação de violação obrigatória

Os controladores de dados serão obrigados a notificar as violações de dados pessoais que possam acarretar risco ou dano relevante, à autoridade competente e aos indivíduos afetados. 

A comunicação deverá conter informação sobre os dados afetados, riscos relacionados ao incidente e as medidas tomadas para mitigar os prejuízos. 

Encarregado pelo Tratamento de Dados Pessoais

Os controladores deverão nomear um oficial de proteção de dados, chamado na legislação de “encarregado de proteção de dados pessoais”, cujas responsabilidades envolvem a supervisão das atividades de tratamento de dados da organização e a facilitação do recebimento das solicitações dos titulares dos dados. 

Cumpre destacar que não é necessária a criação de um cargo adicional, sendo possível, dentro da estrutura das empresas, a absorção dessas obrigações pelo Chief Technology Officer (CTO), pelo diretor de Segurança da Informação, pelo Compliance Officer, pelo Diretor Jurídico, dentre outros profissionais, embora seja recomendável, para empresas que lidam com um grande volume de dados pessoais, a criação de departamentos específicos para a gestão e proteção de dados, com profissionais dedicados à área.

Para agentes de tratamento de pequeno porte, a ANPD determinou, pela Resolução CD/ANPD nº 2, que não são obrigados a indicar um encarregado pelo tratamento de dados pessoais, devendo, contudo, disponibilizar um canal de comunicação com o titular de dados.

Quais são as penalidades por descumprimento?

As consequências do descumprimento da LGPD podem incluir advertências, medidas corretivas, multas diárias, penalidades, bloqueio e até mesmo a eliminação dos dados pessoais a que se refere a infração.

A multa pode chegar até 2% da receita bruta da empresa (o que inclui o faturamento de grupo ou conglomerado econômico no Brasil) no ano anterior, ou R$50.000.000,    o    que    for    maior, por violação. Multas diárias por uma violação específica também estão sujeitas a este limite.

Se adaptando à LGPD

Para orientar o início de um projeto de adequação das empresas, foram listados a seguir os principais pontos de atenção que precisam ser avaliados em suas operações de armazenamento, coleta e/ou tratamento de dados pessoais (e dados sensíveis) e algumas ações a serem tomadas.

Os perigos de não se adequar à LGPD

O Brasil é a maior economia da América Latina, sediando o centro de operações da maioria das empresas estrangeiras em relação à região. Logo, a LGPD tem um impacto significativo nas operações de negócios em todo o continente. As empresas com operações brasileiras têm muito o que fazer em um curto espaço de tempo.

Até o cumprimeiro dos requisitos mais básicos de proteção, acesso e eliminação de dados, representará grande desafio e até mesmo prejuízos financeiros para as empresas que não adotarem ferramentas de gestão e controle de dados de forma unificada (como CRMs, por exemplo). 

Os mais atingidos serão aqueles que detêm e tratam diferentes tipos de dados de consumidor, que é o caso de empresas de tecnologia, profissionais de marketing e as ferramentas de dados que as conectam, além de empresas que tratam dados pessoais de natureza sensível, como informações médicas e empresas de seguros.

Conclusão

A LGPD se aplica às pessoas naturais e jurídicas que tratam dados pessoais que operam no Brasil ou que fornecem bens ou serviços a indivíduos localizados no Brasil. As empresas, nesse sentido, devem buscar identificar se as suas práticas de tratamento de dados estão previstas em uma das hipóteses previstas na legislação.

Além disso, os dados não devem sequer ser tratados quando não necessários ao serviço e/ou produto e, quando tratados, devem ser descartados quando a empresa não necessitar mais dessas informações. Como na maioria das estruturas de privacidade, proteções adicionais se aplicam a determinadas categorias de dados, como dados pessoais de crianças e adolescentes e dados sensíveis. Em   síntese,   o   uso   irrestrito e desorganizado de dados (tratamento e venda a terceiros, para dar dois exemplos relevantes) para usos diversos, como para propósitos comerciais, precificação, ou para fins de pesquisa de mercado, não poderão mais ser realizados seguramente sem estar fundamentado em uma hipótese legal, que deverá ser informada, antecipada ou concomitantemente, em como essa informação será utilizada pela empresa.

LGPD na Prática

Após a promulgação da LGPD, um de nossos clientes procurou-nos com uma demanda relativa a proteção de dados. Trata-se de uma grande empresa de terceirização de back-office para seguradoras, ou seja, ao entrar em contato com sua seguradora, você está, provavelmente, sendo atendido pelo nosso cliente.

A primeira dificuldade desse caso é o grande número de verticais de negócios cobertos (cerca de 90 verticais), o que inclui desde reparo e conserto de eletrodomésticos até auxílio funeral (e cremação).

Acresce-se, a essa dificuldade, que o usuário contratou a seguradora e está, na verdade, fornecendo dados e informações pessoais e extremamente sensíveis, de forma que o nosso cliente era terceiro “alheio” à relação (ao menos do ponto de vista do usuário). A questão é, precisamente, que esse quadro vai em sentido completamente contrário às diretrizes básicas da LGPD e do GDPR (Regulamento Geral sobre a Proteção de Dados da União Europeia), que preveem a autorização e ciência do titular dos dados.

É possível sintetizar os obstáculos que foram superados nesse projeto em três pontos distintos:

O primeiro deles é mapear todo o fluxo de entrada e saída de dados em todos os verticais existentes (por exemplo, ao solicitar um reparo, o nosso cliente tem acesso ao endereço do usuário e compartilha esse dado com o prestador de serviços que irá ao local).

O segundo é informar o usuário e verificar qual é a base legal correta para o uso de seus dados, pois é essencial que esses dados possam ser utilizados para operações de Business Intelligence (BI) sem expor o cliente (e a seguradora) a riscos jurídicos. Lembrando sempre que o tratamento de dados é essencial ao setor de seguros, sendo uma das principais áreas de investimento e desenvolvimento tecnológico.

O terceiro aspecto é como gerenciar um portfólio de prestadores de serviços e parceiros comerciais de milhares de empresas, garantindo que todos estão em compliance, além de ajustar todos os procedimentos internos em conjunto com a revisão das políticas internas de gestão da informação, segurança e tratamento de dados, o que passa pela revisão de contratos com colaboradores e toda sua cadeia fornecedores.

Para o atendimento de todas essas necessidades, a atuação da Peduti não se resumiu aos aspectos jurídicos, sendo a avaliação da legislação e sua aplicabilidade ao cliente apenas a parte inicial do projeto. Foi necessária uma atuação multidisciplinar e de envolvimento dos departamentos jurídico, TI, RH, Marketing e Comercial.

A primeira fase da atuação é por meio de um questionário (bastante profundo e longo) que procura mapear o estado inicial da empresa. Nesse momento, precisamos entender o cenário geral da empresa e como é sua organização interna. Sem isso, é impossível proceder ao adequado mapeamento de cada vertical de negócio e as fases seguintes.

Trata-se de um projeto encadeado. Falhas na fase de avaliação impactarão, profundamente, as políticas implementadas.

O resultado final é uma reestruturação completa da organização interna da empresa, que possui uma validação, passo a passo, de seus procedimentos. Além disso, exibe meios de demonstrar à ANPD a tomada de ações necessárias para a proteção de dados de terceiros.

Em síntese, a empresa consegue atestar que está em compliance com a legislação de privacidade e proteção de dados, evitando, assim, riscos jurídicos futuros. Interessante, por fim, destacar que, no âmbito jurídico (e de compliance), raramente a adoção de uma política implica ganhos financeiros. Todavia (e isso é certo), mitiga a ocorrência de prejuízos financeiros futuros e desgastes à sua imagem no mercado, que, em determinadas situações, são até mais danosos que as próprias multas e sanções.