• Dr Thiago Torres

A Lei Geral de Proteção de Dados (LGPD) no Brasil - Aspectos Práticos

Parece que dessa vez o Brasil agiu rápido. Ao menos é o que parece*, e explico o porque.


Seguindo as tendências da Europa, que percebeu a necessidade de estabelecer limites aos dados dos usuários que as empresas usam na internet para propagandas e diversos usos, passou a valer em 2018 na União Européia a GPDR (Regulamento Geral sobre a Proteção de Dados), que é um regulamento do direito europeu sobre o controle da privacidade dos dados dos europeus pelas empresas, além de como as empresas podem exportar esses dados para outros países fora da União Européia, e também armazená-los, dentre outros.


Já no Brasil, foi votada e aprovada também em 2018 a legislação sobre proteção dos dados dos brasileiros na internet, mas ficou determinado que a vigência por aqui se daria em agosto de 2020. Mas a entrada em vigor da Lei de fato é que está sendo o problema, que será explicado um pouco mais abaixo. Primeiro, é interessante entender o contexto.


O artigo primeiro da Lei dispõe claramente o objetivo, que abrange os dados tanto de pessoas físicas quanto jurídicas (empresas). Então, quando citarmos de agora em diante "pessoas", entenda que o termo engloba pessoas físicas e empresas, ou seja, CPF e CNPJ. Confira então o que diz esse artigo:


"Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Parágrafo único. As normas gerais contidas nesta Lei são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e Municípios."

Assim, todas as empresas que usam de alguma forma os dados das pessoas para fins de propaganda ou cadastro, na internet ou fora dela - como por exemplo uma academia de ginástica, que faz o cadastro dos seus clientes inclusive com biometria, ou hospitais com seus pacientes, deverão muito em breve cuidar dos dados pessoais (não anônimos) dos seus clientes no Brasil.


Além da sanção do Marco Civil da Internet em 2014, que tem como objetivo regulamentar a rede no país para garantir que a internet continue livre, não proprietária e culturalmente diversificada, a LGPD se torna uma importante ferramenta de controle e gestão muito importante.


Tão importante que inclusive criou uma nova profissão: o DPO (Data Protection Officer), que é um tipo de responsável técnico que fica encarregado de garantir que os dados usados de clientes ou usuários dos sistemas, pelos funcionários da empresa e inclusive indivíduos de fora da organização - como é o caso de prestadores de serviços terceirizados, por exemplo. Inclusive, o artigo 5º, em seu inciso IX menciona que são necessários dois profissionais:

IX - agentes de tratamento: o controlador e o operador;

Aqui vai uma dica ao empresário: lembre-se de adequar a questão do acúmulo de função desses funcionários para sua empresa não sofrer sanções trabalhistas. Já para os que forem DPO, o cuidado é que a responsabilização pode ser pessoal. Portanto, é muito importante se atualizar.


Além das empresas que atuam na internet ou usam comumente os dados de clientes para faturas, organização, até mesmo pela cultura de compliance por estarem habituadas à Lei Anticorrupção brasileira (Lei 12.846/2013), as empresas de Marketing e de TI por exemplo estão bastante ativas na busca de soluções para organizar e adequar suas equipes. Esses prestadores de serviços basicamente preparam todo um artefato para seus clientes poderem captar leads, fazer propagandas com cookies, armazenar os dados e tratar dos clientes pelas mídias sociais. E o volume de informações pessoais é cada vez maior.


O fato é que, agora há poucas horas, *houve um pedido de adiamento para entrada em vigor da lei feito pelo presidente da Câmara, Rodrigo Maia, 'porque não há ainda um acordo mínimo'.


Torcemos para que a situação seja contornada e que a lei entre em vigor em breve, pois muitas empresas já investiram muito nisso e estão regularizadas, com os profissionais em conformidade com a legislação. Além disso, é importante na prática o início da vigência para evitar que os dados pessoais das pessoas não continuem sendo vendidos para empresas de telemarketing irresponsáveis e também usados para fazer mensagens de e-mail para vender produtos que você não autorizou receber, conhecidas por "spam", ou ainda os conhecidos vazamentos de dados, que comprometem senhas pessoais e contas gerais das pessoas.


Sobre as punições: Em junho de 2020 foi sancionado que as punições a empresas que descumprirem a LGPD só passarão a valer a partir de agosto de 2021. Outra questão que atrasa o início, é a Autoridade Nacional de Proteção de Dados (ANPD), que fará as fiscalizações ("xerife" da LGPD) ainda não está pronta. A instabilidade política acaba por ser, na prática, o ponto que atrasa o país para a vigência dessa Lei.


Os tipos de penas incluem advertência, multa simples e diária, bloqueio de acesso a dados ligados à infração ou a exclusão dela, suspensão parcial ou integral do banco de dados ligado à violação, suspensão temporária a proibição total das atividades de processamento de dados.


Quem deve se preocupar


Se sua empresa (não importa o tamanho) ainda não designou um DPO e muito menos não fez a implantação do LGPD, saiba que ela está descoberta e as sanções do parágrafo anterior poderão ser aplicadas.


O fato é que é muito mais barato prevenir do que remediar. E quanto antes planejado, as vantagens de negociação para a implantação e adequação à LGPD são muito maiores e diluídas.


Como sua empresa capta os dados das pessoas


A forma de se obter o consentimento da pessoa titular dos dados, segundo o artigo 8º da Lei deverá ser feito por escrito ou outro meio que demonstre de boa-fé a vontade de fornecer os dados.


Essa forma de captura dos dados é um dos pontos principais de atenção e devem ser bem revistos constantemente, pois, apesar de simples, se feito de uma forma sem o devido tratamento para já segmentar em seguida, pode-se perder o controle.


O que as empresas precisarão fazer


A primeira atitude a ser tomada é, sem dúvida, contratar alguma consultoria que consiga capacitar os principais interessados, que são principalmente a gestão da empresa e o time de TI e Marketing.


Assim, é importante que se faça uma due diligence, popular "pente fino" para identificar os dados que a empresa explora. Com os dados levantados, é possível então delimitar e organizar quem são os usuários e setoriza-los (crianças, adultos, sensíveis, anônimos, etc) para então analisar como a empresa atua hoje e cruzar os dados com a legislação da LGPD.


Dessa forma, é possível adequar ao consentimento das pessoas mencionados na Lei.


#lgpd #dados #internet #empresas #catracas #hospitais #clínicas #condomínios #empresas #it #ti #mkt #marketing

9 visualizações

©2020 TTF Advogados - Todos os direitos reservados

Holding
  • White LinkedIn Icon